С помощью чего организовать сервер централизованного доступа?
Имеется куча железок. Какие-то поддерживают только ssh, какие-то только telnet, какие-то только http.
В моей голове это выглядит так: Клиент => какая-то железка, которая имеет доступ к web/telnet/ssh => сам web/telnet/ssh
Есть еще несколько вопросов:
1) Можно ли защитить http? (Именно http, т.к. https коммутатором не поддерживается)
2) Можно ли защитить telnet?
3) С помощью чего организовать сервер централизованного доступа?
Есть такой вот продукт - Hashicorp Boundary.
Выступает в качестве прокси для соединений. Теоретически, может авторизовать подключение по любому TCP-протоколу.
Для работы будет требовать использовать свой клиент для установки соединений и выполнения авторизации пользователя.
kaw1994, если это под ваши задачи - космолет, то стандартный способ - обычная виртуалка с linux. Администраторы по ssh/vnc /rdp подключаются к виртуалке и только с нее могут администрировать весь парк железок. Т.е. железки должны принимать подключения только с этого сервера или определенного management VLAN, в котором они все находятся, а сервер управления туда смотрит одним из своих интерфейсов.
Важно такую виртуалку защитить от установки левого ПО и доступов в интернет.
kaw1994, ssh позволяет строить туннели, пробрасывать порты или выступать в качестве socks-proxy. Поэтому , установив туннельное соединение с таким сервером, далее можно подключаться любым другим TCP протоколом.
1) Можно ли защитить http? (Именно http, т.к. https коммутатором не поддерживается)
Да.
2) Можно ли защитить telnet?
Да.
3) С помощью чего организовать сервер централизованного доступа?
Сервер на GNU/Linux в качестве Jump host (собственно, как вы и описываете в вопросе Клиент => какая-то железка, которая имеет доступ к web/telnet/ssh => сам web/telnet/ssh) и немного SSH.
kaw1994, Смотря от чего. Я так понял, вы хотите защитить от MITM. Если трафик между железкой и сервером доступа убрать в VLAN, это вполне способ защиты.
ComodoHacker, любой метод защиты реализует определённые сценарии угроз. Когда канал может прослушиваться, VLAN в нём ничего не защищает. VLAN используют от другого типа угроз.
Управление засовывается в отдельный VLAN, далее ставится сервер (обычно на линуксе), с которого уже и происходит управление (а до кучи и мониторинг) всем барахлом.
Более того, даже если железо поддерживает HTTPS, выставлять порт управления в интернет не стоит, по причине
-бекдоры производителя железа
-дыры в админке
-отсутствие адекватных защит от перебора паролей.
В интернете ничего не торчит.
"Управление засовывается в отдельный VLAN, далее ставится сервер (обычно на линуксе), с которого уже и происходит управление (а до кучи и мониторинг) всем барахлом."
Хотелось бы поподробней узнать об этом. Какое ПО и т.д?
kaw1994, Обычно приходится ставить браузер с поддержкой Java, в особо постылых случаях старых версий HP iLO, придется ставить IE старых версий с Java и дотнетом, а иногда и Flash(!) (потому что гении в HP придумали сделать админку EVA6200 на флеше, Карл!)
Короче, все зависит от парка барахла. Для мониторинга традиционно рекомендуют zabbix и grafana, но лично я пользуюсь nagios и rrdtool