Re: SSH-Security-Check a la ssllabs.com/ssltest

Forside
Vedhæftede filer:
Indlæg som e-mail
+ (text/plain)
Slet denne besked
Besvar denne besked
Skribent: Martin Steigerwald
Dato:  
Til: list
Emne: Re: SSH-Security-Check a la ssllabs.com/ssltest
Hi Sven, hi Daniel, hi *,

*hach* im Grunde ist das eine Diskussion um Vorlieben, die vielleicht
ebenso sinnvoll oder sinnlos ist, wie die Diskussion, inwiefern Ruby
oder Python besser ist. Wobei letzteres klar ist¹.

Sven Velt - 18.12.19, 10:41:54 CET:
> Daniel Laczi wrote:
> > VPN -> SSH/etc. auf Jump Host in der DMZ -> Server
> >
> > Manche Kunden haben auch eine Firewall, die eine Preauthentication
> > machen kann. Nach der Authentifizierung geht's dann direkt auf den
> > Jump Host.
> >
> > Wenn was spackt, dann spackt es halt. Was wenn dein Internet spackt,
> > die Firewall etc.?
>
> "Simplicity is enemy of complex" - Je mehr Bausteine dazwischen
> stecken, desto eher versagt Einer.


Einerseits das… andererseits gibt es keine Garantie, dass VPN, Port
Knocking, Firewall sicherheitstechnisch fehlerfrei sind.

Einige Kunden machen natürlich auch Teamviewer, aber das ist dann auch
nochmal eine Nummer, einem Stück proprietäre Software den Fernzugriff
anzuvertrauen. Für mich privat ist das ausgeschlossen.

Bislang ist meine Erfahrung, dass SSH alleine reicht. Also sofern mir da
nichts entgangen ist, wurde mir bislang noch keiner meiner Server im
Internet gehackt.

Für mein Heim-Netzwerk habe ich jedoch auf dem Router kein SSH nach
außen hin offen. Warum? Schlicht nicht nötig. Ich schalte das Ding eh
aus, wenn ich es nicht brauche, und freue mich über eine niedrige
Stromrechnung.

> Und wie schon in einer meiner Mails angedeutet:
> Wenn das Hotel-WLAN, aus welchem Grund auch immer, den einen Port, den
> Du für's Port-Knocking bräuchtest, filtert - dann nimmst Du doch
> wieder das Handy und ärgerst Dich dann ggf. über die Telekom, die via
> LTE standortabhängig(!) Ports >8000 blockt... 😤


Hotel WLANs habe ich mittels einen bestimmten VPN-Anbieters schon
mehrfach ignoriert. Geht halt nur ein OpenVPN via HTTPS nach draußen und
das Hotel sieht nur einen TLS-Datenstrom.

Überlege, mir das irgendwann mal mit Wireshark selbst nachzubauen,
sobald das mal offiziell im Kernel ist, voraussichtlich mit 5.6. Da ich
innerhalb des Tunnels aber auch TLS-Verbindungen aufbaue, vertraute ich
bislang dem für Basis-Dienste Spenden-basierten VPN-Dienst soweit. Ob
nun mein Provider oder der VPN-Anbieter mit bekommt, was ich für Domains
aufrufe… wobei ich mir an sich auch mal den Resolver lokal auf den
Laptop packen möchte. Unbound z.B. ähnlich die Knot Resolver auf dem
Turris. Weiß nur nicht, inwiefern Network Manager damit klar kommt.

[1] Ruby natürlich :)

Ciao,
-- 
Martin



--
Mailing-Liste der Linux User Schwabach (LUSC) e.V.
Vor und beim Posten bitte
?http://lusc.de/List-Netiquette < und
?http://lusc.de/List-Howto < beachten. Danke!