Прежде чем задать свой вопрос, я хотел бы указать, что я веб-разработчик, который обычно использует Stack Overflow и новичок в Sever Fault, я думаю, что это лучшее место для этого вопроса.
Я недавно устроился на новую работу, и, среди прочего, мой ИТ-отдел не хочет разрешать Шпатлевка доступ в Интернет.
Я уверен, что для этого есть настоящая причина, и мне просто интересно узнать их причины. Я могу себе представить, что разрешение доступа любой программе через любой порт к Интернету может быть угрозой безопасности, но есть ли какая-то особая причина, по которой Putty может быть опасной.
Заранее спасибо.
Я не подозреваю, что они против самого PuTTY, а против необходимости открыть порт на брандмауэре. Лично у нас есть несколько пользователей, которым необходимо использовать PuTTY для управления внутренними машинами, и они могут это делать. Однако, если бы они попросили меня открыть порт SSH на брандмауэре, как ваш ИТ-отдел, я был бы гораздо осторожнее.
Вы действительно спрашивали их, почему? Нет необходимости быть агрессивным или конфронтационным, но разумно "Я ценю ваше нежелание - не могли бы вы подробнее рассказать о своих опасениях, и можем ли мы поговорить о потенциальных способах смягчения потенциальной угрозы"(или другие слова на этот счет). Вы можете прийти к компромиссу, так что SSH будет открыт на брандмауэре, но только для определенных явно определенных внешних хостов.
Причины, вероятно, столь же просты: есть ли какое-либо коммерческое оправдание для вашего ssh-доступа к внешним серверам? вы можете использовать его [через ssh-туннель], чтобы обойти любые корпоративные политики доступа к Интернету / проверки, которые они имеют [и могут быть обязаны иметь место в соответствии с некоторыми конкретными правилами].
примечание: я очень рад, что мне не приходится работать в такой среде и мне не нужно применять такие политики к нашим пользователям.
Ну, используя putty вы можете настроить зашифрованный туннель к внешнему хосту. Это делает вас невосприимчивым к любым инструментам проверки трафика, поскольку вы можете настроить прокси HTTP / HTTPS или Socks на этом внешнем хосте и нарушить все корпоративные ограничения с помощью этого прокси. Но отключение Putty (на самом деле трафик 22 / tcp) кажется своего рода защитой от неизвестности. Вы всегда можете настроить внешний SSH-сервер, используя законный порт, например 80 / tcp, 443 / tcp или даже 53 / udp.