Remote-Zugriff ins Hauptquartier

Wer einen Server im Büro der Firma betreibt, ist oft versucht, diesen aus Sicherheitsgründen nicht von außen per SSH ansprechbar zu gestalten. Das kann mitunter ein großer Fehler sein.

Mein Unternehmen realisiert einen wissenschaftlichen Taschenrechner, dessen Intelligenz aus taktischen Gründen auf eine Gruppe von Raspberry Pis aufgesplittet ist. Einige davon befinden sich im Hauptbüro in Preßburg und sind aus dem Intranet heraus ansprechbar. Aus diesem Grund wurde darauf verzichtet, SSH nach außen weiterzureichen.

Leider ergab sich über die Weihnachtsfeiertage die Situation, dass der Cluster dringend auf eine neue Version von Pirna umgestellt werden musste – eine Aktivität, die nur per SSH erfolgen kann. Der "normalerweise" mögliche Zugriff auf den dort befindlichen Pirna-Dienst erlaubt nämlich keine Remote-Aktualisierung. Das (kostspielige) Resultat des Akts war, dass ich meinen Urlaub abbrechen und nach Preßburg reisen musste. Dort wurde das Update eingespielt und der Rückweg angetreten.

Es steht außer Frage, dass man Server von außen her so wenig wie möglich exponieren soll. Allerdings ist es gerade in Zeiten von Port Knocking und Co. alles andere als schwierig, seinen Dienst "gut zu verstecken". Zur Abwehr von 99 Prozent der Angreifer genügt es, den Port des SSH-Servers zu ändern.

Zudem war SSH in den letzten Jahren ein im Großen und Ganzen sicheres Protokoll, das – bei ausreichend langem Passwort – kein übermäßig kritisches Einfallstor darstellt.

Sind alle Server Ihres Unternehmens von außen per SSH ansprechbar? ()