[linux-l] Rechner hinter Router administrieren

Thorsten Stöcker tstoecker at baerensoftware.de
Mi Sep 19 13:05:54 CEST 2007 

Hi Peter,

> On Wed, 19 Sep 2007, Thorsten Stöcker wrote:
> > Naja, das Problem ist, der Client baut den Tunnel auf, der Client hat
> > keine feste IP, also kann jeder den Versuch starten, einen Tunnel
> > aufzubauen.
>
> Ja, zu einer abgeschirmten Box, bei der ausser ssh (nicht auf Port 22,
> damit faellt schon mal 99% des Scannens) nichts geht, mit restriktiven
> Accounts, die keine Daten enthaelt und die auch nichts weiter rauslaesst.
>

Ja, ich habe mir schon von Oswald ne Abreibung abgeholt. 

> Ich mach das doch nicht zu meinem Desktop;-)
>

Naja, aber so hörte sich das bei der ersten Anfrage schon ein wenig an. Ich 
meine, es gibt durchaus Personen, die das Login auf einer Firewall zulassen 
und das Password heißt dann "bombadil" sie wundern sich dann, warum die Kiste 
irgendwann gehackt ist. 

> > Auch das der Traffic umgeleitet und in Ruhe
> > analysiert wird um später einen Angriff zu starten.
>
> Nein.
>

So, wie willst Du das sicher stellen?

> > Es muß also zumindest eine starke Authentifizierung geben, hingegen
> > dürfte der Aufwand für Einmal-verschlüsselung z.B. einen Token zu hoch
> > sein.
>
> Iwo. Du darfst als Client Dich gern verbinden, bei "mir" ist nichts zu
> holen. Ich will nur auf _Deinen_ Desktop gucken..
>

Es ist immer was zu holen. Natürlich kannst Du mit einem Portforwarding 
irgendwohin einen Teil der Scanner in die Irre führen, bzw. den Scan in die 
Länge ziehen und mit einem chroot-jail die Verbindung auf Deinem Rechner 
einsperren und damit den möglichen Angriff mehr in Richtung Theorie 
verschieben. 
Aber willst Du der erste sein, an dem die Theorie den praktischen Beweis 
antritt?

> > Und ihr hattet keine ungebetenen Gäste?
>
> Nein.
>

Dann ist ja gut. 

> > Meiner Meinung nach kann man ssh nur dann nach aussen zu lassen, wenn
> > man vor dem Verbindungsaufbau sicher sein kann auch nur mit diesem einen
> > Host zu kommunizieren.
>
> Du bekommst auch einen Public-Host-Key frisch mit dem Firmenlaptop.
>
Naja, alles andere dürfte etwas kompliziert sein.

> > In einem Tunnel kann ich bekanntlich alles druchschieben.
>
> Auf meiner Seite (im Firmen-Netz) geht's nicht weiter, was Du als Client
> preisgeben willst, ist Dein Problem.
>

Das stellt die Frage nach der Korrumpierbarkeit des Gesamtsystems. Und damit 
sind wir irgendwie wieder bei der Frage, wie stelle ich sicher, das ich bei 
einer solchen Verbindung das richtige Gegenstück zur Kommunikation habe und 
wie blockiere ich potentielle Angreifer effektiv. Wie gesagt, ich weiß nichts 
von einem erfolgreichen Angriff, das heißt aber nicht unbedingt, das diesen 
nicht gibt.

Nun stellt sich natürlich die Frage, inwiefern eine Fernwartung relevant für 
Angriffe ist. Insofern handelt es sich hier von meiner Seite aus sowieso um 
rein theoretische Überlegungen.

Gruß
Thorsten




-- 
Bären-Software
Thorsten Stöcker
Wichernstr. 40
13587 Berlin-Spandau
T: +49 (0)30 / 333 098 12
F: +49 (0)30 / 333 098 13
M: +49 (0)160 / 973 101 68
W: http://www.baerensoftware.de

Mehr Informationen über die Mailingliste linux-l