Re: Routing in ein privates geNATetes Netzes?
Am Samstag 10 Januar 2009 23:44:35 schrieb Dirk Salva:
> On Sat, Jan 10, 2009 at 07:33:50PM +0100, Christian Knorr wrote:
> > Wenn ich z.B. "mein_server.no-ip.com" dafür verwende um meinen Webserver
> > der Außenwelt zur Verfügung zu stellen, dann ist das nicht nur Port 80,
> > sondern IMHO alle Ports. Also auch Port 22 für ssh.
>
> Nein. no-ip (als Beispiel, bei den anderen funktioniert das ganz
> genauso) funktioniert so:
> Du hast auf dem "zu überwachenden" Rechner eine Software,
> typischerweise IMHO ddclient. Die meldet sich bei no-ip (oder dnydns
> oderoderoder) und teilt dem die eigene aktuelle IP mit. no-ip trägt die
> dann in eine eigene "Liste" ein. Rufst Du jetzt (womit auch immer) die
> Adresse beispiel.no-ip.com auf, so guckt der in seiner Liste nach,
> welche IP das grad ist, und leitet die Anfrage dorthin weiter. Ein
> dynamischer IP-Service eben. Es wird _gar_kein Port weitergeleitet, es
> wird nur die Anfrage an beispiel.no-ip.com auf die gerade aktuelle IP
> 1.2.3.4 umgeleitet. Auf welchem Port 1.2.3.4 antwortet/reagiert, hängt
> natürlich von 1.2.3.4 ab. Wenn auf diesem ein ssh und ein Webserver
> laufen, dann kann man, wenn man beispiel.no-ip.com kennt, natürlich
> auf beides zugreifen.
Genau das sage ich ja, ob jetzt nun Ports umgeleitet werden oder nicht.
Hab ich halt die Funktionsweise von DynDNS nicht ganz verstanden, aber ob nun
Ports umgeleitet werden oder nicht, oder nur aus Name -> IP gemacht wird,
es lässt sich nicht trennen.
> Ehm. Dann betreibt man das eben dergestalt, daß man sich vor
> unerwünschten Einträgen schützt. Nur ein "Nicht-Kennen" schützt nicht
> vor unerwünschten Einträgen. Auch ohne einen Service wie no-ip.com kann
> jemand zufällig an den Rechner geraten (einfach in dem er IP-Bereiche
> absucht) und dann dort solche unerwünschten Einträge platzieren.
Aber die Wahrscheinlichkeit ist viel höher, dass man bei einmal Spam den auch
mehrmals bekommt, wenn man mit einem Namen unterwegs ist.
> So
> lange, bis das entdeckt und der Dienst beendet wird, oder bis der
> Rechner automatisch vom Provider eine neue IP erhält. Der vermeintliche
> Schutz, den Du durch Nichtnutzung von dynamischen DNS-Diensten
> erreichen willst, existiert nur in Deiner Phantasie.
Den "Schutz" gibt es IMHO nicht. Es gibt nur "sicherer", oder?
> Eh? An der Fernwartung durch einen ssh-Tunnel kann sich sowieso niemand
> "zu schaffen machen", weil ssh nunmal eine Athentifizierung verlangt,
> ohne die man keinen Zugriff bekommt.
Und durch meine Haustüre kommt auch keiner durch der keinen Schlüssel hat -
wer’s glaubt wird selig. Benutzername = Rechnername = Passwort - war’s nicht
sogar in dieser Liste hier? Du glaubst das ist ein Märchen? Das ist auch bei
einigen in meiner Familie und im Freundeskreis so, weil sich da nicht jeder -
der von Windows kommt - Gedanken drum macht. Solange kein ssh angeboten wird
halb so wild. Und wenn später doch?
> Jegliche Art der Fernwartung ist
> normaler- und sinnvollerweise mindestens durch eine Passwortabfrage
> oder einen key gesichert - alles andere wäre grob fahrlässig und dumm.
Richtig, aber es kommt trotzdem vor. Ich hab’ mein Auto unverschlossen in’s
Parkhaus gestellt - natürlich unabsichtlich - auch fahrlässig und dumm. Aber
es passiert.
> So langsam bekomme ich den Eindruck, daß Du Dich hier entweder extra
> unwissend stellst oder besser keine Dienste öffentlich anbieten
> solltest...
Ich hab’ ja auch kein ssh offen. Die Hilfesuchenden des TS aber.
> Paul Muster hat es vollkommen korrekt ausgedrückt: "Security by
> obscurity" funktioniert nicht, hat nie funktioniert und wird auch nie
> funktionieren.
http://de.wikipedia.org/wiki/Security_through_obscurity
Okay, da kommen wir der Sache schon näher.
Natürlich würde ich mich dadurch sicherer fühlen, wenn ich meinem Rechner
keinen eindeutigen Namen gebe, sondern ihm seine täglich wechselnde
IP-Adresse lasse, wenn ich per ssh fernwarten will. Womit ich aber andere
Mechanismen (anderer Port und Zertifikat) nicht ausschließe.
> ciao, Dirk
Chris.....
Reply to: