Remote-Zugriff ins Hauptquartier
Wer einen Server im BĂĽro der Firma betreibt, ist oft versucht, diesen aus SicherheitsgrĂĽnden nicht von auĂźen per SSH ansprechbar zu gestalten. Das kann mitunter ein groĂźer Fehler sein.
- Tam Hanna
- Tam Hanna
Wer einen Server im BĂĽro der Firma betreibt, ist oft versucht, diesen aus SicherheitsgrĂĽnden nicht von auĂźen per SSH ansprechbar zu gestalten. Das kann mitunter ein groĂźer Fehler sein.
Mein Unternehmen realisiert einen wissenschaftlichen Taschenrechner, dessen Intelligenz aus taktischen GrĂĽnden auf eine Gruppe von Raspberry Pis aufgesplittet ist. Einige davon befinden sich im HauptbĂĽro in PreĂźburg und sind aus dem Intranet heraus ansprechbar. Aus diesem Grund wurde darauf verzichtet, SSH nach auĂźen weiterzureichen.
Leider ergab sich über die Weihnachtsfeiertage die Situation, dass der Cluster dringend auf eine neue Version von Pirna umgestellt werden musste – eine Aktivität, die nur per SSH erfolgen kann. Der "normalerweise" mögliche Zugriff auf den dort befindlichen Pirna-Dienst erlaubt nämlich keine Remote-Aktualisierung. Das (kostspielige) Resultat des Akts war, dass ich meinen Urlaub abbrechen und nach Preßburg reisen musste. Dort wurde das Update eingespielt und der Rückweg angetreten.
Es steht außer Frage, dass man Server von außen her so wenig wie möglich exponieren soll. Allerdings ist es gerade in Zeiten von Port Knocking und Co. alles andere als schwierig, seinen Dienst "gut zu verstecken". Zur Abwehr von 99 Prozent der Angreifer genügt es, den Port des SSH-Servers zu ändern.
Zudem war SSH in den letzten Jahren ein im Großen und Ganzen sicheres Protokoll, das – bei ausreichend langem Passwort – kein übermäßig kritisches Einfallstor darstellt.
Sind alle Server Ihres Unternehmens von auĂźen per SSH ansprechbar? ()
