it-swarm.com.de

Ist die Portweiterleitung von Natur aus unsicher?

Ich hatte vor einigen Monaten einen Streit mit einer Person, als ich vorschlug, Port 12xyz an einen internen SSH-Server weiterzuleiten.

Der Zielserver wurde auf ähnliche Weise wie von @stribika unter https://stribika.github.io/2015/01/04/secure-secure-Shell.html gebunden. Insbesondere kein Root-Zugriff, nur Authentifizierung mit öffentlichem Schlüssel, nicht standardmäßiger SSH-Port, hochwertige Chiffren, Kex und Macs.

Ich habe argumentiert, dass der weitergeleitete Port an sich nicht gefährlich ist und dass die Sicherheit vom Dienst am Zielport abhängt. Ich behauptete, meine Methode sei ein absolut sicherer Weg, um Fernzugriff zu erhalten. Er argumentierte vehement, dass dies nicht der Fall sei, und erklärte, dass ein VPN-Tunnel der einzig sichere Weg sei, um einen Fernzugriff zu erreichen.

Wer hatte recht?

8
Rhyven

Das Weiterleiten von Ports ist an sich NICHT gefährlich und JA, die Sicherheit hängt vom Service am Zielport ab. Die Sicherheit hängt jedoch auch davon ab, wie gut die Firewall Ihres Routers ist und wie gut sie intern und extern geschützt ist.

Für den Fernzugriff funktionieren sowohl SSH als auch VPN so gut wie einander. Keiner ist sicherer als der andere, wenn ähnliche Verschlüsselungsstufen verwendet werden. Da SSH jedoch auf Anwendungsebene funktioniert, nur TCP unterstützt und nur Remotezugriff auf einen einzelnen Computer bietet, würde ich VPN-Tunneling bevorzugen, das tatsächlich auf der Transportebene funktioniert und sowohl UDP als auch TCPnterstützt. _ und ermöglicht den sicheren Zugriff auf mehrere Ressourcen.

Der VPN-Tunnel ist NICHT der einzig sichere Weg, um einen Fernzugriff zu erreichen, aber aus den oben genannten Gründen definitiv der bevorzugte Weg. Ganz zu schweigen davon, dass SSH bei mehreren Ressourcen nur schwer ordnungsgemäß implementiert werden kann, DNS-Lecks verursachen kann und für jede Anwendung separat konfiguriert werden muss.

9
Joseph