Hoy,

ich bins wieder. Heute interessiert mich die Rechtslage zum Proxy tunneln (also SSH over SSL). Auf einer Seite, die ich aufgrund dessen dass dieses Thema ziemlich heikel ist hier nicht posten werde, ist davon die Rede einen getunnelten Proxy wieder rueckwaerts zum ~einhacken~ in das Intranet zu benutzen (hierfuer ist ein spezielles setup noetig, dass ich hier nicht ansprechen moechte - aber es ist faktisch moeglich).

Mich wuerde interessieren was ihr davon haltet. Ich arbeite in einem relativ grossen Unternehmen und telnet zugang ist (nach Beantragung) rein faktisch erlaubt - ueber ssh wird sich ausgeschwiegen. Das mag sicher damit zusammenhaengen, dass man im Falle einer (moeglichen) Straftat in der Lage sein moechte, schnell zu ueberpruefen was definitiv gelaufen ist. Mit verschluesselten ssh Verbindungen ist es schon schwieriger nachtraeglich in Erfahrung zu bringen was genau ueber die Leitung gegangen ist.

Aufgrund dessen kann man sicherlich behaupten, dass die Sicherheit hier ziemlich unterminiert werden kann - aber kann wirklich jemandem der ssh Verbindungen nach aussen herstellt unterstellt werden, absichtlich das interne Netz zu gefaehrden?

Meinungen?

-phoen][x-

Nein kann man nicht.
Aber eine Option für die Firma wäre, ssh-Verbindungen am Router/Firewall zeitlich zu begrenzen!
Da tunnel gerne auch ein wenig länger dauernund auch häufig mit Scripten automatisiert sind kann man das schon recht gut feststellen. Also Telnet-Sessions zu beobachten ist da wesentlich kritischer (Datenschutz)!

Ab besten ist es, Ihr macht Euch mal generelle Statistiken zur ssh-Nutzung (Wer, wohin, wann, Traffic, Regelmässigkeiten); da sollten einige Tunnel schon auffallen!

Michael

Ich bin nur User, mir ist das mehr oder weniger gleich. Solange ich meinen Tunnel behalten kann ist alles bestens. Die Frage ist, ob ich mal irgendwann einen Brief bekomme in dem steht "Sehr geehrter Mitarbeiter, es war eine schoene Zeit mit ihnen, bitte schauen Sie sich schon mal nach einem anderen Arbeitgeber um."

Das waere naemlich weniger vorteilhaft (vorsichtig ausgedrueckt).

-phoen][x-

auch die Ausübung einer Strafttat halte ich führ unwahrscheinlich da man ja nur zu einem ssh Server kann, den man selbst "umkonfiguriert" hat (mehr will ich da mal nicht zu sagen)...

D.h. wenn man eine Straftat machen würde, dann stünde ja die IP des eigenen Servers in den "möglichen" logfiles... und nicht die IP deines Unternehmens...

Aber mit Hilfe der Reverse Connections ist es moeglich, Daten aus dem internen Netz nach draussen zu holen, bzw. das komplette Netz von innen anzugreifen. Da hoert imho der Spass dann auf, die Frage ist ob Firewall-Admins das aehnlich sehen, oder ob fuer sie schon ein normaler ausgehender SSH Tunnel eine uebermaessige Gefaehrdung der internen Sicherheit darstellt. Deswegen interessiert mich die Rechtslage - ich moechte nichts illegales betreiben.

-phoen][x-

Setze dich doch einfach mal mit deinem Admin in Verbindung, dann weisst du zumindest, was die Firma mit ihrem Netz erlauben will. Meistens sind die Großunternehmen da ziemlich pingelig: Alles was nicht zum Erledigen der Arbeit notwendig ist, gilt als verboten. Ich würde da auch nicht auf Konfrontantionskurs gehen und mit Ausloten der Rechtslage und dem technisch Möglichen argumientieren.
Eigentlich sollten solche Dinge Beilage deines Arbeitsvertrages (Internet-Richtlinie?) sein.

Bye

Thorsten

Hi,

Du bist doch sicher gemasqueraded in der Firma oder? Damit ist es eh nicht möglich eine Verbindung "zurück" aufzumachen. Sollte das überhaupt möglich sein. Wenn dir den Job lieb ist solltest du es allerdings unterlassen. Ich glaube nicht, dass eine sonderliche Gefahr von einer SSH Connection ausgeht, aber das kann man nie wissen. Ich nehme an es wird dann illegal wenn in deinem Arbeitsvertrag was von "persönlicher Nutzung" oder "firmengefährdenden Aktivitäten" steht. Auch wenns nicht illegal (vom gesetzlichen her) ist, kann es für die Firma trotzdem ein Grund sein dich zu entlassen. Schliesslich können sie es nicht brauchen, dass jemand die Firma absichtlich gefährdet,.. warum auch immer.

Ich persönlich hab kein Problem mit SSH (in/out), aber die Firma in der ich zuständig bin ist auch nicht soooo gross.

Ciao, Bernie

Bei so einem grossen Unternehmen wie diesem hier (Deutsche Telekom) kann ich nicht mal eben den Firewall Admin beim kaffeeholen anquatschen. Das macht alles ein Subunternehmer (die DeTeCSM) - und die zustaendigen Leute sind sowiesonicht zu erreichen (telefonisch). Wir koennen nur bei einem Callcenter anrufen, und glaub mir - das machst du einmal und danach nicht mehr freiwillig :)

-phoen][x-

Original geschrieben von phoen][x
Bei so einem grossen Unternehmen wie diesem hier (Deutsche Telekom) kann ich nicht mal eben den Firewall Admin beim kaffeeholen anquatschen. Das macht alles ein Subunternehmer (die DeTeCSM) - und die zustaendigen Leute sind sowiesonicht zu erreichen (telefonisch). Wir koennen nur bei einem Callcenter anrufen, und glaub mir - das machst du einmal und danach nicht mehr freiwillig :)


trotzdem solltest du dir klarheit darüber verschaffen, was erlaubt ist und was nicht . und das sollte in irgendeiner weise in deinen vertragsunterlagen drinstehen. denn im falle eines falles bist du derjenige, der es ausbaden muss. also lieber im zweifelsfall die finger von ssh lassen, auch wenn 'rein theoretisch' nichts passieren kann.

-j

Also, wenn nicht mal dezentrale Admin- aka Helpdesk-Strukturen vorhanden sind: --> unterlasse besser solche Aktivitäten bis zur Klärung bzw. Einholung einer Erlaubnis.

Bye

Thorsten

--
Hier in einem eigentlich sehr freizügigen Universitätsnetzwerk, würde ein solches Aushebeln der Instituts-Firewall wohl mit einer mündlichen Ermahnung oder verschärft mit einer schriftlichen Unterlassung enden. Viele andere Dinge wie das Abholen von Post vom privatem Account, Schreiben privater eMails, Downloading, Benutzung von Brennern mit privaten Rohlingen, lokale Programminstallation sind geduldet aber ausserhalb des Supports.

Original geschrieben von phoen][x
Wir koennen nur bei einem Callcenter anrufen, und glaub mir - das machst du einmal und danach nicht mehr freiwillig

Ich finde die Idee hat was,... bei einem Callcenter anrufen und fragen ob du die Firewall durchtunneln darfst :D ;)

Ciao, Bernie

nu will ich auch mal senf hier lassen *g*
also nach meiner auffassung ist ein tunnel, welcher nicht genemigt wurde von der geschäftsleitung ein klarer verstoss gegen die sicherheit.
denn:
1. die fw hier ist (nehme ich jetze mal an) sicher, was aber die andere fw angeht, weiss keiner (ausser der der den tunnel aufmacht) bescheid und muss als potenziel unsicher angesehen werden.
2. da eine firma annimmt, das jeder ein böser wicht ist, der nicht im eigenen bot sitzt, wird der gegenüber als feind eingestuft.
also nix legal, weil es nicht in dem intresse der firma sein kann, das jeder einen tunnel zu irgendeinem beliebigen rechner aufmacht und leute über den in die firma reinspazieren können.
(denn das ist technisch möglich!! entweder über ein log-in in den rechner oder über die routing-funktion!)
also lass lieber die finger davon, wenn du auf der sicheren seite sein willst.

cu
echo

Hallo,

wie echo eben schon dargestellt hat: Solange das Unternehmen einen solchen Tunnel nicht ausdrücklich genehmigt - und davon kann man nicht ausgehen, wenn eine SSL-Verbindung zum Tunneln von SSH genutzt wird - dann stellt ein solches Vorgehen zunächst einmal einen Verstoß gegen die Sicherheitsrichtlinien des Unternehmens dar.
Welche Rechtsmittel das Unternehmen in einem solchen Fall ausschöpfen kann, das bleibt der Phantasie der Rechtsabteilung überlassen.

Das Szenario mit dem von außen nutzbaren Tunnel, den Du in Deinem Posting ansprichst, kann man technisch nur recht schwer unterbinden. Eine Möglichkeit hat BeatMaster mit der zeitlichen Begrenzung von Sessions angesprochen. Eine weitere Möglichkeit besteht darin, dass man auf dem SSL-Proxy eine "Positivliste" mit SSL-Servern generiert und somit einen SSL-Connect nur auf diese Server zuläßt.

IMHO ist dies die sicherste Möglichkeit, da über die exklusive Positivliste Connects auf einen "privaten" SSH-Server gar nicht möglich sind, solange dieser nicht in der Liste auftaucht und ein Tunnel dann auch nicht von außen genutzt werden kann, da er zunächst einmal überhaupt nicht mehr von innen aufgebaut werden kann.

Harry

Okay, dann werde ich meine SSH Taetigkeiten wohl soweit wie moeglich einschraenken muessen, und den Tunnel nur in Ausnahmefaellen einsetzen. Schade eigentlich. Aber im Grunde genommen ist es ja sowieso wesentlich besser auf die Tunnelei zu verzichten, denn dadurch steigert sich die Produktivitaet in erheblichem Masse - immerhin bezahlt der Arbeitnehmer dafuer dass ein Mehrwert geschaffen wird, und nicht dafuer dass die Mitarbeiter auf Firmenkosten ihre Privattaetigkeiten erledigen (das laeuft sowieso schon viel zu viel, man denke nur an Internet Traffic und Telefonkosten).

Nun gut, vielen Dank fuer die zahlreichen Antworten, und ich freue mich dass das ganze nicht auf die l33te Schiene abgeglitten ist.

So long,
-phoen][x-