[linux-l] Rechner hinter Router administrieren

[Thorsten Stöcker]

Hi,

Am Mittwoch, 19. September 2007 13:26 schrieb Peter Ross:
> Hi Thorsten,
>
> On Wed, 19 Sep 2007, Thorsten Stöcker wrote:
> > > {Versuche, Zitat zu reparieren, Oswald schlug einen ssh-Tunnel vor
> > >  und dann..]
> > > telnet oder rsh forwarden, dann spart man sich die doppelte
> > > verschlüsselung.
> >
> > Auja, und dann schiebt ihr das ganze direkt über die Kisten von BKA, MAD
> > und BND. So hat das Schäuble gern. ;-)
>
> Und? Ist im ssh-Tunnel.
>

Naja, das Problem ist, der Client baut den Tunnel auf, der Client hat keine 
feste IP, also kann jeder den Versuch starten, einen Tunnel aufzubauen. Das 
ist ein potentielles Risiko.  Auch das der Traffic umgeleitet und in Ruhe 
analysiert wird um später einen Angriff zu starten.

Es muß also zumindest eine starke Authentifizierung geben, hingegen dürfte der 
Aufwand für Einmal-verschlüsselung  z.B. einen Token zu hoch sein.

> Telnet oder rsh koennen so eingerichtet sein, dass sie nur an localhost
> lauschen.
>
> In meiner (nun Ex-)Firma haben wir so Mitarbeitern den Zugriff auf ihren
> Windows-Desktop erlauben lassen (Tunneln von RDP-Port 3389), um bei ihren
> Problemen zu helfen.
>

Und ihr hattet keine ungebetenen Gäste?

Meiner Meinung nach kann man ssh nur dann nach aussen zu lassen, wenn man vor 
dem Verbindungsaufbau sicher sein kann auch nur mit diesem einen Host zu 
kommunizieren.

In einem Tunnel kann ich bekanntlich alles druchschieben.



-- 
Bären-Software
Thorsten Stöcker
Wichernstr. 40
13587 Berlin-Spandau
T: +49 (0)30 / 333 098 12
F: +49 (0)30 / 333 098 13
M: +49 (0)160 / 973 101 68
W: http://www.baerensoftware.de