Sikring av SSH ved UiO

Et økende trusselbilde, behov for bedre logging, og etterhvert multifaktorautentisering, gjør at vi vil begrense den eksponerte angrepsflaten mot Internett for UiO-maskiner som kan nås via SSH.

Slik setter du opp SSH ved UiO.

Bakgrunn

SSH har i en årrekke blitt benyttet ved UiO for fjerntilgang for Linux- og UNIX-maskiner ved UiO. I mange år var de fleste nettene ved UiO åpne for det meste på Internett, men med årene ble det foretatt oppryddinger i flere runder. Først og fremst skjedde dette på «klientnettene», dvs. de nettene der de fleste stasjonære klientmaskiner ved UiO er koblet til.

Sommeren 2015 ble bruk av RDP mot UiO klientnett sperret. Brukere som var utenfor UiO og som hadde behov for å koble seg opp mot sin kontormaskin, måtte gjøre dette via en springbrettmaskin, rds-portal.uio.no. SSH ble ikke sperret.

Nå har tiden kommet for å gjøre det samme med SSH. Ved å sperre SSH mot de vanlige klientnettene reduseres angrepsflaten fra opp mot 1000 maskiner til kanskje 100 eller mindre. Dette vil drastisk redusere loggmengde, gjøre deteksjon av misbruk vesentlig lettere samt legge til rette for å innføre multifaktor autentisering.

Dette mener vi er mulig å gjennomføre uten vesentlige ulemper for sluttbrukerne. SSH har gode mekanismer for få samme funksjonalitet selv om en må «hoppe» via en springbrettmaskin. 

Bruken av SSH er godt innarbeidet mange steder ved UiO, og vi er kjent med at det er en del klient-programvare som ikke enkelt kan benytte springbrett. For å ikke skape unødvendige problemer vil overgangen skje sakte og kontrollert.

Gjennomføring

Endringen vil bli gjennomført trinnvis.

  1. Det opprettes en ny klientaksessliste som sperrer all inngående trafikk fra verden mot klientnett. Trafikk ut vil være tillatt. Dvs. klientnettet vil oppføre seg som et vanlig hjemmenett.
  2. Det vil bli laget en ny veiledning for sikker bruk av SSH som beskriver hvordan man enkelt kan sette opp sine klienter til å tunnelere trafikken gjennom utvalgte springbrettmaskiner. Denne veiledningen vil være klar i løpet av august.
  3. Enhetene vil bli invitert til å legge på ny klientaksessliste på sine nett for å kunne gjøre det kontrollert nett for nett. Eventuelle tekniske utfordringer eller nødvendige unntak må fanges opp og dokumenteres.
  4. Det vil bli satt en en endelig tidsfrist for når alle klientnett skal være lagt over på ny aksessliste.

Viktige datoer:

  • 1. september 2021: Endringene blir implementert for USIT sitt klientnett.
  • 1. oktober 2021: Endringene blir implementert for resten av klientnettene på UiO.

Gjøre endringen kjent

Lokal-IT må bidra til å sikre at disse endringene og konsekvensene av dem, er kjent for brukere av SSH i deres egne miljøer. Man bør bruke lokale kanaler og henvise til denne siden.

Publisert 29. apr. 2021 11:45 - Sist endret 25. aug. 2021 13:22