[linux-l] Rechner hinter Router administrieren

[Peter Ross]

Hi Thorsten,

On Wed, 19 Sep 2007, Thorsten Stöcker wrote:

> Naja, das Problem ist, der Client baut den Tunnel auf, der Client hat keine 
> feste IP, also kann jeder den Versuch starten, einen Tunnel aufzubauen.

Ja, zu einer abgeschirmten Box, bei der ausser ssh (nicht auf Port 22, 
damit faellt schon mal 99% des Scannens) nichts geht, mit restriktiven 
Accounts, die keine Daten enthaelt und die auch nichts weiter rauslaesst.

Ich mach das doch nicht zu meinem Desktop;-)

Vergleichs mal mit einem anonymen FTP-Server oder so. Was da liegt, kannst 
Du haben (wenn Du wirklich ein Image fuer eine CentOS-Box brauchst.. 
aber selbst das braucht schon mal den ersten Hack, Du bekommst beim 
Einloggen keine Shell;-)

> Auch das der Traffic umgeleitet und in Ruhe 
> analysiert wird um später einen Angriff zu starten.

Nein.

> Es muß also zumindest eine starke Authentifizierung geben, hingegen 
> dürfte der Aufwand für Einmal-verschlüsselung z.B. einen Token zu hoch 
> sein.

Iwo. Du darfst als Client Dich gern verbinden, bei "mir" ist nichts zu 
holen. Ich will nur auf _Deinen_ Desktop gucken..

> Und ihr hattet keine ungebetenen Gäste?

Nein.

> Meiner Meinung nach kann man ssh nur dann nach aussen zu lassen, wenn 
> man vor dem Verbindungsaufbau sicher sein kann auch nur mit diesem einen 
> Host zu kommunizieren.

Du bekommst auch einen Public-Host-Key frisch mit dem Firmenlaptop.

> In einem Tunnel kann ich bekanntlich alles druchschieben.

Auf meiner Seite (im Firmen-Netz) geht's nicht weiter, was Du als Client 
preisgeben willst, ist Dein Problem.

Gruss
Peter