FreeIPA - bezpečnost otevření portu do internetu

[tuxmartin]

Ahoj, potrebuju zajistit centralni prihlasovani nekolika uzivatelu na velke mnoszvi serveru.
Aktualne zkousim FreeIPA a dost se mi libi. Nejsem si vsak jisty bezpecnosti - instalator chce otevrit nasledujici porty:

Kód: [Vybrat]

Setup complete
Next steps:
        1. You must make sure these network ports are open:
                TCP Ports:
                  * 80, 443: HTTP/HTTPS
                  * 389, 636: LDAP/LDAPS
                  * 88, 464: kerberos
                  * 53: bind
                UDP Ports:
                  * 88, 464: kerberos
                  * 53: bind
                  * 123: ntp

Na testovani jsem otevrel do internetu vsechny pozadovane porty, krome 53 (bind) a 123 (ntp) a vse funguje, klienti se pripoji.
Nejde mi o lokalni sit. Naopak servery jsou po celem svete.

Jak moc je bezpecne vsechny porty otevrit do internetu a je to opravdu nutne?
Minimalne nesifrovany ldap se mi nelibi.

Pouzivate nekdo FreeIPA? A jake s ni mate zkusenosti? Co se vam libi, nebo naopak nelibi a na co si dat pozor?
Pripadne pouzivate neco jineho/lepsiho?

[Reklama]

[asdf111]

cely tvoj security koncept je od zaciatku naopak si si isty, ze chces mat otvorene lubovolne porty spojene s prihlasovanim sa na servre voci  internetu? skus pouvazovat nad vpn

[tuxmartin]

VPN v tomto případě nechci použít.

VPN by byla další věc, která by se musela nastavovat a mohla by se rozbít.
Navíc vzhledem k velkému množství různých serverů a různých lokálních uživatelích na nich by pak tato vpn byla "napůl veřejná síť".

Vlastně mi jde o to, abych na všech serverech měl pár uživatelů a pro všechny z nich povolené sudo. Potřebuju, aby se jejich seznam a SSH klíče periodicky aktualizovaly z centrálního místa.
To by šlo zařídit shellovým skriptem v cronu, který by to periodicky stahoval. Ale FreeIPA se mi zdá mnohem profesionálnější.

[JardaP .]

No, to je pekne hafo portu. Nemela by takovahle vec jet nejlepe na jednom portu po krute sifrovanem provozu? Navic 80, DNS, LDAP, NTP? Na co, proboha? To programovali v nejakem IT krouzku z pomocne skoly? Me by se z toho udelala vyrazka, na vasem miste bych utikal.

[tuxmartin]

To programovali v nejakem IT krouzku z pomocne skoly? Me by se z toho udelala vyrazka, na vasem miste bych utikal.

Ne, FreeIPA vyvíjí Red Hat :-)

[Reklama]

[asdf111]

VPN v tomto případě nechci použít.

VPN by byla další věc, která by se musela nastavovat a mohla by se rozbít.
Navíc vzhledem k velkému množství různých serverů a různých lokálních uživatelích na nich by pak tato vpn byla "napůl veřejná síť".

Vlastně mi jde o to, abych na všech serverech měl pár uživatelů a pro všechny z nich povolené sudo. Potřebuju, aby se jejich seznam a SSH klíče periodicky aktualizovaly z centrálního místa.
To by šlo zařídit shellovým skriptem v cronu, který by to periodicky stahoval. Ale FreeIPA se mi zdá mnohem profesionálnější.

to je celkom jedno ake mas ty poziadavky, ale tieto protokoly nie su stavane voci nezapezpecenym sietam ako je internet.
Pre kerberos potrebujes mat v DNS dost citlive TXT zaznamy, chces to vystavovat internetu? potrebujes mat syncnuty cas na oboch stranach dost spolahlivo a vela dalsich podmienok ktore s atazko zabezpecuju na nezabezpecenej sieti.
Podla mna profesionalne nesposobi pouzivat technologie v usecasoch ktore idu proti ich navrhu... Ak chces posobit profesionalne, tak si bohuzial zaobstaraj VPN.

[Kkt1]

To programovali v nejakem IT krouzku z pomocne skoly? Me by se z toho udelala vyrazka, na vasem miste bych utikal.

Ne, FreeIPA vyvíjí Red Hat :-)

Coz nekdy vyjde na stejno...

[Sten]

S provozem přes internet není problém, všechny ty porty používají služby, které jsou velmi dlouho testované a auditované (389 Directory Server, MIT KDC, ntpd, Bind, …). Zkuste si najít FreeIPA hardening, je třeba vhodné zablokovat rekurzi na Bindu a nejsem si jistý, jestli už je ve výchozím nastavení blokován anonymní LDAP bind (mohl vyčíst jména uživatelů).

Mimochodem sám jsem ještě minulý měsíc používal FreeIPA přes veřejný internet a bezpečnostní problémy jsem s tím neměl. VPN (Tinc) jsem nakonec nasadil kvůli jiným službám, a když už jsem ji stejně potřeboval, tak do ní šla i FreeIPA. Ale dobře si tohle zvažte, IPA nelze přesunout na jinou doménu, takže přesun do VPN znamenal přeinstalaci celé domény včetně výměny DNSSEC klíčů.

No, to je pekne hafo portu. Nemela by takovahle vec jet nejlepe na jednom portu po krute sifrovanem provozu? Navic 80, DNS, LDAP, NTP? Na co, proboha? To programovali v nejakem IT krouzku z pomocne skoly? Me by se z toho udelala vyrazka, na vasem miste bych utikal.

Zkuste si nejdřív najít, co FreeIPA je. Pak vám třeba dojde, na co používá tyhle porty.

[JardaP .]

Zkuste si nejdřív najít, co FreeIPA je. Pak vám třeba dojde, na co používá tyhle porty.

To je celkem putna, duveru to nebudi bez ohledu na to, na co je to pouziva. A cim vic sluzeb vystavujete ven, tim vetsi riziko. Treba zrovna Bind byval oblibenym krizovkovym vtipem: Bezpecnstni dira na ctyri.

[Co znamena A v IPA?]

Pokud chcete aby vam FreeIPA delal DNS server, tak 53 je logicky potreba. V opacnem pripade nepouzijete volbu '--setup-dns' a na 53 poslouchat nebude.

NTP je prezitek z doby, kdy se MIT Kerberos neumel vyporadat s ruznym casem na klientech a serveru, doporucuji '--no-ntp'  na FreeIPA serveru i klientech.

IIRC na 80 posloucha pouze kvuli OCSP reponderu (a redirect na 443), pokud nebudete potrebovat CA nebo verite ze revokace stejne nefunguje, muzete jej zavrit.

Pokud se vasi uzivatele budou prihlasovat SSH klicem a FreeIPA bude slouzit jen k jejich distribuci na clienty, tak bude stacit otevrit 443, aby mohli uzivatele spravovat sve klice. Ostatni porty (88, 389, 443, mozna i 636) mohou byt omezeny jen na seznam clientu.

[James_Scott]

VPN v tomto případě nechci použít.

VPN by byla další věc, která by se musela nastavovat a mohla by se rozbít.
Navíc vzhledem k velkému množství různých serverů a různých lokálních uživatelích na nich by pak tato vpn byla "napůl veřejná síť".

Vlastně mi jde o to, abych na všech serverech měl pár uživatelů a pro všechny z nich povolené sudo. Potřebuju, aby se jejich seznam a SSH klíče periodicky aktualizovaly z centrálního místa.
To by šlo zařídit shellovým skriptem v cronu, který by to periodicky stahoval. Ale FreeIPA se mi zdá mnohem profesionálnější.

ja presne pro tyhle ucely pouzivam Ansible - nadefinuji usery, hesla, SSH klice, sudo, atd.. a pustim to pres vsechny servery. Jasne, neni to centralni autentizace jako FreeIPA nebo LDAP / AD, ale ta jednoduchost to vsechno vynahrazuje. Navic jsou vsichni uzivatele v serverech lokalni, takze neni treba resit PAM moduly a tak dale..
A jedine co ti k tomu staci je SSH port

[darkenik]

Bezpecnstni dira na ctyri.
[/quote]

myslim ze sudo ;-), hlavne ked ho dostane kazdy

[Lol Phirae]

Vystavit tohle do internetu je asi podobně inteligentní nápad jako tam vystavit domain controller na Windows nebo na Sambě. Vy jste se lidi snad už fakt pomátli.