ssh и инфраструктуропроблемы

Это канонично, но с точки зрения «этих контор» может не прокатить.

так как можно обратный тунель поднять и контору запалить

а распишите подробней что вы имели ввиду.

Пошел по ssh -R ... домой, оттуда ночью дядя Вася зашел в контору и спёр секретный файл с порнухой для календаря... ну или что другое...

OpenVPN и правила фаерволла, которые дадю устроят если что (чтобы не всё открыто было, а только нужные админам ресурсы).

OpenVPN ес-но сразу в режиме tls-server, чтобы каждый клиент по своему сертификату ходил, а не один psk.

Что у вас за контора? В смысле - откуда растут ноги требований безопасников?

Поднять VPN - нормальный вариант (вообще, странно, что его не было между филиалами изначально). Если безопасники сильно парятся - можно использовать сертифицированные решения. Их есть и под линукс, да.

В крайнем случае - можно использовать по два компа - один в защищенном контуре, второй - для управления оборудованием филиалов.

Все правильно. OpenVPN отлично подходит для этой цели.

Я им посоветовал поднять VPN между узлами филиалов и конторой, и ходить по ssh внутри VPN.

Очень странно что раньше такого не было сделано.

И вообще с точки зрения «таких» контор, оно прокатит?

«такая контора» «такой конторе» рознь. Есть предприятия где технологическая сеть физически отделена от остальной, но там и админы локально на удаленных обьектах присутствуют.
Но так же бывает что все-таки организуют шлюзы в нее с ограниченным доступом, и не редкость когда делается это самовольно, что бы лишний раз не бегать (типа все равно никто в этом не понимает и не попалит).

а админам ssh (так как можно обратный тунель поднять и контору запалить)
И предложил поднять OpenVPN для этой цели.

Если это про тех же админов которые будут его поднимать, то не какой разницы, с таким же успехом для удобства себе любимым и поправят конфиги fw и т.д.
К вопросу надо подходить по другому. Дядя запретил инет на удаленных обьектах, на удаленных обьектах надо выполнять работу, которую можно выполнить или используя инет ssh, vpn (конечно удобнее), пофиг вобщем или имея на обьекте отдельного админа. Все это надо донести до руководства, пусть оно и решает что им важнее безопасность или экономия денег.

Очень странно что раньше такого не было сделано.

Дык там обычно всем пофиг было.

технологическая сеть физически отделена от остальной

Так изначально и было пока не сократили всю верхушку филиалов, бугалтерию и IT-отделы. Оставили только в конторе. Ездят в командировки.

с таким же успехом для удобства себе любимым и поправят конфиги fw

Запретами рулит «оффшорное IT» по звонку главного безопасника. Свои админы на это повлиять не могут. На удалённых объектах никто не будет ничего запрещать, там никакие запреты не действуют. Там сидят и продажники, и специалисты, интернет - производственная необходимость.

виндовой инфраструктуры
стоят роутеры на FreeBSD

Поделил на ноль. Если там не стоят виндовые сервера, делающие NAT - это не виндовая инфраструктура(в плане сети конечно, про почтовик я молчу - благо увидел exchange в тексте :-)).

Тут вариантов может быть масса - от OpenVPN до IPSec, который кстати обычно есть и в сертифицированных вариантах.

И вообще - на двух стульях усидеть нельзя. Удобство, безопасность, дешево. Выбери 2 из трех.

Если выбрал удобство и безопасность - добро пожаловать в анальный мир нормальных сертифицированных решений(привет небюджетные цыски, сертифицированных по ФСТЭК и прочему).

Хочу правда подчеркнуть, в понятие безопасность я в данном посте включаю «чтобы дядя-безопасник пошёл курить бамбук». Поэтому и рассматриваются сертифицированные решения.

Так изначально и было пока не сократили всю верхушку филиалов, бугалтерию и IT-отделы. Оставили только в конторе. Ездят в командировки.
Запретами рулит «оффшорное IT» по звонку главного безопасника. Свои админы на это повлиять не могут.

Рулить то оно может, но деньги-то они только получают, а никак не «считают». Если руководство считает обоснованным частые командировки и по деньгам устраивает, значит так и будет.

Удобство и безопасность != сертифицированное решение. Опять же, выбирая этот пункт придётся озадачиться орг мерами, что совсем не айс.

Для удобного решения Microtik и на нем тебе и VPN и FW, pfSense опять же можно взять, тысячи их.

попробуй на это посмотреть под другим углом. ваш безопасник оказал вам большую услугу. вам запретили ssh, ну это же хорошо.

зачем в 21 веке сисадмину лично заходить на сервер и по ссх чтото админить.

используйте chef, puppet, ansible. все что душе угодно.

я как сторонник chef, настроил бы в регионах клиентов chef, головной сервер chef держал бы в головном офисе.

все настройки спускались бы от головы в регионы. без участия администратора.

и главное можно подружиться с безопасником, вместе разрабатывайте правила и спускайте их вниз.

очень рекомендую почитать книгу chef - test driven infrastructure.

Удобство и безопасность != сертифицированное решение

Ты до конца до читай. Под безопасностью я подразумевал безопасность при которой безопасник заткнётся.

используйте chef, puppet, ansible. все что душе угодно.

Читаем топик

разного рода UNIX-компы, системы сбора данных и тп.

Что за оборудование «системы сбора данных» и тем более «и тп» мы не знаем. Например перешивать пром. контроллер находящийся за тысячи верст я бы стал только вручную. Честно говоря даже находящийся в десятках километров от ближайшей аварийной бригады бывает стремно перешивать удаленно.

Раньше админ конторы по заявке шел по ssh куда надо и делал командочки по бумажке.

а теперь chef на локальном компьютере будет выполнять команды из центра. и ssh не нужен.

и где я говорил, что нужно удаленно прошивать контроллер?

Всё, всем спасибо! Товарищи утвердили OpenVPN.