Protokolle via OpenSSH übertragen

Untertunnelt

Die Secure Shell, kurz SSH, ist primär dafür bekannt, Benutzern einen sicheren Zugang zu einem Remote-System zu gewähren oder Dateien sicher zwischen Rechnern zu kopieren. Allerdings lassen sich auch unsichere Protokolle durch einen SSH-Tunnel leiten, um dadurch Daten vor neugierigen Mitlesern zu schützen. Der Open-Source-Tipp in diesem Monat zeigt auf Basis von OpenSSH, wie Sie solche Tunnel erzeugen und einsetzen.
Firmen stecken in einer Zwickmühle: Einerseits verschärfen die Gesetzgeber in Deutschland und Europa laufend die Anforderungen an die Datensicherheit und den ... (mehr)

Wurde für den Zugriff auf entfernte Systeme in früheren Zeiten noch Telnet oder die Remote Shell (RSH/rlogin) eingesetzt, kommt heute kein Admin mehr ohne die Secure Shell (SSH) aus. SSH erlaubt die Authentifizierung mit Passwort, Public-Keys, Kerberos oder auch mit einem X.509-Zertifikat und sichert alle Daten, die über eine solche Verbindung übertragen werden. Clients können die Authentizität des Hosts überprüfen, indem diese den öffentlichen Host-Key, der bei jedem Verbindungsaufbau an den Client gesendet wird, mit dem Schlüssel aus der eigenen Datenbank abgleichen.

Tunneln mit SSH

Im September haben wir im Open-Source-Tipp bereits gezeigt, wie sich mit Hilfe von stunnel ein Tunnel zwischen zwei Endpunkten aufbauen lässt. Mit SSH funktioniert dies ebenfalls, die Software stellt sogar noch flexiblere Konfigurationsmöglichkeiten zur Verfügung. Wie auch bei stunnel wird beim Aufbau eines Tunnels der Netzwerkverkehr, der über einen bestimmten Port läuft, durch den Tunnel geleitet und ist somit vor den Augen Dritter geschützt. Da auch SSH die Weiterleitung der Datenpakete erlaubt, lassen sich somit ebenfalls restriktive Firewalls umgehen.

Erlauben diese beispielsweise nur Datenpakete zum Zielport 443, hilft dies wenig, wenn sich Ihr Rechner gerne mit einem SMTP-Server auf Port 25 unterhalten möchte. Mit SSH können Sie in diesem Fall eine Verbindung zu einem SSH-Server aufbauen, der auf Port 443 lauscht und die empfangenden Pakete einfach an den gewünschten SMTP-Server weiterleitet. Dies hilft natürlich nicht in Fällen, in denen eine Application-Layer-Firewall sicherstellt, dass auf dem erlaubten Port nur ein bestimmtes Protokoll, in diesem Fall HTTPS, gesprochen wird. Der Aufbau eines Tunnels erfolgt dabei immer nach diesem Muster:

ssh <Benutzer>@<Remote-Host> -fNL <lokaler Port>:<Ziel-Host>:<remote Port>

Der

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020