Anleitung SSLH unter DSM 6

[wikrie]

Hi Leute,

habe eine kurze Anleitung geschrieben wie man SSLH unter DSM 6 zum laufen kriegt.

https://christiandietze.de/synology-diskstation-dsm-6-sslh-anleitung/

Bei Fragen immer her damit, bei mir lief es mit der Anleitung in weniger als 15 min.

Jeder ist selbst dafür verantwortlich was er mit der Anleitung macht, wie und wo er diese nutzt und sollte es unklar sein sollte sich derjenige der es nutzen will eine Genehmigung von geeigneter Stelle einholen.

mfg Wikrie

 

[TeXniXo]

Danke für die Anleitung, die auf 1. Blick wirklich einfach und gut verständlich scheint.
Aber da es via "root" abgewickelt wird, wär es gut, einen Hinweis auf "sudo -i" dort anzugeben. Da scheitern die meisten User daran

 

[wikrie]

Danke für den Hinweis und erledigt.

mfg Wikrie

 

[dany]

Kein Sysadmin eines Unternehmens hat es gerne wenn man Löcher in die Firewall macht. Du hebelst damit gewisse Sicherheitsmechanismen aus.
Man muss sich bewusst sein das die Umgehung einer Firewall rechtliche Konsequenzen haben kann und im extremfall den Job kostet.
Es gibt gute Gründe warum man Ports sperrt.

Darum gehen NEXT-Gen Firewall über mit SSL Interception zu arbeiten. Ob das aushebeln der SSL Sicherheit durch die Firewall gut/schlecht ist ist eine andere Frage

Gruss Dany

 

[JudgeDredd]

Kein Sysadmin ...

... stellt jemals den SSH Service (egal auf welchem Port) in die DMZ.
Sowas ist schlicht und einfach fahrlässig.

 

[wikrie]

Das ist korrekt, ich würde auch niemals ein Endgerät ins Firmennetzwerk packen welches irgendwelche Dienste zur Verfügung stellt.
Diese Anleitung ist dafür gedacht seine private NAS zu Hause erreichbar zu machen, nichts anders.
Wer Löcher in die Firewall in einem Firmennetzwerk bohrt ist selber schuld.
Also ist die Anmerkung korrekt, hätte auch nie damit gerechnet das jemand die Anleitung sorum nutzen will.

mfg wikrie

 

[dany]

Diese Anleitung ist dafür gedacht seine private NAS zu Hause erreichbar zu machen, nichts anders.

So habe ich es auch verstanden. Es gibt immer zwei Richtungen NAS<>Internet<>Client. Der Weg ist nicht weit das du noch einen Proxy darüber zugreifst, Dateien downloadest vorbei an jedem Content Filter, Gateway-AV der Firma.

 

[wikrie]

Hi Dany,

also die reine Anleitung wie man den SSLH auf der DS zum laufen bringt, empfinde ich als unproblematisch. Was dann jeder für sich selbst daraus macht und oder modifiziert und anpasst, dass liegt absolut nicht in meiner Hand.
Na klar ist es ein Weg der nicht dem Standard folgt und jeder der sowas macht sollte sich auch bewusst sein was er macht. Also wenn jemand diese Anleitung dazu nutzt um eine Loch in eine Firmen FW zu bohren und oder dann damit fragwürdige Dienste anbietet, dann finde ich, ist das in der Verantwortung eines jedem selbst. Ich habe nur die Anleitung zur Verfügung gestellt die einzig darauf zielt eine SSH Verbindung zu einem privaten Endpunkt herzustellen. Da die DS mein Eigentum ist und die Internetverbindung auch ist es meine eigene Entscheidung was ich damit mache und ob ich diesen "Dienst" anbieten will oder nicht.
Persönlich würde ich niemals einen SSLH auf einem Firmengerät installieren das wäre einfach nur ...

Ich hoffe ich konnte meinen Standpunkt verdeutlichen und schließe meine Ausführung mit den Worten:

Jeder ist selbst dafür verantwortlich was er mit der Anleitung macht, wie und wo er diese nutzt und sollte es unklar sein sollte sich derjenige der es nutzen will eine Genehmigung von geeigneter Stelle einholen.

mfg wirkie.

 

[dany]

Hallo wikrie

Da hast du mich falsch verstanden, es geht nicht um das Einrichten eines Services innhalb einer Firma und wenn du du dich im öffentlichen Raum nach Hause verbindest ist das egal und unproblematisch.

Mein Standpunkt liegt darin das du z.b. als Mitarbeiter innerhalb des Firmennetzwerks via Port 443 nach Hause auf dein NAS dich verbindest. Somit kannst du auch Inhalte von dort ins Firmennetzwerk reinholen da ja die Verbindungen Bidirektional ist. Deine Verbindung ist verschlüsselt und somit auch nicht unter Kontrolle des Admin.

Es geht mir vielmehr darum das man sensibilisiert ist, dass man damit gewissen Sicherheitsfeatures aushebelt und so schaden verursachen kann.

Gruss Dany

 

[Puppetmaster]

Ich kann doch immer, wenn das Firmennetzwerk Port 443 geöffnet hat, z.B. per https Daten aus meinem privaten Netz ins Firmennetzwerk holen. Was soll also jetzt gravierend unterschiedlich sein?

 

[wikrie]

Hi Puppetmaster,

die Anleitung wurde in der Hinsicht so verstanden das jemand auf die Idee kommen könnte dies im Firmennetzwerk zu machen. Also sprich die DS ins Firmennetz zu stellen und dann eine SSH Verbindung durch die Firmenfirewall durch zu tunneln. Das sollte man NIEMALS tun. An so eine Idee habe ich auch nie gedacht als ich die Anleitung geschrieben habe. Es ging immer nur darum seine private DS aus einem Firmennetz heraus erreichbar zu machen. Also schreibe ich es hier noch einmal, diese Anleitung NIEMALS dafür verwenden um einen Firmennetzwerk zu kompromittieren. Wer einen SSH Tunnel in ein ein Firmennetz hinein baut dem kann ich auch nicht weiter helfen. Wer das nicht als Fehler und Falsch erkennt, dem sollte grundsätzlich die Möglichkeit entzogen werden dies überhaupt tun zu können.


mfg wikrie

 

[Puppetmaster]

Hi wikrie,

bitte die letzten beiden Posts noch einmal lesen. Hier geht ja niemand mehr davon aus, dass eine solche DS in einem Firmennetzwerk steht, sondern in einem Privaten. Anderenfalls macht meine letzte Frage ja auch kaum Sinn.

 

[wikrie]

Da hast du Recht das muss ich falsch gelesen haben, aber dann verstehe ich die Sicherheitsbedenken nicht wirklich. Denn was soll der Unterschied zwischen meinem Webserver:443 im Gegensatz zu Jedem_anderem_Host:443 sein.
Die Daten die bei mir liegen und die ich verarbeiten und benutzen will, sollten kein Sicherheitsrisiko darstellen. Natürlich gibt es immer böse Zeitgenossen die sowas auch dazu nutzen können, wer weiß was zu tun. Die gibt es aber immer und deswegen sowas zu verteufeln wäre das gleiche als wenn ich das TOR-Netzwerk grundsätzlich verteufle weil dort böse Sachen existieren. Das es für manche die einzige Chance ist sich frei zu bewegen wird dabei gerne unterschlagen.
Es gibt also immer 2 Seiten und es gibt keine 100% Sicherheit, die gibt es nur wenn man den Stecker raus zieht.

 

[dany]

Im Endeffekt ist das gleiche, sofern du nicht geschäftlich deine Verbindung aufbaust dann ist es ebenso Problematisch.

• Du fängst dir was ein, Malware, deine Spuren führen zu deinem Client, man findet deinen Tunnel, der Rest kann man sich denken
• Du belegst Bandbreite des Firmeninternets. Nicht jeder hat eine symetrische Internetleitung, z.b. Fair-Use Regel.

Übrigens kann man bei Next-Gen Firewalls SSH auf Appliakations-Ebene sperren lassen da der Handshake eindeutig ist, da ist es egal auf welchem Port man ist.

 

[Puppetmaster]

Ok, das ist dann aber eine gänzlich andere Diskussion und ist völlig losgelöst vom ursprünglichen Thema hier.

Was ich in meinem Firmennetzwerk darf und was nicht, regelt im Allgemeinen eine IT-Policy, das müssen (und können) wir an dieser Stelle hier gar nicht diskutieren.

 

[wikrie]

dem stimme ich voll und ganz zu und würde die Diskussion diesbezüglich hier auch, für meinen Teil, beenden.