С помощью чего организовать сервер централизованного доступа?

Question

[kaw1994]

Имеется куча железок. Какие-то поддерживают только ssh, какие-то только telnet, какие-то только http.
В моей голове это выглядит так:
Клиент => какая-то железка, которая имеет доступ к web/telnet/ssh => сам web/telnet/ssh

Есть еще несколько вопросов:
1) Можно ли защитить http? (Именно http, т.к. https коммутатором не поддерживается)
2) Можно ли защитить telnet?
3) С помощью чего организовать сервер централизованного доступа?

Answer 1

[Дмитрий Шицков]

Есть такой вот продукт - Hashicorp Boundary.
Выступает в качестве прокси для соединений. Теоретически, может авторизовать подключение по любому TCP-протоколу.
Для работы будет требовать использовать свой клиент для установки соединений и выполнения авторизации пользователя.

Comments

[kaw1994]

Хорошо, почитаю об этом. Спасибо.

[Дмитрий Шицков]

kaw1994, если это под ваши задачи - космолет, то стандартный способ - обычная виртуалка с linux. Администраторы по ssh/vnc /rdp подключаются к виртуалке и только с нее могут администрировать весь парк железок. Т.е. железки должны принимать подключения только с этого сервера или определенного management VLAN, в котором они все находятся, а сервер управления туда смотрит одним из своих интерфейсов.
Важно такую виртуалку защитить от установки левого ПО и доступов в интернет.

[kaw1994]

Централизованный сервер ssh бы подошел + это несложно. Но, как я написал выше, не везде
он поддерживается, есть слишком старые железяки.

[Дмитрий Шицков]

kaw1994, ssh позволяет строить туннели, пробрасывать порты или выступать в качестве socks-proxy. Поэтому , установив туннельное соединение с таким сервером, далее можно подключаться любым другим TCP протоколом.

Answer 2

[Александр Карабанов]

1) Можно ли защитить http? (Именно http, т.к. https коммутатором не поддерживается)

Да.

2) Можно ли защитить telnet?

Да.

3) С помощью чего организовать сервер централизованного доступа?

Сервер на GNU/Linux в качестве Jump host (собственно, как вы и описываете в вопросе Клиент => какая-то железка, которая имеет доступ к web/telnet/ssh => сам web/telnet/ssh) и немного SSH.

Информация к размышлению:
Магия SSH
Памятка пользователям ssh

PS
Возможно вам как-то пригодится tinc
Или модный WireGuard

Answer 3

[ComodoHacker]

Защитить HTTP и Telnet можно, только защитив канал. Например, с помощью VLAN.

Comments

[kaw1994]

Vlan это способ защиты, вы серьезно?

[ComodoHacker]

kaw1994, Смотря от чего. Я так понял, вы хотите защитить от MITM. Если трафик между железкой и сервером доступа убрать в VLAN, это вполне способ защиты.

[Александр Карабанов]

Нет. Трафик будет точно так же виден.

[ComodoHacker]

Александр Карабанов, Не будет, если правильно настроить маршрутизацию.

[Александр Карабанов]

Просто остановись - это глупости.

[shurshur]

ComodoHacker, любой метод защиты реализует определённые сценарии угроз. Когда канал может прослушиваться, VLAN в нём ничего не защищает. VLAN используют от другого типа угроз.

Answer 4

[Армянское Радио]

Управление засовывается в отдельный VLAN, далее ставится сервер (обычно на линуксе), с которого уже и происходит управление (а до кучи и мониторинг) всем барахлом.

Более того, даже если железо поддерживает HTTPS, выставлять порт управления в интернет не стоит, по причине

-бекдоры производителя железа
-дыры в админке
-отсутствие адекватных защит от перебора паролей.

Comments

[kaw1994]

В интернете ничего не торчит.
"Управление засовывается в отдельный VLAN, далее ставится сервер (обычно на линуксе), с которого уже и происходит управление (а до кучи и мониторинг) всем барахлом."
Хотелось бы поподробней узнать об этом. Какое ПО и т.д?

[Армянское Радио]

kaw1994, Обычно приходится ставить браузер с поддержкой Java, в особо постылых случаях старых версий HP iLO, придется ставить IE старых версий с Java и дотнетом, а иногда и Flash(!) (потому что гении в HP придумали сделать админку EVA6200 на флеше, Карл!)

Короче, все зависит от парка барахла. Для мониторинга традиционно рекомендуют zabbix и grafana, но лично я пользуюсь nagios и rrdtool