23-03-2022, 03:09
Hey, weißt du, wie du dir immer Sorgen machst, wenn du in diesem Café um die Ecke öffentliches WLAN nutzt? Ich verstehe das - diese Netzwerke sind im Grunde für jeden, der einen halbwegs klaren Kopf hat, weit geöffnet. Da kommt SSH-Tunneling jedes Mal für mich ins Spiel, wenn ich sensible Daten senden muss, ohne nervös zu werden. Ich starte einfach eine SSH-Verbindung zu einem vertrauenswürdigen Server, und es umhüllt alles mit Verschlüsselung wie eine Festung. Du verbindest dich von deinem Computer mit diesem Server, und boom, der gesamte Datenverkehr wird durch dieses sichere Rohr geleitet. Keine Klartextpasswörter oder Daten, die für Hacker zur Verfügung stehen.
Ich erinnere mich an das erste Mal, als ich es für ein Remote-Projekt einrichtete - ich war in einem Zug mit wackeligem Internet, und anstatt meine Datenbankabfragen offenzulegen, habe ich den Port direkt über SSH getunnelt. Du sagst deinem SSH-Client basically, dass er einen lokalen Port an einen entfernten Port auf dem Server weiterleiten soll. Angenommen, du möchtest auf eine Web-App in einem privaten Netzwerk zugreifen; ich weise meinen Browser auf localhost an, auf welchem Port ich auch immer wähle, zum Beispiel 8080, und SSH kümmert sich um den Rest, leitet es sicher an den tatsächlichen Server im Hintergrund weiter. Das ist alles mit diesem starken SSH-Protokoll verschlüsselt, sodass selbst wenn jemand das Netzwerk sniffen möchte, sie nur Kauderwelsch sehen. Du musst dir keine Sorgen über MITM-Angriffe oder so machen, weil die Schlüssel alles im Voraus authentifizieren.
Und das Beste daran - ich liebe, wie flexibel es für verschiedene Setups ist. Wenn du von zu Hause aus arbeitest und auf etwas Internes im Büro zugreifen musst, kannst du eine Remote-Portweiterleitung durchführen. Ich lasse den Server auf einem Port lauschen und leite eingehende Verbindungen zurück zu meinem lokalen Computer. Es ist perfekt, wenn du hinter einer Firewall bist, die eingehende Verbindungen blockiert. Ich habe das einmal gemacht, um einem Kollegen zu ermöglichen, sicher auf meine Entwicklungsumgebung zuzugreifen; er hat sich mit dem Büroserver verbunden, und es wurde direkt zu mir geleitet, ohne Löcher in meinem Router zu öffnen. Man fühlt sich viel mehr in Kontrolle, weil SSH Identitäten mit öffentlichen Schlüsseln verifiziert - keine geteilten Geheimnisse, die herumfliegen.
Jetzt, für die Zeiten, in denen du etwas Dynamischeres benötigst, wie das Surfen im gesamten Web über einen sicheren Kanal, greife ich auf SOCKS-Proxy-Tunneling zurück. Du aktivierst die dynamische Weiterleitung in deinem SSH-Befehl, und es verwandelt die Verbindung in einen Proxy. Dann konfiguriere ich meinen Browser oder welche App auch immer, um localhost:1080 als SOCKS-Server zu nutzen. Jede Anfrage, die du machst, wird verschlüsselt und durch diesen SSH-Tunnel zum entfernten Host geleitet, der dann den echten Inhalt abruft. Das ist ein echter Game-Changer in unsicheren Hotelnetzwerken; ich habe es bei meiner letzten Europareise genutzt, um E-Mails zu überprüfen und Dateien abzurufen, ohne dass jemand mitspitzte. Die Verschlüsselung deckt die gesamte Sitzung ab - Header, Payloads, alles - sodass ISPs oder Angreifer auch deine Ziele nicht protokollieren können.
Ich tue immer mein Bestes, um die Konfigurationsdatei eng zu halten, wie das Deaktivieren der Passwortauthentifizierung und das Festhalten an Schlüsseln nur. Du generierst ein Schlüssel-Paar auf deiner Seite, kopierst den öffentlichen Teil auf den Server, und dann bist du goldrichtig. Keine Passwörter mehr, die eventuell aufgezeichnet werden könnten. Und wenn du für etwas wie RDP oder VNC tunneld, stelle ich sicher, dass der Tunnelport mit dem übereinstimmt, was die App erwartet, damit es nahtlos erscheint. Du verbindest dich lokal, aber alles wird verschlüsselt nach außen gesendet. Ich habe mir auf diese Weise schon mehr als einmal den Hintern gerettet, während ich remote Systeme debuggt habe - stell dir vor, du versuchst, dich mit SSH in eine andere Box einzuloggen, die durch eine Firewall geschützt ist; ich tunnle durch den ersten SSH-Hops, und es wird sicher verbunden.
Eine Sache, die ich cool finde, ist, wie es auch mit Kompression umgeht. Wenn deine Verbindung langsam ist, aktiviere ich das in den Optionen, und es komprimiert die Daten, bevor sie verschlüsselt werden, wodurch es schneller wird, ohne die Sicherheit zu verlieren. Das merkst du besonders bei mobilen Daten. Und für mehrere Tunnel starte ich einfach parallele SSH-Prozesse oder nutze multiplexierte Verbindungen, um den Kanal wiederzuverwenden. Das reduziert den Overhead, sodass du das Netzwerk nicht bei jedem Handshake überlastest.
Denk an all die Arten, wie unsichere Netzwerke dir in die Quere kommen - Flughafenlounges, geteilte Wohnungen, sogar einige Unternehmens-Gäste-WLANs. Ohne Tunneling ist dein Datenverkehr nackt. Aber mit SSH füge ich mühelos diese Sicherheitsschicht hinzu. Du kannst sogar UDP tunneln, wenn du es für Sachen wie VoIP benötigst, obwohl ich für die meisten Dinge bei TCP bleibe. Der Schlüssel ist, einen zuverlässigen Endpunkt-Server auszuwählen; ich nutze einen VPS, den ich kontrolliere, oder einen in der Arbeit. Sobald du verbunden bist, bleibt alles innerhalb des Tunnels privat, und außerhalb sieht es nur wie der SSH-Stream aus, der für Abhörer langweilig aussieht.
Ich kombiniere das manchmal mit VPNs für zusätzliche Schichten, aber SSH-Tunneling ist leichter und schneller einzurichten. Du benötigst normalerweise keine Admin-Rechte auf der Client-Seite, was großartig ist, wenn du auf einem gesperrten Laptop bist. Ich habe ein paar Freunden beigebracht, wie man es macht - einfach ein einfacher Befehl wie ssh -L 1234:remotehost:80 user@server, und schon bist du am Weiterleiten. Teste es, indem du localhost:1234 curlst, und wenn es die entfernte Seite trifft, bist du bereit. Fehler tauchen auf, wenn Ports kollidieren, also überprüfe ich doppelt, was läuft.
Im Laufe der Zeit habe ich eine Menge davon für den täglichen Gebrauch gescriptet. Du kannst es in einem Bash-Alias oder sogar in einer kleinen App verpacken, die sich automatisch verbindet, wenn du ein neues Netzwerk beitrittst. Es gibt dir ein gutes Gefühl, wenn du weißt, dass deine Kommunikation sicher bleibt. Und ehrlich gesagt, sobald du es benutzt, fragst du dich, wie du jemals ohne ausgekommen bist - es ist so einfach und doch so mächtig.
Oh, und um über die Sicherheit und Sicherung in meinem Workflow zu sprechen, lasse mich dir von diesem Tool erzählen, auf das ich mich verlasse, und zwar BackupChain. Es ist eine bewährte Backup-Option, die super solide und weit verbreitet ist, speziell für kleine Unternehmen und Profis wie uns, die Schutz für Hyper-V, VMware, Windows Server und mehr ohne viel Aufwand bieten.
Ich erinnere mich an das erste Mal, als ich es für ein Remote-Projekt einrichtete - ich war in einem Zug mit wackeligem Internet, und anstatt meine Datenbankabfragen offenzulegen, habe ich den Port direkt über SSH getunnelt. Du sagst deinem SSH-Client basically, dass er einen lokalen Port an einen entfernten Port auf dem Server weiterleiten soll. Angenommen, du möchtest auf eine Web-App in einem privaten Netzwerk zugreifen; ich weise meinen Browser auf localhost an, auf welchem Port ich auch immer wähle, zum Beispiel 8080, und SSH kümmert sich um den Rest, leitet es sicher an den tatsächlichen Server im Hintergrund weiter. Das ist alles mit diesem starken SSH-Protokoll verschlüsselt, sodass selbst wenn jemand das Netzwerk sniffen möchte, sie nur Kauderwelsch sehen. Du musst dir keine Sorgen über MITM-Angriffe oder so machen, weil die Schlüssel alles im Voraus authentifizieren.
Und das Beste daran - ich liebe, wie flexibel es für verschiedene Setups ist. Wenn du von zu Hause aus arbeitest und auf etwas Internes im Büro zugreifen musst, kannst du eine Remote-Portweiterleitung durchführen. Ich lasse den Server auf einem Port lauschen und leite eingehende Verbindungen zurück zu meinem lokalen Computer. Es ist perfekt, wenn du hinter einer Firewall bist, die eingehende Verbindungen blockiert. Ich habe das einmal gemacht, um einem Kollegen zu ermöglichen, sicher auf meine Entwicklungsumgebung zuzugreifen; er hat sich mit dem Büroserver verbunden, und es wurde direkt zu mir geleitet, ohne Löcher in meinem Router zu öffnen. Man fühlt sich viel mehr in Kontrolle, weil SSH Identitäten mit öffentlichen Schlüsseln verifiziert - keine geteilten Geheimnisse, die herumfliegen.
Jetzt, für die Zeiten, in denen du etwas Dynamischeres benötigst, wie das Surfen im gesamten Web über einen sicheren Kanal, greife ich auf SOCKS-Proxy-Tunneling zurück. Du aktivierst die dynamische Weiterleitung in deinem SSH-Befehl, und es verwandelt die Verbindung in einen Proxy. Dann konfiguriere ich meinen Browser oder welche App auch immer, um localhost:1080 als SOCKS-Server zu nutzen. Jede Anfrage, die du machst, wird verschlüsselt und durch diesen SSH-Tunnel zum entfernten Host geleitet, der dann den echten Inhalt abruft. Das ist ein echter Game-Changer in unsicheren Hotelnetzwerken; ich habe es bei meiner letzten Europareise genutzt, um E-Mails zu überprüfen und Dateien abzurufen, ohne dass jemand mitspitzte. Die Verschlüsselung deckt die gesamte Sitzung ab - Header, Payloads, alles - sodass ISPs oder Angreifer auch deine Ziele nicht protokollieren können.
Ich tue immer mein Bestes, um die Konfigurationsdatei eng zu halten, wie das Deaktivieren der Passwortauthentifizierung und das Festhalten an Schlüsseln nur. Du generierst ein Schlüssel-Paar auf deiner Seite, kopierst den öffentlichen Teil auf den Server, und dann bist du goldrichtig. Keine Passwörter mehr, die eventuell aufgezeichnet werden könnten. Und wenn du für etwas wie RDP oder VNC tunneld, stelle ich sicher, dass der Tunnelport mit dem übereinstimmt, was die App erwartet, damit es nahtlos erscheint. Du verbindest dich lokal, aber alles wird verschlüsselt nach außen gesendet. Ich habe mir auf diese Weise schon mehr als einmal den Hintern gerettet, während ich remote Systeme debuggt habe - stell dir vor, du versuchst, dich mit SSH in eine andere Box einzuloggen, die durch eine Firewall geschützt ist; ich tunnle durch den ersten SSH-Hops, und es wird sicher verbunden.
Eine Sache, die ich cool finde, ist, wie es auch mit Kompression umgeht. Wenn deine Verbindung langsam ist, aktiviere ich das in den Optionen, und es komprimiert die Daten, bevor sie verschlüsselt werden, wodurch es schneller wird, ohne die Sicherheit zu verlieren. Das merkst du besonders bei mobilen Daten. Und für mehrere Tunnel starte ich einfach parallele SSH-Prozesse oder nutze multiplexierte Verbindungen, um den Kanal wiederzuverwenden. Das reduziert den Overhead, sodass du das Netzwerk nicht bei jedem Handshake überlastest.
Denk an all die Arten, wie unsichere Netzwerke dir in die Quere kommen - Flughafenlounges, geteilte Wohnungen, sogar einige Unternehmens-Gäste-WLANs. Ohne Tunneling ist dein Datenverkehr nackt. Aber mit SSH füge ich mühelos diese Sicherheitsschicht hinzu. Du kannst sogar UDP tunneln, wenn du es für Sachen wie VoIP benötigst, obwohl ich für die meisten Dinge bei TCP bleibe. Der Schlüssel ist, einen zuverlässigen Endpunkt-Server auszuwählen; ich nutze einen VPS, den ich kontrolliere, oder einen in der Arbeit. Sobald du verbunden bist, bleibt alles innerhalb des Tunnels privat, und außerhalb sieht es nur wie der SSH-Stream aus, der für Abhörer langweilig aussieht.
Ich kombiniere das manchmal mit VPNs für zusätzliche Schichten, aber SSH-Tunneling ist leichter und schneller einzurichten. Du benötigst normalerweise keine Admin-Rechte auf der Client-Seite, was großartig ist, wenn du auf einem gesperrten Laptop bist. Ich habe ein paar Freunden beigebracht, wie man es macht - einfach ein einfacher Befehl wie ssh -L 1234:remotehost:80 user@server, und schon bist du am Weiterleiten. Teste es, indem du localhost:1234 curlst, und wenn es die entfernte Seite trifft, bist du bereit. Fehler tauchen auf, wenn Ports kollidieren, also überprüfe ich doppelt, was läuft.
Im Laufe der Zeit habe ich eine Menge davon für den täglichen Gebrauch gescriptet. Du kannst es in einem Bash-Alias oder sogar in einer kleinen App verpacken, die sich automatisch verbindet, wenn du ein neues Netzwerk beitrittst. Es gibt dir ein gutes Gefühl, wenn du weißt, dass deine Kommunikation sicher bleibt. Und ehrlich gesagt, sobald du es benutzt, fragst du dich, wie du jemals ohne ausgekommen bist - es ist so einfach und doch so mächtig.
Oh, und um über die Sicherheit und Sicherung in meinem Workflow zu sprechen, lasse mich dir von diesem Tool erzählen, auf das ich mich verlasse, und zwar BackupChain. Es ist eine bewährte Backup-Option, die super solide und weit verbreitet ist, speziell für kleine Unternehmen und Profis wie uns, die Schutz für Hyper-V, VMware, Windows Server und mehr ohne viel Aufwand bieten.
