SSH-Tunnel über eingeschränktes WLAN?

[Centauri39]

Üblicherweise kann man ja SSH- und SFTP-Verbindungen über ein myFritz-Konto laufen lassen, wenn man von unterwegs auf den eigenen Rechner oder aufs NAS zugreifen will.
Diese Verbindungen kann man zur Erhöhung der Sicherheit über Nicht-Standard-Ports einrichten.

Wenn man nun in einem fremden, eingeschränkten WLAN ist, z.B. Hotel oder Klinik, wo nur Surfen und Mailen erlaubt ist, wie ist das dann?
Könnte man diese Verbindungen auch über die dort üblichen Ports laufen lassen, also z.B. Port 80?
Spricht etwas dagegen? Wie sieht es sicherheitsmäßig aus? Machbar oder eher "Finger weg" davon?

 

[eisbaerin]

also z.B. Port 80?

Nimm lieber Port 443 (der muß wegen HTTPS auch frei sein), da dort die Daten auch verschlüsselt sind.
Bei Port 80 kann es bei einer gute Firewall passieren, daß sie kontrolliert und nur HTTP durch läßt.

 

[Peter_Lehmann]

Diese Verbindungen kann man zur Erhöhung der Sicherheit über Nicht-Standard-Ports einrichten.

Kannst du mir bitte erklären, wieso du durch "Verbiegen" des Ports die Sicherheit deiner ssh-Verbindung erhöhen willst?
Sicherheit durch Verstecken? Das einzige, was du damit erreichst, ist, das Log etwas sauberer zu halten. Und welchen Port du für ssh benutzt, ist in wenigen Sekunden ermittelt.
Echte Sicherheit erreichst du nur durch die richtige Konfiguration deines sshd. Also keine Anmeldung mit Benutzername/Passwort, keine direkte Anmeldung als root, Begrenzung der Anzahl der fehlerhaften Anmeldungen auf max. 2 usw.
In Verbindung mit einem langen Schlüsselpaar (mindestens 4K) und möglichst noch mit einem Passwort für den private key hast du alles getan, was möglich ist.

Die einzige zu rechtfertigende Ausnahme der Nutzung eines anderen Ports ist eben das Umgehen der Portsperren (Hotel, KrHs usw.). In diesem Kontext würde ich das auch so machen. Aus einem Firmennetz würde ich mir das allerdings gut überlegen. Wir hatten schon des öfteren einen ganz schlauen, der bspw. den DNS-Port (!!) dazu missbraucht hat, um das Firmennetz für private Nutzung zu "zu öffnen". Manche Leute glauben eben, dass es nicht auffällt, wenn auf einem Port auf einmal so richtig dicker Traffic auftaucht. Aus dem KrHs oder Hotel wirst du wegen so etwas zumindest nicht entlassen ... .

MfG Peter

 

[Centauri39]

Also die Portänderung hat zumindest bei VNC sehr gut geholfen.
Als ich noch den Standardport hatte, bekam ich ständig nervige Popups mit Verbindungsanfragen.
Das hörte durch die Portänderung auf.

Also keine Anmeldung mit Benutzername/Passwort

Womit denn dann?

Ich will auch keinen massiven Traffic produzieren, sondern nur gelegentlich per SFTP, VNC, über einen SSH Tunnel, meinen PC oder mein NAS erreichen können,
um von dort auf Daten zuzugreifen oder diese abzurufen.

 

[sonyKatze]

Womit denn [sonst wenn nicht Benutzername/Passwort]?

SSH Public-Key-Authentication
Unter dem Stichwort finden sich einige Anleitungen im Netz. Aber diesen Key könntest Du auch aus Deinem OpenPGP-Key ableiten. Den OpenPGP-Key kannst Du wiederum auf einer SmartCard (bzw. einem USB-Stick der eine SmartCard emuliert) mit Dir herumschleppen, siehe z.B. Zeitschrift c’t: Heft bzw. Einzel-Artikel. So hast Du einen USB-Stick für SSH, E-Mail-Verschlüsselung und Zwei-Faktor-Autorisierung. Nachteil: Auf den Computern muss schon alles installiert sein (SmartCard-Treiber) oder Du hast die Rechte, um diese Software-Pakete nachzuinstallieren.