Zugriff auf Rechner im LAN

Warum Debian und/oder eine seiner Spielarten? Was muss ich vorher wissen? Wo geht es nach der Installation weiter?
Antworten
BenutzerGa4gooPh

Re: Zugriff auf Rechner im LAN

Beitrag von BenutzerGa4gooPh » 21.11.2017 17:24:42

Uppss, 2 Fraktionen stoßen zusammen: Die "Mietserverfraktion" und die "Firmennetzwerkfraktion". Erstere kann nur remote adminsitrieren, die andere hat die Wahl. Und scientific muss seinen Server und dessen (Remote-) Administrationsbedarf selber einordnen. :wink:

Zu Exposed Host: Wenn man sich "umliest", wird "Exposed Host" allgemein dafür verwendet, eine (semi-)professionelle Firewall-Router-Kombination (PFSense & Co.) hinter einem Plastikrouter ohne Doppel-NAT zu betreiben. U. a. mit der einfacheren Möglichkeit, aus dem Internet zu administrieren. Der Plastikrouter wird somit nur als XDSL-Modem und (DECT-)Telefonanlage benutzt. So ist die Hoffnung, nur der Plastikrouter-Hersteller weiß es genau. :wink:

Für scientific mit Server hinter Plastikrouter ist m. E. Portforwarding sicherer, da damit nur explizit geforwardete Ports extern erreichbar sind. Passieren ja vllt. Konfigurationsfehler oder der Server ist während Konfiguration/Tests temporär "etwas" offen. Ziel sollte trotzdem sein, den Server so zu konfigurieren, dass er wie ein Mietserver abgesichert im Internet stehen könnte.

Ansonsten lausche ich mit offenen Poren äh Ports dem Thread interessiert weiter. :THX:

Edit:
Eine DMZ würde (vom WAN betrachtet) nicht viel allzu viel mehr tun, als für Server mit öffentlichen IPs den WAN-Zugriff nur auf bestimmte Ports zuzulassen. Neben sicherem Management und Verhinderung von DOS. Also für privat anstelle "Entenscheiß-Enterprise" :mrgreen: - musste kurz überlegen und dann lachen - Portforwarding. Den Bedarf von Remote-Administration kann man m. E. wirklich bedenken ... wegen Faulheit oder KISS-Prinzip.
Zuletzt geändert von BenutzerGa4gooPh am 21.11.2017 17:57:11, insgesamt 3-mal geändert.

DeletedUserReAsG

Re: Zugriff auf Rechner im LAN

Beitrag von DeletedUserReAsG » 21.11.2017 17:28:23

… ich halt’s halt für ein ganz kleines bisschen affig, jemandem, der ’n ARM-Platinchen als lokales Serverkistchen einrichten will, mit Entenscheiß-grade-Uberlösungen zu kommen und vom millionenfach bewährten Secure-Shell abzuraten …

scientific
Beiträge: 3020
Registriert: 03.11.2009 13:45:23
Lizenz eigener Beiträge: Artistic Lizenz
Kontaktdaten:

Re: Zugriff auf Rechner im LAN

Beitrag von scientific » 21.11.2017 19:00:12

Ich überlege ja auch im Hinblick auf meinen derzeitigen Noch-Arbeitgeber...

Ich hab die Situation eh schon öfter dargelegt... Auf 20-30 Standorten verteilt je ein PC/Laptop mit Drucker und dann auf 3-5 Standorten 10-50 PC/Laptops mit einigen zentralen Druckern.

Die kleinen Standorte entsprechen eigentlich klassischen Home-PC-Arbeitsplätzen mit verschiedenen Internetanbindungen. Vom UMTS-Stick bis zum Netzwerkzugang über ein gesichertes Firmennetzwerk einer Fremdfirma.

Wie bringe ich die am besten so in ein Netz, dass ich die sicher aus der Ferne warten kann, mit geringstmöglichem Aufwand.

Mein Mailserver am Platinchen daheim ist eine sehr nützliche (weil ich endlich meine Mails unter meine Fuchtel bekomme) Spielerei, um auch solche Szenarien austesten und lösen zu können.

Aber prinzipiell weiß ich immer noch nicht, warum man Server nicht mittels ssh administrieren sollte, außer "weil man das nicht macht"...

Bei mir in der Firma werden Comouter auch nicht repariert "weil man das nicht macht", und Windows wird eingesetzt "weil man das macht"...

Ich würd mich so über Linux-Rechner freuen, da 98% unserer User ausschließlich per RDP auf einen Terminalserver zugreifen. Die Windowsmaschinen sind größtenteils ungewartet, weils eh wurscht ist. Kleine konfigurationsänderungen bleiben aus, weil die Zeit für administration by turnschuh nicht reicht...

Mit Linuxmaschinen könnte ich vieles über ein zentrales Firmenrepo anpassen, und wo es nicht reicht, gehts immer noch per ssh auf die Maschine. (mit solchen Lösungen, wie für mein Platinchen hinter Plastikrouter)
Und wenns noch immer nicht reicht dann halt abt (administration by turnshuh)...

Daher will ichs auch genauer wissen...

Lg scientific
dann putze ich hier mal nur...

Eine Auswahl meiner Skripte und systemd-units.
https://github.com/xundeenergie

auch als Debian-Repo für Testing einbindbar:
deb http://debian.xundeenergie.at/xundeenergie testing main

TomL

Re: Zugriff auf Rechner im LAN

Beitrag von TomL » 21.11.2017 19:21:27

niemand hat geschrieben: ↑ zum Beitrag ↑
21.11.2017 17:28:23
… ich halt’s halt für ein ganz kleines bisschen affig, jemandem, der ’n ARM-Platinchen als lokales Serverkistchen einrichten will, mit Entenscheiß-grade-Uberlösungen zu kommen und vom millionenfach bewährten Secure-Shell abzuraten …
Ich glaube auch nicht, dass SSH für diesen Zweck ein Problem ist.... allerdings würde ich dann ganz sicher nicht Port 22 am Plastikrouter forwarden, sondern um das Grundrauschen zu reduzieren irgendeinen jenseits von 50000 - das hat ansonsten keine Bedeutung, schafft aber deutlich mehr Ruhe auf der Leitung. Persönlich würde ich aber dennoch kein SSH nutzen, sondern OpenVPN und mich bei Wartungsnotwendigkeit einfach entweder via VNC oder SSH durch den Tunnel auf den Patienten aufschalten.
Mit OpenVPN kann ich gleichzeitig auch noch die normale Netzinfrastruktur als regulärer Client (cups, mounts, etc) nutzen und zudem auch noch sicher surfen. Und zwei offene Ports, also für SSH und OpenVPN halte ich für ungeschickt. Ich nutze OpenVPN in 2 Sessions (TCP und UDP) bereits seit etlichen Jahren und kann nur bestätigen, dass das beispielos stabil läuft. Für den Zweck ist OpenVPN wegen des größeren Spielraums m.E. die bessere Lösung.

j.m.2.c.

DeletedUserReAsG

Re: Zugriff auf Rechner im LAN

Beitrag von DeletedUserReAsG » 21.11.2017 19:29:16

Kann man sicher machen, wenn man ansonsten schon ’n VPN offen hat. Nur, um ssh zu tunneln, wär’s etwas sinnfrei.

TomL

Re: Zugriff auf Rechner im LAN

Beitrag von TomL » 21.11.2017 19:32:23

niemand hat geschrieben: ↑ zum Beitrag ↑
21.11.2017 19:29:16
Kann man sicher machen, wenn man ansonsten schon ’n VPN offen hat. Nur, um ssh zu tunneln, wär’s etwas sinnfrei.
Das ich den Server von unterwegs warte ist eher die Ausnahme.... mir gehts tatsächlich mehr um die Services wie Mailserver, radicale, samba, ggf. sogar cups ... und natürlich surfen über meinen Router. Aber gelegentlich nutze ich dann den Tunnel auch für den Zugriff via dann "internen" SSH. Kann sein, dass das etwas oversized ist, wenn man nur einen Wartungszugriff braucht. Allerdings empfinde ich OpenVPN aber auch als fix eingerichtet..... :roll:

BenutzerGa4gooPh

Re: Zugriff auf Rechner im LAN

Beitrag von BenutzerGa4gooPh » 21.11.2017 19:38:44

scientific hat geschrieben: ↑ zum Beitrag ↑
21.11.2017 19:00:12
Auf 20-30 Standorten verteilt je ein PC/Laptop mit Drucker und dann auf 3-5 Standorten 10-50 PC/Laptops mit einigen zentralen Druckern.

Die kleinen Standorte entsprechen eigentlich klassischen Home-PC-Arbeitsplätzen mit verschiedenen Internetanbindungen. Vom UMTS-Stick bis zum Netzwerkzugang über ein gesichertes Firmennetzwerk einer Fremdfirma.

Wie bringe ich die am besten so in ein Netz, dass ich die sicher aus der Ferne warten kann, mit geringstmöglichem Aufwand.
Arten von VPNs:
https://www.elektronik-kompendium.de/si ... 512041.htm
Die grossen Standorte Site-to-Site-VPN mit professionellen Router/FWs. PFSense und OPNSense eingeschlossen. Eine Firma sollte dafuer wenigstens regelmaessig spenden oder einen Servicevertrag haben und Hardware von den Firmen beziehen, bei denen die Entwickler angestellt sind. Hilft so auch der Open-Source-Community. :wink:
Zuletzt geändert von BenutzerGa4gooPh am 21.11.2017 19:57:09, insgesamt 1-mal geändert.

dufty2
Beiträge: 1709
Registriert: 22.12.2013 16:41:16

Re: Zugriff auf Rechner im LAN

Beitrag von dufty2 » 21.11.2017 19:54:44

scientific hat geschrieben: ↑ zum Beitrag ↑
21.11.2017 19:00:12
Aber prinzipiell weiß ich immer noch nicht, warum man Server nicht mittels ssh administrieren sollte, außer "weil man das nicht macht"...
Ich habe nicht geschrieben, ssh soll nicht verwendet werden.
Solange aber für das ssh-Protokoll und seine Implentierung nicht deren Korrektheit formal bewiesen wurde,
ist von einer Schwachstelle auszugehen.
Im Security-Palaver spricht man vom
Principle of least privilege
Solange etwas nicht unbedingt notwendig ist, wird es auch nicht eingesetzt.
=> Auf meinen Client hier benötige ich keinen sshd, also bleibt er außen vor (es gibt überhaupt keine offenen Ports auf diesen client hier).

Zum Thema VPN ist derzeit wireguard groß im Gespräch, Teile davon wurden auch formal bewiesen,
bei OpenVPN eher weniger (falls ich das noch richtig in Erinnerung habe).

Benutzeravatar
novalix
Beiträge: 1908
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: Zugriff auf Rechner im LAN

Beitrag von novalix » 21.11.2017 23:14:43

Aus den Snowden-Papieren habe ich mir mal vor einiger Zeit die Dokumente angeschaut, die sich explizit mit ssh beschäftigen. Da waren ganz interessante Hacks drin beschrieben. Allerdings bezogen die sich alle darauf dem Ziel eine kompromittierte Variante des sshd unterzuschieben. Direkte Angriffsvektoren auf den sshd hatte die NSA keine, die nicht auf Fehlkonfigurationen und/oder schwachen Passwörtern oder ausspähbaren Keys beruhten; also mehr oder weniger das, was die Script-Kiddies auch im Werkzeugkasten haben.
Mein Fazit:
Ein solide konfigurierter sshd ist, solange man sich einigermaßen sicher sein kann, dass es die Software ist, die man installieren wollte, ein recht gut geeignetes Instrument zur Fernwartung. Millionen FliegenAdmins können nicht irren.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

Antworten