Ist es schlecht, Port 443 für ssh weiterzuleiten?

7

Ich bin Student und behalte die meisten meiner Dateien auf meinem Heimcomputer. Leider kann ich ssh oder scp von meinem Laptop, den ich in der Schule benutze, wegen der Firewall nicht verwenden. Ich habe darüber nachgedacht, Port 443 zu verwenden, da dieser möglicherweise offen ist.

Meine Frage ist: Ich habe mehrere Computer in meinem Haus und benutze daher einen Router. Wäre es schlecht, wenn ich 443 auf meinen Computer weiterleiten würde? Ich bin mir nicht sicher, ob es irgendwelche Sicherheitsprobleme gibt oder ob es irgendetwas vermasseln würde, wenn ich versuche, https von meinen anderen Computern zu verwenden.

yasgur99
quelle
Ich öffne niemals irgendwelche Dienste nach außen, nur ein VPN, um in mein Haus einzutreten. Ich erkenne jedoch, dass es ziemlich kompliziert ist. Interessante Wendung, Port 443 bedient Seiten und ssh gleichzeitig.
Rui F Ribeiro
@RuiFRibeiro - Anstatt einen Dienst nach außen (SSH) zu öffnen, empfehlen Sie, einen Dienst nach außen (VPN) zu öffnen?
Marcelm
Kurz gesagt, ein Kompromiss zwischen Sicherheit und weniger missbrauchtem Service. Offensichtlich sind Sie nach einem VPN nicht darauf beschränkt, nur SSH zu geben.
Rui F Ribeiro
1
@RuiFRibeiro VPN weniger missbraucht (ich nehme an, Sie meinen angegriffen) als SSH? Davon bin ich nicht überzeugt. Und für das, was es wert ist, vertraue ich SSH mehr als typischen VPN-Implementierungen ...
marcelm
@RuiFRibeiro SSH ist auch nicht. Schauen Sie sich Port Forwarding oder Sshuttle an .
Sebb

Antworten:

13

Es sollte gut funktionieren, es ist nicht sicherer als die Verwendung eines anderen Ports für ssh (oder weniger sicher für diese Angelegenheit). Und nein, ausgehende TCP-Sockets sind nicht mit eingehenden TCP-Sockets identisch. Sie sollten daher Ihren ausgehenden Netzwerkverkehr nicht beeinträchtigen.

Elliott Frisch
quelle
Ok, danke dafür, es klärt definitiv viel auf. Ich weiß, dass eingehende und ausgehende Nachrichten getrennt sind, aber was ist, wenn eine weitere eingehende https-Anfrage eingeht? könnte das jemals passieren?
Yasgur99
Nur wenn Sie versuchen, einen Webserver auszuführen, oder wenn jemand einen Port-Scan durchführt. Im Fall eines Webservers müssen Sie entscheiden, ob Sie https auf Ihrem Server (oder ssh) unterstützen möchten. Und im Fall des Port-Scans unterscheidet es sich nicht vom Abhören eines anderen Ports.
Elliott Frisch
Okay, vielen Dank (ich habe hier keinen Repräsentanten, aber ich würde dir eine Stimme geben, wenn ich könnte)
yasgur99
1
Ich habe es in der Vergangenheit gemacht und es hat perfekt funktioniert. Ich erinnere mich, dass ich im ssh-Client eine Keep-Alive-Konfiguration eingerichtet habe, weil der Schulrouter (oder Proxy, ich weiß nicht) nach einer Weile inaktive Verbindungen unterbrochen hat.
Mauro Ciancio
@ Yasgur99 Ich habe für Sie gestimmt :-)
Meduz
5

Wenn Sie dies zumindest tun, bitte:

  1. Erstellen einer Whitelist: Beschränken Sie den Zugriff auf Port 443 nur von bekannten IPs aus
  2. Deaktivieren Sie Kennwortanmeldungen und verwenden Sie nur SSH-Schlüssel

Sie könnten sich sonst der Gefahr öffnen. Was ist, wenn jemand einen Sicherheitsfehler findet, der es ihm ermöglicht, sich automatisch anzumelden, wenn er eine SSH-Eingabeaufforderung erhält? Ihre Whitelist reduziert dieses zukünftige Risiko.

Wenn ein fehlerhafter Akteur auf der Whitelist durch Deaktivieren der Kennwortanmeldungen bei SSH auf Ihren Server zugreifen kann, ist es viel schwieriger, einen Einstieg zu finden.

Das ist gute Sicherheitshygiene. Wenn Sie ein regulärer Universitätsstudent sind, ist die Wahrscheinlichkeit eines Angriffs gering, aber warum sollten Sie ein unnötiges Risiko eingehen?

neugieriger George
quelle
2
+1 für die Verwendung von SSH Pubkey Auth. Wenn Sie sich jedoch für die Whitelist entscheiden, müssen Sie dies auf Firewall-Ebene (z. B. iptables) tun, bevor eine Verbindung jemals sshd erreicht.
Marcelm
2

"HTTPS" ist nur ein Name für das TLS-Protokoll (Transport Layer Security), wenn es zum Sichern des zugrunde liegenden HTTP-Protokolls verwendet wird. Nur die Endpunkte müssen sich um das zugrunde liegende Protokoll kümmern, damit Sie nach dem Herstellen der sicheren TLS-Verbindung an jedem verfügbaren Port beliebigen Datenverkehr senden können, ohne sich um dazwischenliegende Firewalls, Hacker, fremde Spione oder andere kümmern zu müssen Schurken-Sicherheitsbehörden in Ihrem eigenen Land.

"SSH" hat ein eigenes Protokoll. Wenn Sie also ssh auf Port 443 ausführen, besteht immer die Möglichkeit, dass eine Firewall oder ein anderer Snooping-Agent erkennt, dass der Datenverkehr kein HTTPS ist (da er von TLS abweicht), und ihn blockiert. Die Lösung für dieses Problem besteht darin, die ssh-Sitzung in das TLS-Protokoll einzubinden, was mit Hilfe des Programms einfach möglich ist stunnel. Lassen Sie stunnel auf dem Server Port 443 abhören und tunneln Sie den Datenverkehr zu Port 22. Anschließend müssen Sie auf dem Client eine weitere Instanz von stunnel ausführen, die einen lokalen Port abhört und dann den Datenverkehr zu Port 443 auf dem Server tunnelt.

Cuspy Code
quelle
0

Keine Probleme, ich habe es schon lange auf 443 gehabt. Das ist gut. Das einzige ist, dass Sie seltsame Protokolleinträge von Browsern erhalten, die versuchen, eine Verbindung herzustellen, aber diese sind völlig harmlos.

Aprikosenjunge
quelle
0

Es ist erwähnenswert, dass es ein Betrug ist. Sie können 443 oder einen anderen von Ihnen angegebenen Port mit nmap oder einem anderen Tool verwenden, aber die SSH-Verbindung wurde absichtlich verboten. Dies bedeutet, dass Sie leicht abgefangen werden können, da Sie keine HTTPS-Anfrage stellen. Dies ist der Protokolltyp, für den der oben genannte Port normalerweise offen bleibt.

Im Allgemeinen können Sie dabei eine Überwachung auslösen. Es handelt sich um eine Sicherheitsverletzung, und eine nachfolgende Paketanalyse zeigt umfassende Informationen zu diesem Versuch. Ich sage nur.

VVelev
quelle
Nun, sie sollten dann das Protokoll blockieren (durch Protokollinspektion) und nicht den Port! Dies erfordert jedoch möglicherweise leistungsfähigere Firewalls als bisher. Ich gehe davon aus, dass sie, da es sich um eine Bildungseinrichtung handelt, wahrscheinlich eine Whitelist für ausgehende Ports erstellt haben, die zumindest die Ports 80 und 443 enthält, um nur Missbrauch zu verhindern (P2P-Apps kommen zuerst in den Sinn), nicht um Informationsdiebstahl zu verhindern.
Katti