Gefahr durch SSH: Portforwarding außer Kontrolle

Technologien wie Portforwarding und NAT-Routing gehören im
Internet heute zu den Standardverfahren. Die Schichten drei und vier des
OSI-Referenzmodells werden dabei nicht im Sinne des Erfinders genutzt.

Rahmenbedingungen, etwa die Knappheit an IPv4-Adressen, lassen jedoch
gar nichts anderes zu. Auch aus Sicherheitsaspekten ist es ratsam, sich
mit möglichst wenig öffentlichen IP-Adressen im Internet zu bewegen und
bei Bedarf nur einzelne Ports an öffentliche IP-Adressen zu schalten.

Immer mehr Software bietet jedoch die Möglichkeit, über
NAT-Routing-Grenzen zu kommunizieren. Das Dogma, von außen kommende
Verbindungen grundsätzlich nicht zuzulassen, gilt schon lange nicht mehr.
Das VoIP-Telefon im Intranet wäre sonst von außen nicht zum Klingeln zu bringen.

Solange Technologien durch die IT-Security beherrschbar
sind, wird die Sicherheit nicht gefährdet. Durch stetig fallende Preise
im Hosting-Markt kann ein Angreifer heute leicht und kostengünstig zum
Administrator mit Root-Rechten im Internet werden. Ein DSL-Anschluss mit
fester IP-Adresse und ein Rechner mit SSH-Server erfüllt den gleichen Zweck.

Zwar lässt sich damit auch weiterhin von außen keine Tür zum Intranet
öffnen. Findet sich jedoch jemand, der bereit ist, sie von innen
aufzusperren, wird die IT-Sicherheit gefährdet.

Die freundliche Firewall am Intranet-Empfang bekommt in der Regel
nichts mit.