2.2.4. SSH-Zugriff

Diese Seite erlaubt Ihnen zu entscheiden, ob entfernter SSH-Zugriff auf den IPCop Server verfügbar sein soll oder nicht. Durch Setzen des Hakens in der Checkbox aktivieren Sie den SSH-Zugriff. Es ist ebenfalls möglich verschiedene Parameter des SSH-Dienstes auf dieser Webseite zu konfigurieren. Die SSH-Option ist standardmässig deaktiviert und wir würden empfehlen diese nur bei Bedarf zu aktivieren und danach wieder zu deaktivieren.

Anmerkung

Auf der Seite Firewall-Einstellungen können Sie festlegen, für welche Netzwerke der SSH-Zugriff möglich sein soll (gestattet sein soll).

Abbildung 2.10. SSH-Zugriff und SSH Host-Schlüssel

SSH Setup


Analog zum HTTPS Port für das Web-GUI, der auf Port 8443 geändert wurde, wurde der SSH-Port auf 8022 geändert. Wenn Sie eine oberflächenbasierte Anwendung benutzen, um auf Ihren IPCop zuzugreifen, denken Sie daran den Port 8022 anzugeben. Wenn Sie die ssh, scp oder sftp Befehle benutzen, ist die Syntax um nicht-standard Ports anzugeben für jeden Befehl unterschiedlich, sogar obwohl sie miteinander verwandt sind. Angenommen Ihr IPCop hat die IP-Adresse 192.168.254.1, dann lauten die Befehle:

SSH
$ ssh -p 8022 root@192.168.254.1
SCP
$ scp -P 8022 eine/Datei root@192.168.254.1:
SFTP
$ sftp -o port=8022 root@192.168.254.1

Nutzen Sie die Hilfeseiten Ihrer Desktop Maschinen, um eine komplette Erklärung dieser Befehle zu erhalten.

2.2.4.1. SSH-Optionen

Folgende SSH-Optionen sind über die Webseite verfügbar:

SSH-Zugriff

Das Auswählen der Checkbox aktiviert SSH. SSH wird nur vom GRÜNEN Netzwerk aus erreichbar sein, es sei denn Sie nutzen Externen Zugriff. Wenn SSH aktiviert ist, dann ist es für jeden möglich sich mit dem root Passwort auf die Kommandozeile Ihrer Firewall einzuloggen.

Unterstützung für Version 1 des SSH-Protokolls (wird nur für alte Clients benötigt)

Das Anhaken dieser Box aktiviert die Unterstützung für SSH-Clients der Version 1. Diese Option zu benutzen kann man nicht gutheißen. Es gibt bekannte Schwachstellen in Version 1 von SSH. Nutzen Sie diese Option nur für temporären Zugriff, wenn Sie nur SSH-Clients der Version 1 haben und es keinen Weg gibt, diese auf Version 2 zu aktualisieren. Die meisten, wenn nicht sogar alle, der aktuellen SSH-Clients unterstützen die Version 2. Aktualisieren Sie Ihre Clients wenn nur irgend möglich.

TCP-Weiterleitung zulassen

Das Auswählen dieser Checkbox erlaubt Ihnen SSH-verschlüsselte Tunnel zwischen Rechnern innerhalb Ihrer Firewall und externen Benutzern aufzubauen.

Welchen Nutzen hat das, wenn IPCop bereits VPN bereitstellt?

Sie sind unterwegs und irgend etwas geht schief mit einem Ihrer Server. Sie haben keine Roadwarrior VPN-Verbindung eingerichtet. Wenn Sie Ihr IPCop root Passwort kennen dann können Sie die SSH Portweiterleitung nutzen um durch Ihre Firewall Zugriff auf einen Server in einem Ihrer geschützten Netzwerke zu erhalten. Die nächsten paar Absätze werden erklären wie das geht, ausgehend davon, Sie haben einen Telnetserver auf einem internen Computer mit 10.0.0.20 laufen. Es wird ebenfalls angenommen, dass Ihre Remotemaschine eine Linuxmaschine ist. Der Putty SSH-Befehl unter Windows hat die selben Möglichkeiten, aber diese sind via Dialogboxen erreichbar. Eventuell haben Sie schon einen oder mehrere der ersten beiden Schritte durchgeführt.

  1. Aktivieren Sie oder lassen Sie jemand anderen den externen Zugriff auf Port 8443, den HTTPS-Port, aktivieren.

  2. Nutzen Sie die IPCop Webseiten um SSH-Zugriff und Externen Zugriff auf Port 8022 zu aktivieren.

  3. Erstellen Sie einen SSH-Tunnel zwischen Ihrer Remotemaschine und dem internen Server indem Sie einen SSH-Dienst mit folgendem Befehl starten:

    $ ssh -p 8022 -N -f -L 12345:10.0.0.20:23 root@ipcop
    
    -p 8022

    IPCop horcht für SSH auf dem Port 8022, nicht auf dem normalen 22.

    -N

    In Verbindung mit -f, SSH läuft im Hintergrund ohne abzubrechen. Wenn Sie diese Option benutzen, müssen Sie daran denken, den SSH-Prozess mittels kill abzubrechen. Als Alternative können Sie den Befehl sleep 100 ans Ende der Befehlszeile setzen und die Option -N weglassen. Wenn Sie dies tun wird SSH, aufgerufen durch den ssh Befehl, nach 100 Sekunden abgebrochen, aber die Telnetsitzung und der Tunnel werden nicht abgebrochen.

    -f

    Option um SSH im Hintergrund laufen zu lassen.

    -L

    Teilt SSH mit einen Portweiterleitungstunnel aufzubauen, wie in den folgenden Parametern angegeben.

    12345

    Der lokale Port der benutzt wird, um den Remoteservice zu tunneln. Dieser sollte größer als 1024 sein, andererseits müssten Sie root sein, um sich zu bekannten Ports zu verbinden.

    10.0.0.20

    Dies ist die GRÜNE Adresse des Remoteservers.

    23

    Dies legt die Remote-Portnummer fest, die benutzt werden soll, Telnet.

    root@ipcop.fqn

    Dies legt abschließend fest, dass Sie Ihre IPCop Firewall als Vermittler für die Portweiterleitung nutzen wollen. Sie benötigen eine Benutzer ID um sich einzuloggen, und die einzig verfügbare auf IPCop ist root. Sie werden nach dem root Passwort von IPCop gefragt.

  4. Loggen Sie sich zum Schluß in das entfernte Telnet ein, in dem Sie den Tunnel benutzen.

    $ telnet localhost 12345
    

    localhost ist die Maschine, an der Sie arbeiten. Die Loopback Adresse 127.0.0.1 ist definiert als localhost. 12345 ist der lokale Tunnelport, der im vorherigen Befehl definiert wurde.

Es gibt eine Anleitung für SSH Portweiterleitung bei Dev Shed.

Passwortbasierte Authentifizierung zulassen

Erlaubt den Benutzern sich mit dem root Passwort auf dem IPCop Server einzuloggen. Wenn Sie sich dazu entscheiden dies auszuschalten, dann richten Sie zuerst Ihre SSH-Schlüsseldateien ein und überprüfen dann, ob Sie sich mit Ihren Schlüsseldateien einloggen können.

Authentifizierung auf Basis öffentlicher Schlüssel zulassen

Durch anhaken dieser Checkbox kann die Authentifizierung auf Basis öffentlicher Schlüssel von SSH genutzt werden. Dies ist die bevorzugte Methode IPCop bei Benutzung von SSH abzusichern. Dieser Artikel enthält eine Diskussion über die Verwendung eines SSH-Keygenerators um RSA-Schlüssel zu erzeugen und wie diese zusammen mit SSH verwendet werden.

2.2.4.2. SSH Host-Schlüssel

Dieser Abschnitt listet die Host-Schlüssel Fingerabdrücke, die von SSH auf dem IPCop genutzt werden, auf, um zu überprüfen, dass Sie eine Sitzung mit der richtigen Maschine öffnen. Das erste Mal, wenn Sie eine Sitzung öffnen, wird einer der Fingerabdrücke von SSH angezeigt und Sie werden dazu aufgefordert zu überprüfen, ob dies korrekt ist. Wenn Sie möchten, dann können Sie dies prüfen, in dem Sie auf diese Webseite schauen.