vom Arbeitsnetz auf privates Netz zugreifen

[devilx]

Deinen 65... auf 443.

[Duff]

Deinen 65... auf 443.

Mmh...das ist eigentlich schlecht, weil ich extra einen Private Port ausgesucht habe und keinen Well Known Port (wegen Script-kiddies).

Naja, sonst muss ich es einfach mal temporär ändern und probieren...

[devilx]

Mmh...das ist eigentlich schlecht, weil ich extra einen Private Port ausgesucht habe und keinen Well Known Port (wegen Script-kiddies).

Wenn du ein sicheres System hast mit aktuellen Patches und einer vernuenftigen Konfiguration ist es kein Problem SSH sogar auf Port 22 laufen zu lassen. Und ich glaube, es gibt nicht viele, die auf 443 nach einem SSHd suchen. Das verstecken von Diensten hinter einem random-Port ist eine sehr schwache Methode um Sicherheit zu erhoehen.
Du kannst z.B. ein Port-Knocking davorschalten.

[Duff]

Da hast du natürlich recht, was die Sicherheit anbelangt. Habe zudem natürlich noch iptables eingerichtet und nur bestimmte Ports freigeschaltet.

Aber die Idee mit Port-Knocking müsste ich mir mal anschauen.

Habe gerade remote auf der Fritzbox den dyndns-Eintrag mit der Weiterleitung auf den Server mit ssh auf Port 22 kopiert und nun eine Weiterleitung auf Port 65356 und eine auf 443 eingerichtet. Nach einem reboot der Fritzbox komme ich jedoch bisher noch nicht auf den Server. Naja, mal schauen....

[Duff]

So, der Server ist wieder über die fritzbox erreichbar (über beide Ports!).

Werde dann das ganze Szenario am Freitag nochmals probieren...bin ja mal gespannt.

Zu Port-Knocking habe ich noch diesen interessanten Artikel gefunden: http://www.linux-magazin.de/heft_abo/au ... _anklopfen

[devilx]

Mit Portknocking kannst du viele lustige Dinge tun, eines solltest du aber nicht vergessen: Im Normalfall gibst du dir dieses Hickhack mit dem SSH auf 443 und dem Tunneln letztendlich nur, da du von ueberall moeglich auf deine eigene Infrastruktur zugreifen moechtest. Sofern du ein Laptop dabei hast und dich irgendwo in ein Netz haengen kannst, klappt alles wunderbar, doch sobald du vorgebener Infrastruktur unterliegst ueber welche du keine Hoheit besitzt, wird alles ein wenig schwieriger. Daher solltest du versuchen, sofern dir das "from anywhere" wichtig ist, die Sache so simpel wie moeglich zu halten, um Notfalls auch von einem popel-Windows aus (welches keine Perl-Interpreter o.ae. besitzt) auf dein Konstrukt zugreifen zu koennen. Zugegeben, selbst ein SSH Client oder gar ein prtunnel ist eine Seltenheit auf einem Windows, trotzdem vergroessert eine komplexe Portknocking-Strategie das Toolset welches du im Endeffekt fuer einen Connect benoetigst. Es gibt viele, simplere Moeglichkeiten um ein plattformunabhaengiges Portknocking zu implementieren. Ein Beispiel dafuer waere ein Telnet connect auf Port 80 mit Uebergabe einer bestimmten Zeichenkette. Sofern diese mit der auf dem Server hinterlegten uebereinstimmt, wuerde die Firewall Port 443 fuer die IP von dem 80-Connect freischalten, und zwar nur solang auch wirklich noch Traffic ueber 443 laeuft.

//Note: Und wie in meiner Anleitung schon erwaehnt, klappt die ganze Geschichte sowieso nur, sofern der Betreiber der Infrastruktur keinerlei intelligente Firewalls oder andere Traffic-Filtering-Systeme benutzt. Der Traffic den du mit SSH ueber HTTPS produzierst wuerde als "Abnormal behaviour" erkannt werden, da du beim regulaeren Browsen *niemals* solch eine Up-/Download-Charakteristik hinkriegen wuerdest. Nur nochmal als Erinnerung. Und sofern die Software noch einen Tick schlauer ist, erkennt sie, dass es kein HTTPS ist und vereitelt dein Vorhaben sowieso. Es gibt viele Unternehmen in denen "Privates Web-Browsing" verboten ist und die Mitarbeiter davon Inkenntnis gesetzt wurden, dass HTTPS Traffic aufgebrochen und mitgelesen wird.

[Duff]

Dass mit dem Port 443 sieht schon besser aus. Kann zwar jetzt nicht auf meinen Server zugreifen, weil ich dort auf dem Port openvpn laufen habe, aber ich sehe, dass ich bis zum Server komme und es somit wohl funktionieren sollte.

Code: Alles auswählen

Waiting for connection to port 13337...
Connection from 127.0.0.1 (port 48876) accepted
Connected to HTTP proxy <IP_Proxy>:<Port_Proxy>
Connected to remote host mydyndns.domain (port 443)
Connection from 127.0.0.1 (port 48876) closed - 0 bytes sent, 0 bytes received