TCP-Tunnel mit SSH deaktivieren

Sowohl für das Büro-Intranet als auch für das Management-Netz im Rechenzentrum haben wir VPN-Zugänge eingerichtet. Diese sind mittels Firewall-Regeln relativ streng gefiltert; Zugriffe werden nur auf einige festgelegte Dienste erlaubt, u.a. SSH.
Theoretisch könnte man aber über SSH beliebige TCP-Verbindungen durchtunneln, ohne dass die Firewall davon etwas mitbekommt. Das kann zwar seinen Vorteil haben (z.B. wenn man vergessen hat einen bestimmten Port in der Firewall freizugeben, oder den SSH-Server als “Sprungbrett” in andere Netze nutzen will), allerdings widerspricht das nunmal der Sicherheits-Policy.

Mit wenigen Befehlen kann das Tunneln von TCP-Verbindungen aber deaktiviert werden: ein einfaches

AllowTcpForwarding No

in der sshd_config genügt bereits. Alternativ kann man mit den Befehlen AllowTcpForwardingForUsers bzw. AllowTcpForwardingForGroups die Weiterleitung nur für bestimmte Benutzer/Gruppen erlauben. Letzteres setzen wir beispielsweise auf allen Hosting-Servern ein; da sind SSH-Tunnel nur in besonderen Fällen für administrative Zwecke notwendig und daher auch nicht pauschal erlaubt.

Einen Kommentar schreiben