Sergey Nivens - Fotolia
Soll man Verbindungen via SSH-Tunnel durch die Firewall erlauben?
Wenn überhaupt, sollten Sie nur vertrauenswürdigen Anwendern SSH-Tunneling erlauben. Andernfalls gehen Sie ein großes Risiko für ihr Netzwerk ein.
Ob Sie SSH-Tunneling erlauben wollen oder nicht, hängt davon ab, wie viel Risiko Sie eingehen wollen. Ich rate auf jeden Fall davon ab.
Schlaue Endanwender führen Aufgaben gerne mit SSH-Tunneling (Secure Shell) durch, wenn Firewall-Regeln den Zugriff auf diverse Remote-Services verhindern. Manchmal greift ein Nutzer zu SSH-Tunneling, wenn er bestimmte Operationen über ein öffentliches WLAN durchführen möchte, wie es zum Beispiel in einem Hotel oder einem Café zur Verfügung gestellt wird. Es ist aber so, dass Sie sich niemals sicher sein können, wie gut und ob ein öffentlichen Netzwerk verschlüsselt ist. Das gilt natürlich auch für die gesamte Sicherheit des Netzwerks und deswegen bietet SSH-Tunneling dem Anwender eine zusätzliche Verschlüsselungsschicht.
In vielen Fällen wird Tunneling ohne das Wissen des System-Administrators durchgeführt. Sie fragen allerdings explizit, ob es erlaubt sein soll? Das hängt von Ihrer persönlichen Risikotoleranz ab. Erlauben Sie Tunneling, werden bestimmte Anwender Operationen durchführen, die die Firewall-Infrastruktur untergraben. Ich rate auf jeden Fall davon ab und das sind die Gründe dafür:
Nehmen wir an, dass ein Anwender versucht, eine bestimmte Website zu erreichen. In unserem Beispiel soll das explicitsite.com sein, die allerdings von der Firewall geblockt ist. Ein gewöhnlicher SSH-Tunnel, der lokales Port Forwarding verwendet, verbindet sich via SSH zu einem Remote-Server außerhalb des lokalen Netzwerks. Somit ist er außer Reichweite der lokalen Firewall. Das setzt voraus, dass SSH durch die Firewall darf. Die Firewall ist in diesem Fall keine Hürde mehr und der Anwender kann einen außenstehenden Computer benutzen, um einen lokalen Port weiterzuleiten (Forwarding). Das funktioniert zum Beispiel mit einem ähnlichen Befehl:
$ ssh -L 7777:explicitsite.com:80 [email protected]
Damit weisen Sie den entfernten SSH-Server an, den lokalen Port oder Server-Port auf explicitsite.com:80 weiterzuleiten. Nun muss der Anwender nur noch einen Browser auf der lokalen Maschine öffnen und die URL http://localhost:7777 eingeben.
Sie fragen sich nun vielleicht, wo das Problem liegt? Der Administrator hat keine Chance zu überprüfen, welche Seiten ein Anwender tatsächlich besucht. Die Sicherheit ist damit ausgehebelt. In einem Paketerfassungsprogramm oder den Firewall Logs sehen Sie lediglich eine SSH-Verbindung zu einem außenstehenden Server. Die Seite explicitsite taucht überhaupt nicht auf.
Erlauben Sie SSH-Tunneling, dann bedeutet das ein erhebliches Risiko für das Netzwerk. Kann der Administrator allerdings davon ausgehen, dass bestimmte Personen vertrauenswürdig sind und keinen Unfug damit treiben, dann ist Tunneling eine Option. Aufgaben lassen sich tatsächlich einfacher und sicherer durchführen. Deswegen sollten Sie von Fall zu Fall entscheiden.
Folgen Sie SearchNetworking.de auch auf Twitter, Google+, Xing und Facebook!