it-swarm.com.de

Sicherheitsbedenken bei TCP Weiterleitung

Bis jetzt habe ich TCP Weiterleiten in ssh immer blind an no, aber im Internet suchen, ich habe Probleme herauszufinden, was die tatsächliche Sicherheitsbedrohung ist, wenn ich es zulasse.

Das einzige, was ich jedoch gefunden habe, war, dass die Manpage angibt, dass es nur hilfreich ist, TCP Weiterleitung auszuschalten, wenn Benutzer keinen Shell-Zugriff haben. http://joeyh.name/blog)/entry/ssh_port_forwarding / sagt jedoch, dass es nicht so wichtig ist, keinen Shell-Zugriff zu haben, sondern no-port-forwarding in autorisierten_Tasten.

Also, - was ist die Sicherheitsbedrohung beim Zulassen von TCP Weiterleitung in SSH und werde ich dieses Problem beseitigen, wenn ich AllowTCPForwarding No zu sshd_config oder werde ich zusätzlich haben, um den Shell-Zugriff einzuschränken oder das no-port-forwarding Möglichkeit?

16
user857990

Wenn Sie einen SSH-Tunnel verwenden, ist der Client für den Zielserver der SSH-Server und nicht der eigentliche Client, der eine Verbindung zum SSH-Tunnel herstellt.

Wenn Sie beispielsweise einen SSH-Client auf 10.1.1.1 Ausführen, eine Verbindung zu einem SSH-Server unter 10.2.2.2 Herstellen und einen Tunnel zu 10.3.3.3 Einrichten, wenn ein Client (möglicherweise von 10.4.4.4 Oder irgendwo anders) verbindet sich mit dem Tunnel am Ende von 10.1.1.1 Und erhält Zugriff auf 10.3.3.3, Als ob er von 10.2.2.2. Kommen würde, nicht von 10.1.1.1 oder 10.4.4.4.

Auf diese Weise können solche Verbindungen die Firewall-Regeln für den Zielserver umgehen, die Verbindungen von dem Computer zugelassen hätten, auf dem der SSH-Server ausgeführt wird, jedoch nicht weiter.

Dies ist normalerweise ein Problem, wenn der SSH-Server ein Gateway zwischen zwei Netzwerken ist, beispielsweise mit einer öffentlichen IP-Adresse und einer privaten IP-Adresse. Eine Firewall-Regel, die nur den Zugriff auf bestimmte Dienste im internen LAN ermöglicht, erkennt keine Verbindungen von diesem SSH-Server (es sei denn, für diesen Computer wurde ein Sonderfall erstellt).

Die Fernverbindungen können von viel weiter kommen. Auf der SSH-Client-Seite können einige SSH-Clients ihren Listening-Socket an eine bestimmte IP-Adresse (z. B. localhost) binden, um zumindest Verbindungen von Remotecomputern von diesem Ende aus zu verhindern. Sie verlassen sich jedoch darauf, dass der Client diese Einstellungen ordnungsgemäß verwendet.

Wenn Ihre Benutzer diese Art von Verbindungen herstellen dürfen oder wenn die Firewall-Regeln (und verwandte Regeln), die Sie in Ihrem Netzwerk verwenden, die IP-Adresse des SSH-Servers speziell verarbeiten, um dies zu berücksichtigen, kann dies in Ordnung sein. Wenn dies gesagt wird, möchten Sie möglicherweise immer noch überprüfen, wo die Tunnel eingerichtet sind. Andernfalls könnten Sie auch Probleme mit anderen Servern von Drittanbietern bekommen.

Wenn Sie nichts davon benötigen, ist es besser, diese Funktion zu deaktivieren.

13
Bruno

Mit der TCP-Weiterleitung können Benutzer mithilfe von SSH ein VPN einrichten, mit dem sie in ein Netzwerk tunneln können. Dies könnte es einem Angreifer ermöglichen, Netzwerksicherheitsmaßnahmen wie Firewalls zu umgehen. SSH-Tunneling kann ein äußerst nützliches Tool sein, stellt jedoch auch ein Sicherheitsrisiko dar. Daher sollte es deaktiviert werden, sofern dies nicht ausdrücklich erforderlich ist.

6
GdD