[linux-l] Rechner hinter Router administrieren

[Thorsten Stöcker]

Hallo,

> >
> > Naja, das Problem ist, der Client baut den Tunnel auf, der Client hat
> > keine feste IP, also kann jeder den Versuch starten, einen Tunnel
> > aufzubauen.
>
> na klar - weil ja auch jeder auf meinen ssh-server kommt. hallo?
>

Na, dann klär mich auf. 
Der Daemon lauscht am Port und ist damit erst mal erreichbar.

> > Auch das der Traffic umgeleitet und in Ruhe analysiert wird um später
> > einen Angriff zu starten.
>
> ?

Oh, ich versteh das Fragezeichen nicht.

>
> > Meiner Meinung nach kann man ssh nur dann nach aussen zu lassen, wenn
> > man vor dem Verbindungsaufbau sicher sein kann auch nur mit diesem
> > einen Host zu kommunizieren.
>
> schon mal was von host keys und fingerprints gehört?

Nein, ich arbeite nur mit telnet und rcp und am liebsten über das 
Internet.  :-)  Ja, na klar.

Vielleicht mal ausführlicher.

Das Problem ist in meinen Augen, das nicht wirklich sichergestellt werden 
kann, das die SSH-Initialisierung von DEM Client  mit DEM User davor erfolgt.

Ich weiß, SSH-2 gilt als sicher, zumindest OpenSSH, aber das galt für SSH-1 
auch.

Natürlich ist es möglich, über die Keys rauszufinden, ob sich der bestimmte 
Rechner hinter der Adresse verbirgt (oder verbergen sollte) und über 
Schlüsselaustausch auch einen nicht manuelle Verbindungsaufbau zuzulassen.

Nur weil kein Angriff bekannt ist, heißt das nicht, das es keinen gibt. Ich 
würde eine zusätzliche Sicherheit einbauen. z:B. einen gleichzeitigen Anruf 
des Benutzers.


 


-- 
Bären-Software
Thorsten Stöcker
Wichernstr. 40
13587 Berlin-Spandau
T: +49 (0)30 / 333 098 12
F: +49 (0)30 / 333 098 13
M: +49 (0)160 / 973 101 68
W: http://www.baerensoftware.de