Explicación: decidir si se permite o no el uso de una conexión SSH
El ajuste de Conexión del servidor SSH especifica si se puede usar una conexión SSH cuando la consola se comunica con un punto terminal. Hay riesgos de seguridad potenciales al usar una conexión SSH, por lo que, antes de tomar una decisión, es importante que comprenda cómo y cuándo se usa un SSH en Security Controls.
Información de fondo
Lo primero que hay que saber es que Security Controls usa el protocolo SMB para comunicatse con los equipos de Windows y el protocolo SSH para comunicarse con los equipos de Linux. Cuando intenta detectar y comunicarse con equipos desconocidos, en primer lugar, la consola probará SMB, si eso falla, usará SSH. SSH proporciona una comunicación segura entre dos puntos terminales. Si un punto terminal responde a la solicitud SSH, se hace un intento de autenticar con el punto terminal mediante las credenciales que proporciona la consola.
Aunque SSH proporciona transporte cifrado, los datos enviados mediante SSH, incluidos los nombres de usuarios y contraseñas, son visibles y están disponibles para el servidor SSH. Para garantizar la seguridad de los datos que se envían mediante una conexión SSH, muchas empresas requieren que el cliente valide la autenticidad del sistema al que se va a conectar antes de enviar datos. Security Controls actualmente no es compatible con el uso de la autenticación del servidor SSH. Esto significa que debe decidir sin va a bloquear las conexiones SSH o permitir que la consola omita el proceso de autenticación del servidor SSH.
Cómo tomar una decisión
Su decisión sobre cómo configurar los ajustes de conexión del servidor SSH se reducen a si los equipos que va a configurar son equipos de confianza de su red. El ajuste aparece en dos lugares de la interfaz de usuario de Security Controls, y el ámbito e impacto del ajuste varía en cada área.
- En un grupo de equipos de las pestañas Nombre del equipo, Nombre del dominio, Dirección/Rango de IP y Unidad organizativa
- En el diálogo Propiedades del equipo
Cuando se llevan a cabo operaciones de detección en equipos definidos en un grupo de equipos, a menudo no sabe qué tipo de equipo puede estar escuchando en el otro lado. Es posible que desee conocer qué equipos de los que se definen con un rango de IP determinados en su red son equipos de confianza de Linux.d Para esos equipos, puede elegir permitir la conexión SSH mediante la omisión del proceso de autenticación o requiriendo que cada equipo pase por un paso de validación. Cuando se agregan dominios o unidades organizativas a un grupo de equipos, es muy probable que no esté seguro de el tipo de sistema operativo de los equipos o de su nivel de confianza. En este caso, debe elegir bloquear las conexiones SSH, el lado negativo, por supuesto, es que no podrá administrar sus equipos de Linux con normalidad, pero se puede hacer de maneras alternativas.
A diferencia de los equipos de un grupo de equipos que aun deben detectarse, la consola conoce los equipos de la Vista Equipos o de la Vista Análisis. No obstante, la cantidad de información sobre un equipo, puede limitarse si la operación de detección se llevó a cabo mientras las conexiones SSH estaban bloqueadas. Es posible que haya pistas sobre un equipo, como una dirección que usted reconozca como una IP estática, que le permitirán determinar si un equipo es de confianza. En esta situación, puede usar el diálogo Propiedades del equipo para cambiar los ajustes de Conexión del servidor SSH desde Bloque a Validar en el archivo del host conocido u Omitir la autenticación del servidor. Esto le permitirá llevar a cabo un análisis del estado de la energía completo y, a continuación, una instalación forzada de un agente en los equipos de Linux.
Resumen de las opciones de conexión del servidor SSH
- Bloqueo: seleccione esta opción si:
- No tiene ningún equipo Linux en su entorno
- Tiene equipos Linux, pero no está seguro de que todos los servidores SSH de la red sean de confianza y seguros
- Está seguro del tipo de SO de los equipos que se detectarán
- Validar en el archivo de host conocido: seleccione esto si desea usar el archivo known_hosts para validar cada equipo de destino antes de permitir una conexión SSH. El archivo known_hosts se encuentra en el equipo de la consola y es único para el usuario que actualmente ha iniciado sesión en la consola. El proceso de validación que lleva a cabo Security Controls es el siguiente:
- Busque el archivo known_hosts en el equipo de la consola.
- Si el archivo known_hosts existe y el archivo contiene una entrada para el equipo de destino, consulte el equipo de destino en busca de la clave SSH. Security Controls comparará la clave con la del archivo known_hosts. Si coinciden dos claves, permita la conexión.
- Omitir la autenticación del servidor: elija esto solo si está seguro de que los equipos son de confianza y son equipos seguros de Linux.
No podrá llevar a cabo un análisis del estado de la energía del equipo ni una instalación forzada de un agente en los equipos. La selección de Bloqueo no afecta a los comandos del agente de escucha ni en los resultados que se devuelven a la consola.
Se debe instalar un cliente SSH en la consola de Security Controls para usar este proceso. Es posible que deba descargar e instalar manualmente un cliente SSH si la consola está en una versión anterior de Windows o de Windows Server.
<username>El archivo se ubicará en la ruta C:\Users\\.ssh. Si el archivo no existe, se bloqueará la conexión SSH.
Puede crear el archivo known_hosts abriendo un aviso de PowerShell en la consola de Security Controls e iniciando manualmente una conexión SSH en el equipo de destino. Durante el proceso, la clave del host del equipo de destino se reconoce y se agrega a un nuevo archivo known_hosts.
La clave denominada Security Controls se crea originalmente mediante las credenciales de nombre de usuario y contraseña que se especifica para el equipo.
Soluciones alternativas si elige Bloqueado
Análisis del estado de la energía
Si un equipo Linux está en un grupo de equipos, aquella se detectará, pero no se detectará información alguna del sistema operativo mediante el escaneo. Si determina que el equipo es un dispositivo conocido y se sabe que es seguro, puede ir al diálogo Propiedades del equipo para cambiar el ajuste Conexión del servidor SSH a Validar en el archivo del host conocido u Omitir la autenticación del servidor. Los análisis futuros del equipo se completarán como se espera y proporcionarán detalles completos sobre el equipo.
Instalar Agentes de Linux
No podrá llevar a cabo una instalación forzada de un agente en un equipo de Linux si la conexión SSH de ese equipo está bloqueada. No obstante, puede instalar manualmente un agente en el equipo. Después de eso, el agente funcionará con normalidad, puesto que la comunicación frecuente con la consola no requiere el uso de una conexión SSH.