Hi,
kann man von auserhalb auf Rechner eines LAN Zugreifen?
In unserem Homenetzwerk sind alle Rechner hinter einem Modem und einer Router-Firewall. Die IP Adressen der Rechner sind die ganz normalen internen 192.168.0.x Adressen.
Wie kann ich mich jetzt von irgendwo (Internetcafe etc...) mit ssh darauf einloggen.
Von irgendwo per ssh auf meinem Rechner einloggen
Log dich per ssh auf der Firewall ein und von da aus weiter auf die lokalen Rechner.
Klar ist natürlich daß dazu ssh auf die Firewall erlaubt sein muß und damit auch angreifbar ist..
Klar ist natürlich daß dazu ssh auf die Firewall erlaubt sein muß und damit auch angreifbar ist..
i support free software: http://www.fsfe.org/en/fellows/esteel
a great free and opensource FPS game: http://nexuiz.com
a great free and opensource FPS game: http://nexuiz.com
Es handelt sich hierbei um einen Netgear Router
http://www.netgear.de/Privat/Router/Fir ... index.html
Ich nehme an, dass dort kein ssh-Server laufen wird.
http://www.netgear.de/Privat/Router/Fir ... index.html
Ich nehme an, dass dort kein ssh-Server laufen wird.
-
herrchen
- Beiträge: 3257
- Registriert: 15.08.2005 20:45:28
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Berlin
dann mach´ die authentifizierung über zertifikate.tobb hat geschrieben:Ok und wenn ich das koennte dann wuerde nur noch ein Username und ein Passwort den Angreifer von diesem PC trennen.
das musst du wissen.Da in unserem Netzwerk aber sehr vertrauliche Daten (Homeoffice, Firemndaten usw...) liegen ist diese Methode aber etwas unsicher oder?
herrchen
Was ist das?herrchen hat geschrieben:dann mach´ die authentifizierung über zertifikate.tobb hat geschrieben:Ok und wenn ich das koennte dann wuerde nur noch ein Username und ein Passwort den Angreifer von diesem PC trennen.
Ja, es ist uns zu unsicher.herrchen hat geschrieben:das musst du wissen.Da in unserem Netzwerk aber sehr vertrauliche Daten (Homeoffice, Firemndaten usw...) liegen ist diese Methode aber etwas unsicher oder?
Wenn das Komma zwischen "Homeoffice" und "Firmendaten" als "und" zu lesen ist, würde ich mir über weitere Sicherheitsprobleme auch keine Gedanken mehr machen...Da in unserem Netzwerk aber sehr vertrauliche Daten (Homeoffice, Firemndaten usw...)
Grundsätzlich kannst Du es vergessen, vertrauliche Arbeiten an nicht vertrauenswürdigen Computern durchzuführen. Du könntest Dich zwar theoretisch per one-time-password anmelden, aber dann könnte immernoch der Rechner manipuliert sein, sodass ein Man-in-the-Middle- Angriff möglich ist und alles mitgelesen werden kann.
Das Problem ist der Parser. Der ist nicht fuzzy genug.
--Klaus Knopper
--Klaus Knopper
Du kannst eventuell den Spieß auch umdrehen. Falls du von innerhalt deines Netzwerks nach draussen kommst kannst du dich per ssh auf einem Rechner ausserhalb anmelden und dort einen Port über ssh tunneln. Dann kommst du von dem Rechner und nur von dem auf den Rechner im Netzwerk.
Grundsätzlich ist aber natürlich die Frage wieso du sowas hier fragst anstatt deine Admins wenn es wirklich so vertrauenswürdigen Dateien sind
Grundsätzlich ist aber natürlich die Frage wieso du sowas hier fragst anstatt deine Admins wenn es wirklich so vertrauenswürdigen Dateien sind
i support free software: http://www.fsfe.org/en/fellows/esteel
a great free and opensource FPS game: http://nexuiz.com
a great free and opensource FPS game: http://nexuiz.com
WIeso soll ich jetzt irgendwelche Manuals lesen (cih weiß nicht mal welche) und mich in ein Thema einarbeiten, wenn es wohlmöglich noch der flasche Weg ist den ich hier einschlage.
Ich suche mir hier nur den Weg und lerne dann den Rest selber, aber da es ja viele Möglichkeiten so einen remote Zugriff zu regeln...
Ich suche mir hier nur den Weg und lerne dann den Rest selber, aber da es ja viele Möglichkeiten so einen remote Zugriff zu regeln...
-
McAldo
- Moderator
- Beiträge: 2069
- Registriert: 26.11.2003 11:43:36
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Terra / Sol-System / Milchstraße
Du mußt auf jedenfall den Port forwarden (vom Router zum Einlogg-PC).
Dann könntest du auf dem Rechner eine restricted bash einrichten, in welche sich der User von außen einloggen kann. Root sollte der Zugriff über ssh verboten werden.
Die restricted Bash kann man noch soweit einschränken, dass nur vorgegebene Kommandos ausgeführt werden können. Aus dieser Umgebung kann man dann z.B. root werden. So muß ein Angreifer 2 Passwörter knacken.
Ich versuche gerade soetwas einzurichten und werde bei Erfolg auch eine Anleitung ins Wiki stellen. Wird aber noch etwas dauern, da leider immer mehrere Sachen zugleich laufen müssen.
Auf jedenfall solltest du mit den nun gegebenen Tipps etwas anfangen können, um dein Wissen in dieser Richtung aufzubauen.
Stichworte: ssh und vpn
Google und die Suche hier im Forum werden dir eine Menge Infos liefern. Wenn dann noch Verständnisfragen sind, kannst du die stellen. Es wird aber keiner eine Lösung für dich basteln, wenn bemerkt wird, dass von deiner Seite keine Anstrengungen unternommen werden. Das ist nicht böse gemeint, aber dies hier ist kein kostenpflichtiger Support, sondern hier helfen User anderen Usern. Jeder hat aber noch eigene Probleme für die er Zeit aufbringen muß.
Ich wünsche dir auf jedenfall viel Erfolg.
McAldo
Dann könntest du auf dem Rechner eine restricted bash einrichten, in welche sich der User von außen einloggen kann. Root sollte der Zugriff über ssh verboten werden.
Die restricted Bash kann man noch soweit einschränken, dass nur vorgegebene Kommandos ausgeführt werden können. Aus dieser Umgebung kann man dann z.B. root werden. So muß ein Angreifer 2 Passwörter knacken.
Ich versuche gerade soetwas einzurichten und werde bei Erfolg auch eine Anleitung ins Wiki stellen. Wird aber noch etwas dauern, da leider immer mehrere Sachen zugleich laufen müssen.
Auf jedenfall solltest du mit den nun gegebenen Tipps etwas anfangen können, um dein Wissen in dieser Richtung aufzubauen.
Stichworte: ssh und vpn
Google und die Suche hier im Forum werden dir eine Menge Infos liefern. Wenn dann noch Verständnisfragen sind, kannst du die stellen. Es wird aber keiner eine Lösung für dich basteln, wenn bemerkt wird, dass von deiner Seite keine Anstrengungen unternommen werden. Das ist nicht böse gemeint, aber dies hier ist kein kostenpflichtiger Support, sondern hier helfen User anderen Usern. Jeder hat aber noch eigene Probleme für die er Zeit aufbringen muß.
Ich wünsche dir auf jedenfall viel Erfolg.
McAldo
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)
ssh zu unsicher? Soweit ich weiss, kann das nur mit bruteforce geknackt werden und bei einem guten passwort ist das doch eigentlich ausgeschlossen.tobb hat geschrieben:Was ist das?herrchen hat geschrieben:dann mach´ die authentifizierung über zertifikate.tobb hat geschrieben:Ok und wenn ich das koennte dann wuerde nur noch ein Username und ein Passwort den Angreifer von diesem PC trennen.
Ja, es ist uns zu unsicher.herrchen hat geschrieben:das musst du wissen.Da in unserem Netzwerk aber sehr vertrauliche Daten (Homeoffice, Firemndaten usw...) liegen ist diese Methode aber etwas unsicher oder?
Von einem fremden PC ..zb. einem windows mit keylogger wäre ich allerdings auch skeptisch
-
dopehouse
- Beiträge: 452
- Registriert: 01.09.2005 12:02:16
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Hildesheim (Niedersachsen)
-
Kontaktdaten:
Also zuersteinmal ist es ratsam, wie einer meiner Vorredner bereits sagte, dass man root den Zugriff von außen generell verbietet. Für solche sachen sind dann su und sudo zuständig. Nun habe ich noch zwei andere Möglichkeiten das ganze noch einen Tick sicherer zu machen, die man auch kombinieren kann.
Möglichkeit 1:
Benutze einen Portknocker und auf den dazugehörigen Daemon auf dem Server. Der Portknocker sendet dann an bestimmte Ports auf dem Server ein Signal. So kann man z.B. den Portknocker Daemon so einstellen, dass man zwei mal auf Port 5000 und danach drei mal auf Port 7000 klopfen muss. Die Ports müssen natürlich auf dem Router durch das Port-Forwarding freigeschaltet sein und die Sequenzen und Ports sind auch frei wählbar. Wenn diese Sequenzen abgeknockt sind, öffnet der Daemon via IPTables (Linuxs interne Firewall) ein oder mehrere Ports auf dem Server. Nach getaner Arbeit Knockt man mit einer anderen Sequenz nochmals auf dem Server an, um den oder die Ports wieder zu schließen. In Debian ist dazu bereits das Paket 'knockd' enthalten, welches nur noch installiert und konfiguruert werden muss.
Auf die Schnelle habe ich dazu noch folgende englischsprachige Anleitung im Netz gefunden: http://www.ducea.com/2006/07/05/how-to- ... -firewall/
Möglichkeit 2:
Das kleine in Perl geschriebene Tool mit Namen 'sshblack' ( zu finden unter http://www.pettingers.org/code/sshblack.html ), ermöglicht es IPs mit zuvielen fehlgeschlagenen SSH-Loginversuchen auf eine Blacklist zu packen, die dann auch wieder mittels IPTables vom Server für einen festgelegten Zeitraum (default 4Tage) zu sperren. Diese möglichkeit hat nicht nur den Vorteil, dass sie Brutforceattacken unterbindet, sondern nebenbei noch das auth.log klein hält
. Auf der sshblack Homepage ist gleich eine kleine aber gute Anleitung beigelegt.
Beide Möglichkeiten setzen zumindest anfängliche Erfahrungen im Umgang mit IPTables voraus.
Wenn beide Möglichkeiten kombiniert werden, so bleibt man auch vor Brutforceattacken geschützt, wenn man mal das Schließen der Ports mittels Portknocker vergisst.
Möglichkeit 1:
Benutze einen Portknocker und auf den dazugehörigen Daemon auf dem Server. Der Portknocker sendet dann an bestimmte Ports auf dem Server ein Signal. So kann man z.B. den Portknocker Daemon so einstellen, dass man zwei mal auf Port 5000 und danach drei mal auf Port 7000 klopfen muss. Die Ports müssen natürlich auf dem Router durch das Port-Forwarding freigeschaltet sein und die Sequenzen und Ports sind auch frei wählbar. Wenn diese Sequenzen abgeknockt sind, öffnet der Daemon via IPTables (Linuxs interne Firewall) ein oder mehrere Ports auf dem Server. Nach getaner Arbeit Knockt man mit einer anderen Sequenz nochmals auf dem Server an, um den oder die Ports wieder zu schließen. In Debian ist dazu bereits das Paket 'knockd' enthalten, welches nur noch installiert und konfiguruert werden muss.
Auf die Schnelle habe ich dazu noch folgende englischsprachige Anleitung im Netz gefunden: http://www.ducea.com/2006/07/05/how-to- ... -firewall/
Möglichkeit 2:
Das kleine in Perl geschriebene Tool mit Namen 'sshblack' ( zu finden unter http://www.pettingers.org/code/sshblack.html ), ermöglicht es IPs mit zuvielen fehlgeschlagenen SSH-Loginversuchen auf eine Blacklist zu packen, die dann auch wieder mittels IPTables vom Server für einen festgelegten Zeitraum (default 4Tage) zu sperren. Diese möglichkeit hat nicht nur den Vorteil, dass sie Brutforceattacken unterbindet, sondern nebenbei noch das auth.log klein hält
. Auf der sshblack Homepage ist gleich eine kleine aber gute Anleitung beigelegt.Beide Möglichkeiten setzen zumindest anfängliche Erfahrungen im Umgang mit IPTables voraus.
Wenn beide Möglichkeiten kombiniert werden, so bleibt man auch vor Brutforceattacken geschützt, wenn man mal das Schließen der Ports mittels Portknocker vergisst.
Desktop: Lenny
Notebook: Lenny
Server: auch schon Lenny (mit Pinning von util-vserver auf die vorletzte Version)
Notebook: Lenny
Server: auch schon Lenny (mit Pinning von util-vserver auf die vorletzte Version)
-
herrchen
- Beiträge: 3257
- Registriert: 15.08.2005 20:45:28
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Berlin
alles schön und gut, aber ich habe *zig* ssh-server auf einem hohen port laufen und seit jahren keine aktivitäten feststellen können.dopehouse hat geschrieben: Wenn beide Möglichkeiten kombiniert werden, so bleibt man auch vor Brutforceattacken geschützt, wenn man mal das Schließen der Ports mittels Portknocker vergisst.
ssh ist ja nun nicht besonders fehleranfällig und mit jeder zusätzlichen sofware holt man sich womöglich auch wieder schwachstellen ins haus ...
herrchen
-
meandtheshell
- Beiträge: 4054
- Registriert: 14.01.2005 17:51:30
-
dopehouse
- Beiträge: 452
- Registriert: 01.09.2005 12:02:16
- Lizenz eigener Beiträge: GNU General Public License
- Wohnort: Hildesheim (Niedersachsen)
-
Kontaktdaten:
Ich will auch auf keinen Fall abstreiten, dass ssh nicht sicher ist. Allerdings kann es schon sehr nervig sein, wenn man täglich in seinen Logfiles mehrere Hundert oder gar Tausende fehlgeschlagene Loginversuche findet. Da finde ich die Lösung mit sshblack schon ganz angenehm, welches das auth.log beobachtet und bei einer bestimmten menge Fehllogins einfach eine neue Rule in die IPTables schreibt und die jeweilige IP für ein paar Tage sperrt.herrchen hat geschrieben:alles schön und gut, aber ich habe *zig* ssh-server auf einem hohen port laufen und seit jahren keine aktivitäten feststellen können.dopehouse hat geschrieben: Wenn beide Möglichkeiten kombiniert werden, so bleibt man auch vor Brutforceattacken geschützt, wenn man mal das Schließen der Ports mittels Portknocker vergisst.
ssh ist ja nun nicht besonders fehleranfällig und mit jeder zusätzlichen sofware holt man sich womöglich auch wieder schwachstellen ins haus ...
herrchen
Was die Sache mit ssh auf höheren Ports angeht, kann ich da nicht viel zu sagen, da ich es selbst noch nicht so laufen lassen hatte. Denke aber, das zumindest ssh auf seinem default Port gerade ein beliebtes Ziel von ScriptKidies ist, und denen muss man das Leben ja nun nicht gerade so vereinfachen.
Desktop: Lenny
Notebook: Lenny
Server: auch schon Lenny (mit Pinning von util-vserver auf die vorletzte Version)
Notebook: Lenny
Server: auch schon Lenny (mit Pinning von util-vserver auf die vorletzte Version)
Und ssh mit public/private keys ist auch nochmal eine ganze Ecke schwerer zu knacken.. Finde es sogar angenehmer als mit einfachem Passwort.
i support free software: http://www.fsfe.org/en/fellows/esteel
a great free and opensource FPS game: http://nexuiz.com
a great free and opensource FPS game: http://nexuiz.com