SSH-Tunnel über eingeschränktes WLAN?

Centauri39

Mitglied
Mitglied seit
4 Jun 2006
Beiträge
331
Punkte für Reaktionen
0
Punkte
16
Üblicherweise kann man ja SSH- und SFTP-Verbindungen über ein myFritz-Konto laufen lassen, wenn man von unterwegs auf den eigenen Rechner oder aufs NAS zugreifen will.
Diese Verbindungen kann man zur Erhöhung der Sicherheit über Nicht-Standard-Ports einrichten.

Wenn man nun in einem fremden, eingeschränkten WLAN ist, z.B. Hotel oder Klinik, wo nur Surfen und Mailen erlaubt ist, wie ist das dann?
Könnte man diese Verbindungen auch über die dort üblichen Ports laufen lassen, also z.B. Port 80?
Spricht etwas dagegen? Wie sieht es sicherheitsmäßig aus? Machbar oder eher "Finger weg" davon?
 

eisbaerin

IPPF-Promi
Mitglied seit
29 Sep 2009
Beiträge
7,189
Punkte für Reaktionen
231
Punkte
63
also z.B. Port 80?
Nimm lieber Port 443 (der muß wegen HTTPS auch frei sein), da dort die Daten auch verschlüsselt sind.
Bei Port 80 kann es bei einer gute Firewall passieren, daß sie kontrolliert und nur HTTP durch läßt.
 

Peter_Lehmann

Neuer User
Mitglied seit
13 Mrz 2007
Beiträge
118
Punkte für Reaktionen
18
Punkte
18
Diese Verbindungen kann man zur Erhöhung der Sicherheit über Nicht-Standard-Ports einrichten.
Kannst du mir bitte erklären, wieso du durch "Verbiegen" des Ports die Sicherheit deiner ssh-Verbindung erhöhen willst?
Sicherheit durch Verstecken? Das einzige, was du damit erreichst, ist, das Log etwas sauberer zu halten. Und welchen Port du für ssh benutzt, ist in wenigen Sekunden ermittelt.
Echte Sicherheit erreichst du nur durch die richtige Konfiguration deines sshd. Also keine Anmeldung mit Benutzername/Passwort, keine direkte Anmeldung als root, Begrenzung der Anzahl der fehlerhaften Anmeldungen auf max. 2 usw.
In Verbindung mit einem langen Schlüsselpaar (mindestens 4K) und möglichst noch mit einem Passwort für den private key hast du alles getan, was möglich ist.

Die einzige zu rechtfertigende Ausnahme der Nutzung eines anderen Ports ist eben das Umgehen der Portsperren (Hotel, KrHs usw.). In diesem Kontext würde ich das auch so machen. Aus einem Firmennetz würde ich mir das allerdings gut überlegen. Wir hatten schon des öfteren einen ganz schlauen, der bspw. den DNS-Port (!!) dazu missbraucht hat, um das Firmennetz für private Nutzung zu "zu öffnen". Manche Leute glauben eben, dass es nicht auffällt, wenn auf einem Port auf einmal so richtig dicker Traffic auftaucht. Aus dem KrHs oder Hotel wirst du wegen so etwas zumindest nicht entlassen ... .

MfG Peter
 

Centauri39

Mitglied
Mitglied seit
4 Jun 2006
Beiträge
331
Punkte für Reaktionen
0
Punkte
16
Also die Portänderung hat zumindest bei VNC sehr gut geholfen.
Als ich noch den Standardport hatte, bekam ich ständig nervige Popups mit Verbindungsanfragen.
Das hörte durch die Portänderung auf.

Also keine Anmeldung mit Benutzername/Passwort
Womit denn dann?

Ich will auch keinen massiven Traffic produzieren, sondern nur gelegentlich per SFTP, VNC, über einen SSH Tunnel, meinen PC oder mein NAS erreichen können,
um von dort auf Daten zuzugreifen oder diese abzurufen.
 
Zuletzt bearbeitet:

sonyKatze

Mitglied
Mitglied seit
6 Aug 2009
Beiträge
653
Punkte für Reaktionen
47
Punkte
28
Womit denn [sonst wenn nicht Benutzername/Passwort]?
SSH Public-Key-Authentication
Unter dem Stichwort finden sich einige Anleitungen im Netz. Aber diesen Key könntest Du auch aus Deinem OpenPGP-Key ableiten. Den OpenPGP-Key kannst Du wiederum auf einer SmartCard (bzw. einem USB-Stick der eine SmartCard emuliert) mit Dir herumschleppen, siehe z.B. Zeitschrift c’t: Heft bzw. Einzel-Artikel. So hast Du einen USB-Stick für SSH, E-Mail-Verschlüsselung und Zwei-Faktor-Autorisierung. Nachteil: Auf den Computern muss schon alles installiert sein (SmartCard-Treiber) oder Du hast die Rechte, um diese Software-Pakete nachzuinstallieren.
 

3CX PBX - GRATIS
Linux / Win / Cloud

Statistik des Forums

Themen
233,983
Beiträge
2,041,053
Mitglieder
353,236
Neuestes Mitglied
Albert Hofel