Explicação: como decidir se deve permitir o uso de uma conexão SSH
A configuração Conexão de servidor SSH especifica se o console pode usar uma conexão SSH ao se comunicar com um ponto de extremidade. Existem riscos potenciais de segurança ao usar uma conexão SSH, portanto, antes de tomar uma decisão, é importante entender como e quando o SSH é usado no Security Controls.
Informações básicas
A primeira coisa a saber é que o Security Controls usa o protocolo SMB para se comunicar com máquinas Windows e o protocolo SSH para se comunicar com máquinas Linux. Ao tentar descobrir e se comunicar com máquinas desconhecidas, o console tentará primeiro o SMB; se este falhar, será usado o SSH. O SSH proporciona comunicação segura entre dois pontos de extremidade. Se um ponto de extremidade responder à solicitação SSH, será feita uma tentativa de autenticação no ponto de extremidade usando as credenciais fornecidas pelo console.
Embora o SSH forneça transporte criptografado, todos os dados enviados usando SSH, incluindo nomes de usuário e senhas, ficam visíveis e disponíveis ao servidor SSH. Para garantir a segurança dos dados enviados por meio de conexão SSH, muitas organizações exigem que o cliente valide a autenticidade do sistema remoto ao qual está se conectando antes de enviar quaisquer dados. Security Controls atualmente não suporta o uso de autenticação do servidor SSH. Isso significa que você precisa decidir se deve bloquear as conexões SSH ou permitir que o console ignore o processo de autenticação do servidor SSH.
Como decidir
A decisão de como definir o parâmetro Conexão de servidor SSH deve levar em conta se as máquinas que você está configurando na sua rede são confiáveis. A configuração aparece em dois lugares na interface de usuário do Security Controls, e o escopo e o impacto dela são diferentes em cada um deles.
- Em um grupo de máquinas, nas guias Nome da Máquina, Nome do Domínio, Endereço/Intervalo IP e Unidade Organizacional
- No diálogo Propriedades da Máquina
Ao realizar operações de descoberta nas máquinas definidas em um grupo de máquinas, você geralmente não tem ideia de que tipo de máquina pode estar escutando do outro lado. É possível que você saiba que as máquinas definidas por um determinado intervalo de IP em sua rede sejam máquinas Linux confiáveis. Para essas máquinas, você pode optar por permitir a conexão SSH, seja ignorando o processo de autenticação ou exigindo que cada máquina passe por uma etapa de validação. Ao adicionar domínios ou unidades organizacionais a um grupo de máquinas, no entanto, é muito provável que você não tenha tanta certeza sobre o tipo de sistema operacional das máquinas ou sobre a confiabilidade delas. Nesse caso, você deve optar por bloquear as conexões SSH. A desvantagem, obviamente, é que você não poderá gerenciar suas máquinas Linux da maneira normal, mas existem soluções alternativas disponíveis.
Ao contrário das máquinas em um grupo de máquinas, que ainda não foram descobertas, as máquinas na Exibição de Máquina ou Exibição de Análise são conhecidas pelo console. A quantidade de informações sobre a máquina, no entanto, talvez esteja limitada se a operação de descoberta tiver sido executada enquanto as conexões SSH estavam bloqueadas. Talvez haja pistas sobre a máquina, tal como um endereço de IP estático que você reconheça, permitindo determinar se a máquina é confiável. Nessa situação, você pode usar a caixa de diálogo Propriedades da Máquina para mudar a configuração Conexão de servidor SSH de Bloquear para Validar no arquivo de hosts conhecidos ou Ignorar autenticação do servidor. Isso permitirá que você execute uma análise de status de energia completa e, em seguida, uma instalação do agente via push na máquina Linux.
Resumo das opções de conexão do servidor SSH
- Bloquear: escolha esta se:
- Você não tem nenhuma máquina Linux em seu ambiente
- Você tem máquinas Linux, mas não tem certeza de que todos os servidores SSH em sua rede são confiáveis e seguros
- Você não tem certeza sobre o tipo de SO das máquinas a serem descobertas
- Validar no arquivo de hosts conhecidos: escolha esta opção se quiser usar o arquivo known_hosts para validar cada máquina de destino antes de permitir a conexão SSH. O arquivo known_hosts reside na máquina do console e é exclusivo do usuário que está atualmente conectado a ele. O processo de validação realizado pelo Security Controls é o seguinte:
- Procure o arquivo known_hosts na máquina do console.
- Se o arquivo known_hosts existir e contiver uma entrada referente à máquina de destino, consulte a máquina de destino para obter a chave SSH dela. Security Controls irá comparar essa chave com a existente no arquivo known_hosts . Se as duas chaves coincidirem, permita a conexão.
- Ignorar autenticação do servidor: escolha esta opção somente se tiver certeza de que se trata de máquinas Linux confiáveis e seguras.
Você não poderá executar uma análise do status de energia das máquinas nem instalar o agente por push nelas. Escolher Bloquear não afeta a escuta de comandos do agente nem os resultados que são retornados ao console.
Deve-se instalar um cliente SSH no console do Security Controls para ser possível usar esse processo. Pode ser necessário baixar e instalar manualmente o cliente SSH se seu console estiver em uma versão mais antiga do Windows ou do Windows Server.
O arquivo estará localizado no caminho C:\Users\<username>\.ssh. Se o arquivo não existir, a conexão SSH será bloqueada.
Você pode criar o arquivo known_hosts abrindo um prompt do PowerShell no console do Security Controls e iniciando manualmente uma conexão SSH com a máquina de destino. Durante o processo, a chave de host da máquina de destino é reconhecida e adicionada a um arquivo known_hosts recém-criado.
A chave conhecida pelo Security Controls é originalmente criada usando-se o nome de usuário e a credencial de senha especificada para a máquina.
Soluções alternativas se você escolher Bloqueada
Análises de status de energia
Se uma máquina Linux estiver em um grupo de máquinas, ela será descoberta, mas nenhuma informação do sistema operacional será detectada pela análise. Se você constatar que a máquina é um dispositivo conhecido e sabidamente seguro, poderá acessar o diálogo Propriedades para mudar a configuração Conexão de servidor SSH para Validar no arquivo de hosts conhecidos ou Ignorar autenticação do servidor. As análises futuras da máquina serão concluídas conforme o esperado e fornecerão detalhes completos sobre ela.
Instalando um agente Linux
Você não conseguirá executar a instalação do agente via push em uma máquina Linux se a conexão SSH com essa máquina estiver bloqueada. No entanto, poderá instalar o agente manualmente na máquina. Depois disso, o agente funcionará normalmente, pois a comunicação regular com o console não usa conexão SSH.