linux-l: ssh & die Portnummern

Joachim von Thadden thadden at running-systems.de
Mi Okt 20 11:53:20 CEST 1999 

Hi Gerald,

gerade wieder online... deshalb erst jetzt die Antwort:

Gerald Erdmann wrote:
[...]
> > Ein "ssh -P <Rechnername>" benötigt gerade mal drei Tastendrücke mehr,
> > und wenn wir in Zukunft alle mit Compaqs Stromproduzierender Tastatur
> > arbeiten, dann tun wir damit auch noch was für die Umwelt.
> 
> Sorry, aber meine man-pages kennt keine Option "-P". Oder meinst du "-p"?
> 

Du hast ja schon die ssh2 gefuden. Die hat allerdings den Nachteil, daß
sie nicht mehr frei ist. Wenn Du das Ding im kommerziellen Umfeld
verwendest, mußt Du sie lizenzieren. Ich verwende die Version 1.2.26,
die sowohl über die Option "-P" verfügt, als auch frei verfügbar ist. Da
ist wohl ein Update bei Dir fällig, denn es ist schon 'ne Weile her, daß
"-P" eingeführt wurde.

> > Der Grund für ssh Source Ports unter 1024 zu verwenden liegt einzig und
> > allein darin, daß die (wenn man mal von M$ absieht) für zwei
> > Authentifizierungschemata benötigt werden. Und wenn man rhosts bzw.
> > rsarhosts Authentifizierung verwenden will, dann muß das halt so sein.
> > Die willst Du auf 'ner Firewall aber bestimt nicht haben, also schalt
> > sie am besten gleich ganz ab (in /etc/sshd_config).
> 
> Ist klar. von innen nach außen ist das ja auch ok, doch ich will von draussen nach > drinnen per ssh kommen. Doch dazu muß ich vom remote-Rechner einen bestimmten
> Portbereich (102x - 1023) freigeben, damit dies funktioniert. Doch wenn diese halt
> immer weiter runterzählt, müßte ich ja den gesamten sicheren Bereich freigeben ...
> und damit würde ich ja wieder Tür und Tor aufmachen.

Zunächst: Es gibt zwei Arten von Firewalls. Die einen erlauben alles,
was nicht explizit verboten ist (das ist dann ja wohl Dein Modell... es
gilt als sehr unsicher), die anderen verbieten alles, was nicht explizit
erlaubt ist (die sichere und professionelle Variante, die allerdings
gelegentlich mit Einschränkungen für die Benutzer verbunden ist). Nach
dem Klassiker von Chapman und Zwicky sollte man nur die zweite Variante
verwenden.
Mit dem Parameter "-P" mußt Du für ssh natürlich, wie bei den meisten
anderen Diensten, alle unprivilegierten Ports (also ab 1024) freigeben.
In Deinem Fall also Verbindungen von Rechner X des ungesicherten Netzes
(Internet) an Port ssh und Rückantwort vom Firewall nach Rechner X an
Ports >=1024.
Es ist sehr wichtig, daß Du weißt, daß Du auch mit ssh ein Scheunentor
in Deinen Firewall baust, wenn Du die Rechner, von denen aus ssh erlaubt
sein soll, nicht explizit angibst und auch die weiteren
Schutzmöglicheiten von ssh selbst (über die Konfigurationsdateien von
ssh in /etc) nicht komplett ausreizt.
> 
> > 2. Deine Paketfilter mußt Du so konfigurieren, daß nach Port 22 und von
> > Port >1023 der Traffic zugelassen wird. Die von Dir vorgeschlagene
> > Lösung müßte nach Port 22 und von Port <1024 zulassen,was auf Firewalls
> > prinzipiell nicht zu empfehlen ist. Wenn Du aber nur bestimmte Adressen
> > zulassen willst, empfiehlt es sich auch diese noch in die
> > Filterdefinition mit einfließen zu lassen.
> 
> Ist klar. Also lieber generellen ssh von außen nicht erlauben.
> 
so isses!

[...]
> Schönes Wochenende,
> Gerald --
> Gerald Erdmann gerald at stepman.com
> STEPMAN SOLUTIONS +49 30 39731400 (Tel) -401 (Fax) Berlin - Germany - Earth

Mit freundlichen Grüßen/Sincerely
	Joachim von Thadden
    "Never run a touching system!"

-------------------------------------------------------------------
Running Systems					LINUX-Systempartner
Qualified Helpdesk   .   Netzwerkbetreuung  .   Sicherheitskonzepte
http://www.running-systems.de		        fax (030) 801 74 23
thadden at running-systems.de		     phone (0177) 717 08 96

Mehr Informationen über die Mailingliste linux-l