[linux-l] Rechner hinter Router administrieren
Thorsten Stöcker
tstoecker at baerensoftware.de
Mi Sep 19 12:42:45 CEST 2007
Hallo,
> >
> > Naja, das Problem ist, der Client baut den Tunnel auf, der Client hat
> > keine feste IP, also kann jeder den Versuch starten, einen Tunnel
> > aufzubauen.
>
> na klar - weil ja auch jeder auf meinen ssh-server kommt. hallo?
>
Na, dann klär mich auf.
Der Daemon lauscht am Port und ist damit erst mal erreichbar.
> > Auch das der Traffic umgeleitet und in Ruhe analysiert wird um später
> > einen Angriff zu starten.
>
> ?
Oh, ich versteh das Fragezeichen nicht.
>
> > Meiner Meinung nach kann man ssh nur dann nach aussen zu lassen, wenn
> > man vor dem Verbindungsaufbau sicher sein kann auch nur mit diesem
> > einen Host zu kommunizieren.
>
> schon mal was von host keys und fingerprints gehört?
Nein, ich arbeite nur mit telnet und rcp und am liebsten über das
Internet. :-) Ja, na klar.
Vielleicht mal ausführlicher.
Das Problem ist in meinen Augen, das nicht wirklich sichergestellt werden
kann, das die SSH-Initialisierung von DEM Client mit DEM User davor erfolgt.
Ich weiß, SSH-2 gilt als sicher, zumindest OpenSSH, aber das galt für SSH-1
auch.
Natürlich ist es möglich, über die Keys rauszufinden, ob sich der bestimmte
Rechner hinter der Adresse verbirgt (oder verbergen sollte) und über
Schlüsselaustausch auch einen nicht manuelle Verbindungsaufbau zuzulassen.
Nur weil kein Angriff bekannt ist, heißt das nicht, das es keinen gibt. Ich
würde eine zusätzliche Sicherheit einbauen. z:B. einen gleichzeitigen Anruf
des Benutzers.
--
Bären-Software
Thorsten Stöcker
Wichernstr. 40
13587 Berlin-Spandau
T: +49 (0)30 / 333 098 12
F: +49 (0)30 / 333 098 13
M: +49 (0)160 / 973 101 68
W: http://www.baerensoftware.de
Mehr Informationen über die Mailingliste linux-l