ssh via internet naar local

Waarschijnlijk zoek je een VPN of een cloud-achtig iets als Nextcloud, afhankelijk van wat je precies wilt doen. Maar anders kan je via SSH gewoon poorten tunnelen, dat zal de makkelijkste oplossing zijn zonder extra services op te hoeven zetten.

Kijk eens naar de ProxyJump optie van ssh:

-J destination
Connect to the target host by first making a ssh connection to the jump host described by destination and then establishing a TCP forwarding to the ultimate destination from there. Multiple jump hops may be specified separated by comma characters. This is a shortcut to specify a ProxyJump configuration directive. Note that configuration directives supplied on the command-line generally apply to the destination host and not any specified jump hosts. Use ~/.ssh/config to specify configuration for jump hosts.

Fijn dat SSH werkt...wil je dit ook echt?

andremeijer0071 schreef op donderdag 5 mei 2022 @ 00:05:
@lier Iets zegt me dat je zelf niet geheel tevreden bent met SSH. Is het gebruik van SSH via het internet een slechte keuze?

Zou een VPN server opzetten en dan lokaal in hetzelfde netwerk SSH gebruiken ipv SSH open te zetten richting het grote boze internet

andremeijer0071 schreef op donderdag 5 mei 2022 @ 00:05:
@lier Iets zegt me dat je zelf niet geheel tevreden bent met SSH. Is het gebruik van SSH via het internet een slechte keuze?

Nee, ja.

Kun jij met ssh inloggen met een user/pass of alleen met key login? én update jij je SSH bastion zeer regelmatig? Weet jij wanneer er een CVE oppopt die ssh exploits toestaat?

andremeijer0071 schreef op donderdag 5 mei 2022 @ 00:16:
@True Is het in mijn geval wel aan te raden om via ssh in te loggen op mijn server. Ik vraag me oprecht af of er dan geen betere oplossing is dan ssh. Ik moet wel zeggen dat het erg makkelijk is om op te zetten, maar dan heb ik ook echt weinig beveiligings maatregelen genomen.

Misschien daar eerst eens na kijken

Veel veilig is om een VPN op te zetten naar je server en vanaf daar lokaal met SSH binnen je netwerk te verbinden. Je zet dus SSH van je server naar de buitenkant uit. En blokkeert alle externe poorten behalve SSH (of forward enkel de VPN poort in je router).

Wat @True zegt

Sowieso key authentication instellen, en als het even kan een ssh poort niet aan het open internet hangen.

Voor bestandsuitwisseling kan je beter iets nemen als Nextcloud, of een NAS.

Ssh i.c.m. key authentication is veilig je kan er ook 2FA opzetten.

Met Proxy jump is het meer de poormans VPN.

True schreef op donderdag 5 mei 2022 @ 00:09:
[...]


Nee, ja.

Kun jij met ssh inloggen met een user/pass of alleen met key login? én update jij je SSH bastion zeer regelmatig? Weet jij wanneer er een CVE oppopt die ssh exploits toestaat?

Vervang ssh door vpn en je hebt exact hetzelfde punt.

Hm je public key op de server kwijtraken... Het is beter dat je het uitzet, totdat je snapt wat je doet. Waarom zou je die folder deleten? Je delete toch ook de folder waar de mail in binnenkomt niet?

een antwoord voor nu:
Als het mogelijk is dat jouw key "verdwijnt" van je server dan heb je een heel ander probleem. (Dat is niet hetzelfde als de ssh daemon niet genoeg, of te veel rechten geven zodat die key niet gelezen kan worden)
Mijn zorg is dat ik denk dat je niet weet of je kunt uitzoeken of je MTA of webserver al reeds gehackt is.

Anyway, ontopic
SSH maakt gebruik van sleutelparen, een publiek deel een een privaat deel. Dat private deel hoort ergens veilig bij jou lokaal te staan op je PC/laptop.
Bij het generen van zo'n sleutelpaar kun je kiezen voor met, of zonder password. (als je denkt : "oh lekker makkelijk zonder password." gelijk je server uitzetten. Als je denkt: "ik wil een password van minimaal 25 karakters met allerlei moeilijke tekens erin dat ik niet kan onthouden, dus ik sla het op in mijn wachtwoordmanager." dan doorgaan.)

de pub key die zet je in je homedir in de .ssh map in het bestand authorized_keys. (Het is één regel platte tekst)
Op het moment dat je inlogt wordt dat keypaar via een cryotografische functie geladen en door jouw password wordt de verbinding zo versleuteld dat alleen jij en de server die sessie kunnen lezen.

Je zou eens kunnen kijken naar zerotier dat is een software vpn oplossing. Moet je natuurlijk wel vertrouwen hebben in de dienst, maar dan kun je precies dat doen wat @True zegt.

Zerotier is snel opgezet en er hangen geen kosten aan. Op elk device een client, een vpn-id en password invullen en je bent er. En vanuit de online portal kun je hosts autoriseren en beheren.

loewie1984 schreef op donderdag 5 mei 2022 @ 09:54:
Je zou eens kunnen kijken naar zerotier dat is een software vpn oplossing. Moet je natuurlijk wel vertrouwen hebben in de dienst, maar dan kun je precies dat doen wat @True zegt.

Zerotier is snel opgezet en er hangen geen kosten aan. Op elk device een client, een vpn-id en password invullen en je bent er. En vanuit de online portal kun je hosts autoriseren en beheren.

Ik ken het niet, maar dan neem je weer een bedrijf in arm wat je moet vertrouwen.
Wat is mis er met een OpenVPN server of WireGuard VPN? Beide zijn prima oplossingen die leuk zijn om te implementeren als je net met Linux aan de gang bent en je iets meer wilt én veilig wilt werken.
@andremeijer0071 misschien verlaagd dit de drempel voor je: https://github.com/angristan/openvpn-install

makooy schreef op donderdag 5 mei 2022 @ 00:08:
Zou een VPN server opzetten en dan lokaal in hetzelfde netwerk SSH gebruiken ipv SSH open te zetten richting het grote boze internet

Waarom? Wat maakt een VPN veiliger dan SSH?
Wat is eigenlijk het verschil tussen een "VPN" en "SSH"?

Voor de discussie is het denk ik beter om te benoemen welke VPN software je bedoelt want SSH is zelf (ook) een vorm van VPN. Ik ga er even van uit dat we het specifiek over OpenVPN hebben, al is het meeste ook op andere oplossingen van toepassing.

Zelf denk ik dat het in de meeste situaties het juist veiliger is om SSH te gebruiken. De meeste (thuis) VPNs zijn alleen beveiligd met een simpel wachtwoord. Er zijn wel alternatieven, zoals het gebruik van certificaten, maar die zijn voor thuisgebruikers al snel te moeilijk. MFA is voor veel VPNs ook erg lastig om op te zetten.
Dat was onjuist, tnx @Thralas

SSH heeft het gebruik van sleutels genormaliseerd. Het is heel normaal om wachtwoordauthenticatie helemaal uit te schakelen in SSH. Het zwakke punt van SSH is dan wel dat je als beheerder niet kan afdwingen dat je gebruikers hun key goed beveiligen met een wachtwoord, net zoals dat het moelijk is om te voorkomen dat ze hun wachtwoord op hun monitor schrijven.

Er is wel iets voor te zeggen om VPN én SSH te combineren als een vorm van MFA, hoe meer lagen hoe veiliger. Maar ik zie niet hoe VPN fundamenteel veiliger is dan SSH, als er al een verschil is.

True schreef op donderdag 5 mei 2022 @ 00:09:
Kun jij met ssh inloggen met een user/pass of alleen met key login? én update jij je SSH bastion zeer regelmatig? Weet jij wanneer er een CVE oppopt die ssh exploits toestaat?

Al benoemd door @Rmg, maar ik herhaal het even om 't aan te vullen: dat laatste geldt net zo hard voor eender welke VPN-oplossing je kiest.

Het enige dat een VPN-oplossing out of the box meestal beter doet dan SSH is het afdwingen van het gebruik van keys. Als je SSH zo configureert dat je alleen met keys kunt inloggen (daar doel je terecht op met je eerste vraag) is het risico dat een botnet op je SSH server inbreekt exact even groot als bij je VPN: bij benadering nul.

Veel veilig is om een VPN op te zetten naar je server en vanaf daar lokaal met SSH binnen je netwerk te verbinden. Je zet dus SSH van je server naar de buitenkant uit.

Ik denk dat je hiermee ten onrechte het beeld schetst dat TS per definitie een VPN zou moeten configureren om veilig te zijn - SSH is (mits juist geconfigureerd) minstens even veilig. Gebruiksgemak is daarentegen een uitstekend argument om toch een VPN in te richten, poorten forwarden en ProxyJump wordt al snel vervelend in tegenstelling tot een VPN.

loewie1984 schreef op donderdag 5 mei 2022 @ 09:54:
Je zou eens kunnen kijken naar zerotier dat is een software vpn oplossing. Moet je natuurlijk wel vertrouwen hebben in de dienst, maar dan kun je precies dat doen wat @True zegt.

Iets moderner en flexibeler is WireGuard. De 'geen technische kennis vereist'-variant daarvan (vergelijkbaar met Zerotier) is Tailscale.

De tradeoff van zelf inrichten/beheren versus 'uit handen geven' en 'just works' mag iedereen zelf bepalen.

CAPSLOCK2000 schreef op donderdag 5 mei 2022 @ 10:59:
De meeste (thuis) VPNs zijn alleen beveiligd met een simpel wachtwoord. Er zijn wel alternatieven, zoals het gebruik van certificaten, maar die zijn voor thuisgebruikers al snel te moeilijk.

Ik geloof niet dat dit klopt. OpenVPN lijkt me de defacto thuisoplossing en dat kun je niet eens inrichten zonder sleutels (lees: certificaten) - toch?

SSH heeft het gebruik van sleutels genormaliseerd. Het is heel normaal om wachtwoordauthenticatie helemaal uit te schakelen in SSH.

Dat lijkt me juist omgedraaid. Wat niet uitsluit dat je OpenSSH zo kunt configureren en ik zou het ook iedereen met klem aanraden, maar gemeengoed is het helaas niet. Zie ook: Raspberry Pi en pi/raspberry (waar ze nu eindelijk écht eens drastische maatregelen voor hebben genomen, maar die zijn me ontschoten).

Verder zijn we het helemaal eens geloof ik.

[ Voor 20% gewijzigd door Thralas op 05-05-2022 11:10 ]

andremeijer0071 schreef op donderdag 5 mei 2022 @ 09:11:
- onderzoeken hoe ik een goede authentication kan maken met ssh
- De mogenlijkheden bekijken die betrekking hebben tot proxyump
- Daarnaast zorgen dat ik er ook meer afweet over dingen als ssh bastion en eventuele exploids
- onderzoek doen naar de mogelijkheid om open vpn goed in te stellen

Goed bezig.

De persoon legt ook wel goed uit het hoe en waarom, zodat het wachtwoord niet geraden kan worden enzo. Ik ben alleen wel benieuwt naar jullie mening, mijn zorg is namelijk wat als je om wat ever voor een reden dan ook je publike key op de server kwijt raak, door bijvoorbeeld de folder te deleten? Dan kun je er dus niet meer in via ssh. Is een wachtwoord dan niet beter?

Wat is het verschil me je wachtwoord kwijt raken (op de server) of vergeten (in je hoofd) of verliezen (uit je passwordmanager)?
Een modern wachtwoord hoort (fors) meer dan 20 tekens lang te zijn en cijfers, hoofdletters en vreemde tekens bevatten om nog als veilig te beschouwen*. Dat soort wachtwoorden kun je bijna niet meer van buiten leren, die moet je opschrijven en bewaren in een password manager.

Als je de file kwijt raakt dan zet je de backup terug. Dat lijkt misschien flauw maar is het enige echte antwoord.
En als je een passwormanager gebruikt maakt het niet uit het je ssh-key of je wachtwoord-file is die kwijt raakt, je hebt sowieso een backup nodig.


* Als dat wachtwoord je enige beveiliging is. Als je een wachtwoord combineert met een ander middel, zoals google authenticator of een yubikey, dan mag je een eenvoudiger wachtwoord gebruiken dat je wel kan onthouden. Dat is in het algemeen dan ook mijn advies.

Wat is er mis met pubkey only auth met iets als Denyhosts erbij voor een thuisservertje? Eventueel met port knocking.

Thralas schreef op donderdag 5 mei 2022 @ 11:03:
Ik geloof niet dat dit klopt. OpenVPN lijkt me de defacto thuisoplossing en dat kun je niet eens inrichten zonder sleutels (lees: certificaten) - toch?

Je hebt gelijk, in mijn hoofd zijn er blijkbaar wat bitjes omgevallen.

Thralas schreef op donderdag 5 mei 2022 @ 11:03:
[...]

Ik geloof niet dat dit klopt. OpenVPN lijkt me de defacto thuisoplossing en dat kun je niet eens inrichten zonder sleutels (lees: certificaten) - toch?

Met een klein beetje moeite kan dat wel. Het wordt afgeraden maar staat gewoon in de docs.

Thralas schreef op donderdag 5 mei 2022 @ 11:03:
[...]


Al benoemd door @Rmg, maar ik herhaal het even om 't aan te vullen: dat laatste geldt net zo hard voor eender welke VPN-oplossing je kiest.

Het enige dat een VPN-oplossing out of the box meestal beter doet dan SSH is het afdwingen van het gebruik van keys. Als je SSH zo configureert dat je alleen met keys kunt inloggen (daar doel je terecht op met je eerste vraag) is het risico dat een botnet op je SSH server inbreekt exact even groot als bij je VPN: bij benadering nul.

Ik voel mij toch even genoodzaakt om te mierenneuken. Dat is niet waar, zoals @CAPSLOCK2000 al aangeeft, hoe meer lagen hoe beter. Immers moet je eerst via VPN (en dus certificates/keys) en daarna nog eens SSH (alsnog keys? of enkel bruteforce van een wachtwoord). Meer lagen is inherent veiliger.

[...]


Ik denk dat je hiermee ten onrechte het beeld schetst dat TS per definitie een VPN zou moeten configureren om veilig te zijn - SSH is (mits juist geconfigureerd) minstens even veilig. Gebruiksgemak is daarentegen een uitstekend argument om toch een VPN in te richten, poorten forwarden en ProxyJump wordt al snel vervelend in tegenstelling tot een VPN.

Wat VPN (OpenVPN) in mijn optiek veiliger maakt voor (specifiek amateur) thuisgebruikers dan SSH aan de buitenkant is inderdaad de standaardisatie van gebruik van keys. Dat is iets wat (hier ook klaarblijkelijk) niet altijd gedaan wordt wanneer SSH aan de buitenkant openstaat.

True schreef op donderdag 5 mei 2022 @ 13:06:
[...]

Ik voel mij toch even genoodzaakt om te mierenneuken. Dat is niet waar, zoals @CAPSLOCK2000 al aangeeft, hoe meer lagen hoe beter. Immers moet je eerst via VPN (en dus certificates/keys) en daarna nog eens SSH (alsnog keys? of enkel bruteforce van een wachtwoord). Meer lagen is inherent veiliger.

"Dat laatste" slaat op exploits. Als je exploits als reden aandraagt om SSH niet naar buiten open te zetten wil dat niet zeggen dat je datzelfde issue niet ook met VPN-services kan hebben. Als je met een exploit via die service de machine binnenkomt heb je heel SSH niet eens meer nodig.

[...]

Wat VPN (OpenVPN) in mijn optiek veiliger maakt voor (specifiek amateur) thuisgebruikers dan SSH aan de buitenkant is inderdaad de standaardisatie van gebruik van keys. Dat is iets wat (hier ook klaarblijkelijk) niet altijd gedaan wordt wanneer SSH aan de buitenkant openstaat.

Ik heb het nu al meermaals gedaan maar voor een amateur is het niet enorm makkelijk om een PKI op te zetten, die veilig op te slaan in een versleutelde container en daarbovenop de uitgegeven keys te versleutelen met een wachtwoord. Ook moet je na een jaar (of wat de geldigheid van je client certificates is) nieuwe keys uitgeven en weer opzoeken hoe je dat ook alweer gedaan hebt. Scriptjes daarvoor schrijven is niet voor iedereen weggelegd.

Je kan met in ieder geval OpenVPN en vast ook andere VPN-pakketten gewoon user-password authenticatie aanzetten. Ook al wordt dat afgeraden, als dat noemenswaardig veel makkelijker is dan een PKI optuigen en beheren dan wordt dat al snel de eerste keus.

Met SSH kan je net zo goed keys gebruiken en die zijn min of meer net zo veilig als veilige(!) wachtwoorden en je moet ze net zo goed versleuteld opslaan omdat ze anders juist de boel onveiliger maken. Denk aan malware die (voor zowel SSH als VPN) drives scant op onversleutelde private keys.

[ Voor 48% gewijzigd door DataGhost op 05-05-2022 14:01 ]

DataGhost schreef op donderdag 5 mei 2022 @ 13:56:
[...]

"Dat laatste" slaat op exploits. Als je exploits als reden aandraagt om SSH niet naar buiten open te zetten wil dat niet zeggen dat je datzelfde issue niet ook met VPN-services kan hebben. Als je met een exploit via die service de machine binnenkomt heb je heel SSH niet eens meer nodig.

M.b.t. exploits doelde ik op @andremeijer0071 die moet bedenken dat hij z'n systemen up-to-date houdt en veilig houdt. Of je nu SSH, VPN of NextCloud aan de buitenkant openzet, als je daar geen beheer op doet, kun je nat gaan.
Want het is geen MS systeempje die om de haverklap je pc herstart omdat die updates wilt uitvoeren. Het is Linux en dat vereist net iets meer beheer dan een huis-tuin-en-keuken computertje. Dat probeerde ik TS duidelijk te maken m.b.t. exploits.

[...]

Ik heb het nu al meermaals gedaan maar voor een amateur is het niet enorm makkelijk om een PKI op te zetten, die veilig op te slaan in een versleutelde container en daarbovenop de uitgegeven keys te versleutelen met een wachtwoord. Ook moet je na een jaar (of wat de geldigheid van je client certificates is) nieuwe keys uitgeven en weer opzoeken hoe je dat ook alweer gedaan hebt. Scriptjes daarvoor schrijven is niet voor iedereen weggelegd.

Je kan met in ieder geval OpenVPN en vast ook andere VPN-pakketten gewoon user-password authenticatie aanzetten. Ook al wordt dat afgeraden, als dat noemenswaardig veel makkelijker is dan een PKI optuigen en beheren dan wordt dat al snel de eerste keus.

Met SSH kan je net zo goed keys gebruiken en die zijn min of meer net zo veilig als veilige(!) wachtwoorden en je moet ze net zo goed versleuteld opslaan omdat ze anders juist de boel onveiliger maken. Denk aan malware die (voor zowel SSH als VPN) drives scant op onversleutelde private keys.

Zoals ik al aangaf is dat best gemakkelijk te doen met bijv.: https://github.com/angristan/openvpn-install of als je WireGuard wilt gebruiken met: https://github.com/angristan/wireguard-install

andremeijer0071 schreef op donderdag 5 mei 2022 @ 14:32:
Het is ook bijzonder om de discussie te zien over wel of geen vpn. Als ik het voorelkaar krijg om dat goed op te zetten dan zal ik dat altijd doen via een 'gratis oplossing' als open vpn. alleen Ik vraag me oprecht af of sommige vpn diensten wel betrouwbaar zijn? Hoe wordt die markt gecontroleerd?

Je hebt helemaal geen VPN dienst nodig. Je draait juist je eigen VPN dienst (server), zodat je vanaf buiten je netwerk op een veilige manier met je eigen netwerk kan verbinden

Extra voordeel: dat is ook meteen een mooie manier op veiliger gebruik te maken van publieke wifi netwerken. Met een VPN client op je smartphone etc. tunnel je dan veilig via thuis het internet op, in plaats van dat de eigenaar (en andere gebruikers) van de hotspot je verkeer mogelijk kunnen onderscheppen.

[ Voor 20% gewijzigd door Orion84 op 05-05-2022 14:38 ]

andremeijer0071 schreef op donderdag 5 mei 2022 @ 14:42:
@Orion84 Weet ik maar het is gewoon heel bijzonder om dit geheel te zien er zijn zo wel 20 aanbieders te vinden terwijl ik inderdaad geloof in het feit dat als je een beetje goed onderzoek doet het misschien wel helemaal zelf op kan zetten. Het was bij mij ook meer een vraag die bij mij ernaast opkwam, maar is een beetje offtopic

Het is ook een terechte vraag, maar het gebruik van een externe VPN dienst is niet echt een oplossing voor jouw situatie. Dat is meer als je vanuit thuis op een wat meer anonieme manier het internet op wilt of via een ander land (om bepaalde restricties te omzeilen of zo). En dan ben je inderdaad overgeleverd aan de betrouwbaarheid van die dienst.

In dit geval wil je juist van buiten verbinding maken met jouw thuisnetwerk en dan is een eigen VPN server in je thuisnetwerk de juiste optie. Het kan technisch ook wel door met een client vanuit thuis en een client vanuit buiten met een externe VPN dienst te verbinden maar dat is moeilijk doen om het moeilijk doen als je toch al een servertje hebt draaien thuis.

https://ngrok.com/docs/using-ngrok-with#ssh

Kan ook nog

Dat is dus wederom het verschil tussen zelf een VPN server draaien zodat je van buiten bij jouw netwerk kan en een VPN client gebruiken om via een VPN aanbieder het internet op te gaan.