Re: SSH-Security-Check a la ssllabs.com/ssltest

Top Page
Attachments:
Message as email
+ (text/plain)
Delete this message
Reply to this message
Author: Sven Velt
Date:  
To: list
Subject: Re: SSH-Security-Check a la ssllabs.com/ssltest
Moin!

Daniel Laczi wrote:
> VPN -> SSH/etc. auf Jump Host in der DMZ -> Server
>
> Manche Kunden haben auch eine Firewall, die eine Preauthentication
> machen kann. Nach der Authentifizierung geht's dann direkt auf den Jump
> Host.
>
> Wenn was spackt, dann spackt es halt. Was wenn dein Internet spackt, die
> Firewall etc.? ;)


"Simplicity is enemy of complex" - Je mehr Bausteine dazwischen stecken,
desto eher versagt Einer.

Und wie schon in einer meiner Mails angedeutet:
Wenn das Hotel-WLAN, aus welchem Grund auch immer, den einen Port, den
Du für's Port-Knocking bräuchtest, filtert - dann nimmst Du doch wieder
das Handy und ärgerst Dich dann ggf. über die Telekom, die via LTE
standortabhängig(!) Ports >8000 blockt... 😤

Oder anders rum gesprochen: In Deinem Fall musst Du VPN und/oder
Firewall optimieren. Und ich hab noch keinen gehört, der bei seinem
(kommerziellen) VPN *aus* *Sicherheitsgedanken* angefangen an, irgendwas
an der Crypto zu schrauben ;)

BTW, würde Deine/diese Lösung für mich bedeuten, dass ich zu jedem meiner
Server in den verschiedenen RZ ein VPN aufbauen müsste, wenn ich dort
(per SSH) drauf will. Oder generell ein (voll)vermaschtes Netz via VPN
aufbauen. Aber dann ist ja die Angriffsfläche noch größer, da ein
kompromittierter Rechner ausreicht, um in das Netz rein zukommen.

So, ich denke, wir sind an dem Punkt angekommen, wo weitere Diskussionen
dazu eher bei einem Bier/Wein (oder einem Smoothie für Martin ;) )
weitergeführt werden sollten.

Prost!

Sven

-- 
Leukämie    → http://de.wikipedia.org/wiki/Leuk%C3%A4mie
Heilung     → http://de.wikipedia.org/wiki/Knochenmark#Knochenmarkspende
Typisierung → https://akb.de/online-registrierung/ https://zkrd.de/de/adressen/
Fragen?     → sven@???
-- 
Mailing-Liste der Linux User Schwabach (LUSC) e.V.
Vor und beim Posten bitte
        => http://lusc.de/List-Netiquette <=    und
        => http://lusc.de/List-Howto      <=    beachten. Danke!