Dienst durch ssh forwarding absichern?

[hulda-90]

Hi, sagen wir, ich habe einen Dienst, der auf localhost Port 3334 horcht. Außerdem eine firewall, die alles bis auf den SSH Port blockt.

1. Kann ich dann einfach ssh tunneling nutzen, um auf den Dienst zuzugreifen?
2. Kann nur ich dann diesen Tunnel nutzen?
3. Ist alles verschlüsselt und auch sicher?

Danke für Antworten 😊

 

[mihe7]

1. Ja.
2. Was heißt "nur ich ... nutzen"?
3. Was heißt "alles" und "sicher"?

Gerade Sicherheit ist relativ. Die Kommunikation wird eben über den Tunnel verschlüsselt.

 

[hulda-90]

Zu 2.: Naja, ich öffne ja eben einen lokalen Port bei mir, über den ich kommuniziere. Das gilt dann aber nur für meinen Computer, richtig?

ssh -L 3335:localhost:3334 ssh_server_hostname

local_port = 3335 ...
remote_port = 3334 ...

 

[hulda-90]

Sprich, jemand, der meine IP kennt, kann nicht einfach diesen Tunnel nutzen, richtig?

 

[mihe7]

Ja. Außer Du hast ein VPN konfiguriert.

 

[Gelöschtes Mitglied 65838]

du kannst auch port knocking anschauen

 

[hulda-90]

Achtung, jetzt kommt eine absolut professionelle Zeichnung:



Frage: Ist diese (schematische) Darstellung so richtig?

Und kann kein anderer aus dem Netz den SSH-Tunnel nutzen?

 

[mihe7]

Ja. wobei der Tunnel in der Zeichnung eigentlich durch das Netz gehen müsste

 

[hulda-90]

Das hab ich doch mit der Blase andeuten wollen

 

[hulda-90]

Also machen das auch Sicherheitsexperten genau so?

 

[mihe7]

Bin kein Sicherheitsexperte aber ich würde mal sagen, dass SSH-Tunnel ein vollkommen gängiger Weg sind. Machen wir in der Arbeit z. B: auch, d. h. auf dem gemieteten Server läuft ein Dienst, der von außen nicht erreichbar sein soll. Der Dienst bindet am Server nur an localhost und die Firewall hat alles zu außer einem Port für SSH. Soll der Dienst genutzt werden, macht man eben einen SSH-Tunnel auf. Allerdings ist SSH nicht in Standardkonfiguration, d. h. root-Access ist nicht erlaubt, Passwort-Authentifizierung auch nicht, die DH-Parameter sind customized und die Ciphersuite enthält nur Algorithmen, die von Sicherheitsexperten als sicher angesehen werden.

Wenn es um das Firmennetzwerk in "normalen" Firmen geht, dann findest Du dort eher VPN-Lösungen, die auf die Hardware abgestimmt sind, z. B. von Cisco oder Sophos. Ansonsten gibts dort auch meist die Möglichkeit, per Fernwartungssoftware auf einzelne Server zuzugreifen (Anwender startet den Client).

Das sind zumindest meine Erfahrungen, die mir spontan einfallen.

 

[hulda-90]

ja, wunderbar dann passt ja alles so Danke für die Erklärung! 😅

SSH(d) hab ich auch so konfiguriert, bis auf das Deaktivieren der Passwort-Authentifizierung und die Verwendung von Zertifikaten, weil ich das "Overkill" finde. Wenn Passwörter wirklich unsicher sind, warum erlaubt sie ssh dann noch? 🤔

und ich hab einen anderen Port im oberen Bereich, der nicht so schnell durch Port-Tools gefunden werden können soll...

aber das geht jetzt vielleicht zu weit 😅

 

[mihe7]

und die Verwendung von Zertifikaten, weil ich das "Overkill" finde

Warum Overkill? Die Public Key Authentifizierung (das sind keine Zertifikate) ist nicht nur sicherer sondern, wie ich finde, auch praktischer

 

[hulda-90]

Kannst du bitte erklären, warum die Passwort-Authentifizierung deiner Auffassung nach unsicherer wäre? Ich glaube noch nicht so recht daran.

 

[LimDul]

Leute neigen dazu schlechte Passwörter zu verwenden, bzw. Passwörter bei verschiedenen Diensten identisch zu verwenden. Wenn ich wirklich sichere Passwörter verwende, sind das Passwörter, die ich mir nicht mehr merken kann, sondern wo ich immer auf den Passwort-Safe zugreifen muss. Konsequenz ist, dass es extrem unpraktisch für Logins auf Servern ist. Zertifikate aka public/private Keys sind die einzig sinnvolle Möglichkeit sich automatisch - z.B. per Skript - einzuloggen.

 

[hulda-90]

Danke, das ist doch mal eine Erklärung.

Ja, OSI-Layer-8 darf man nicht außeracht lassen ....