freeSSHd muss WinSSHD weichen!

Nachdem ich in den letzten Monaten einiges an Arbeit in den kostenlosen SSH-Server freeSSHd gesteckt habe, musste ich diesen nun schlussendlich leider durch den alternativen SSH-Server WinSSHD ersetzen (der glücklicherweise für die private Nutzung kostenlos ist).

Grund hierfür ist der Landesparteitag der Berliner Piratenpartei, über den ich gestern schon einmal kurz geschrieben hatte. Hier gibt es ein offenes WLAN, das für die Besucher das Parteitages zur Verfügung gestellt wird. Da es sich hier um den "politischen Arm der Hackerszene" handelt, wäre es natürlich unklug, seine Passworte hier unverschlüsselt durch die Luft zu schicken.
Deshalb hatte ich meinen SSH-Client so konfiguriert, dass dieser als SOCKS-Proxy fungiert und die Daten verschlüsselt über meinen SSH-Server zuhause leitet. Als SSH-Client verwende ich übrigens immernoch Tunnelier.

Tunnelier-Konfiguration

Der nächste Schritt war dann, diesen SOCKS-Proxy in der Proxykonfiguration meines Firefox' einzutragen. Danach leitete er alle Anfragen über meinen SSH-Client.

Firefox-Proxykonfiguration

Dass die Konfiguration funktioniert, erkennt man dann daran, dass im Log von Tunnelier die einzelnen Verbindungsanfragen mitgeloggt werden. Hier sollten mindestens 2 Einträge für jede angefragte Datei erscheinen.

Tunnelier-Verbindungslog

Nun das Problem mit freeSSHd: Dieser scheint dass SSH-Protokoll nicht korrekt implementiert zu haben, sodass die Verbindung bei Verwendung des SOCKS-Proxys permanent abbricht und neu aufgebaut werden muss. So ist das ganze natürlich nicht praktikabel - doch glücklicherweise ist der WinSSHD-Server schnell installiert.

Neben der dann funktionierenden SOCKS-Funktionalität hat dieser (für private Nutzung kostenlose) Server auch noch einen anderen massiven Vorteil: Er schützt sich selber vor Einbruchversuchen! Während ich diese Funktionalität beim freeSSHd noch selber programmieren musste, kann man bei WinSSHD einstellen, aber wann (Anzahl der falschen Logins) und für wie lange eine IP geblockt werden soll.

WinSSHD-Blocking

Dass diese Funktion äußerst wichtig ist, konnte ich bereits in der ersten Nacht sehen: Wie immer trafen Unmengen von Einbruchversuchen auf meinen Server - übrigens ein eher übliches Bild!

WinSSHD-Blocking Beispiel

Meine Empfehlung an alle, die bisher noch freeSSHd als SSH-Server einsetzen, ist deshalb folgerichtig: Wechselt zum WinSSHD-Server! Eure Serversicherheit wird es euch danken!
Ausgewechselte Grüße, Kenny

2 Kommentare » Schreibe einen Kommentar

  1. Hey Kevin.. bin mal wieder über deinen Blog gestolpert (okay, eigentlich wollt ich nur wissen, obs ihn noch gbt, nachdem Benny und Jan mal wieder aufgegeben haben)..

    Was isn an tunnelier cooler als an Putty?

    Ach ja, und mir is noch was aufgefallen:

    "Grund hierfür ist der Landesparteitag der Berliner Piratenpartei, über den ich gestern schon einmal kurz geschrieben hatte. Hier gibt es ein offenes WLAN, das für die Besucher das Parteitages zur Verfügung gestellt wird. Da es sich hier um den “politischen Arm der Hackerszene” handelt, wäre es natürlich unklug, seine Passworte hier unverschlüsselt durch die Luft zu schicken."

    Hat mich etwas stutzig gemacht.. du traust also nicht mal deinen eigenen Leuten? Dann frag ich mich ehrlich, wie ihr euch eine perfekte Welt vorstellt, wenn die Piratenpartei an der Macht wäre. Alle sitzen hinter 8 Firewalls aber fühlen sich frei und der unbedarfte PC-Nutzer ist zum Abschuss freigegeben?

    • Hallo Kanne, schön dich mal als Kommentator hier im Blog zu haben. Ja, meinen Blog gibt es noch und das wird auch noch eine ganze Weile so bleiben 😉 .

      Ich persönlich bevorzuge Tunnelier, weil es in meinen Augen wesentlich einfacher zu handlen ist. Es gibt einen integrierten SFTP-Client, Remote-Desktop-Support und auch das Port Forwarding (nutze ich intensiver) ist um einiges intuitiver zu handhaben als bei Putty.

      Nun zu deiner Frage bzgl. der Piratenpartei. Erst einmal vorweg: Da es sich um ein WLAN des Freifunk-Netzwerkes handelte, war ohnehin Vorsicht geboten - schließlich war der Zugriff auf dieses Netzwerk nicht auf Piratenpartei-Mitglieder beschränkt.
      Ich würde dir gerne einmal eine Gegenfrage stellen: Was glaubst du denn, was die Politik machen könnte, um dafür zu sorgen, dass du ohne Firewall ins Netz gehen kannst? Alle bösen Hackertools verbieten? Zugriff auf bestimmte Informationen (Hacking-Guides, etc.) verbieten? Es gibt IMHO nichts, wie man soetwas erreichen könnte. Der einzige Weg ist der aufgeklärte Bürger, der weiß, wie er die Sicherungsmittel, die ihm zur Verfügung stehen, nutzen kann. Und genau darum geht es: Nicht unüberlegte Verbote aussprechen, die eh zu keinem Erfolg führen, sondern stattdessen auf Fakten beruhende Alternativen erarbeiten.
      Im Sinne der heutigen Regierung würde man am besten ein geschlossenes Netz (zum Schutz vor Missbrauch) haben (um sich sicher zu fühlen) und dem BKA den WPA2-Schlüssel überlassen, damit sie ungehindert schnüffeln können. Natürlich wäre die Nutzung von SSH und co. verboten - es sei denn, das BKA darf auch dort mitlesen.
      Im Sinne der Piraten würde es vor allem offene Netze geben - damit jeder das Internet als riesiges Kulturangebot mitnutzen kann. Dafür kann sich aber jeder so gut schützen, wie er möchte. Denn trotz des offenen Netzzugangs sollte die Kommunikation des Einzelnen vertraulich bleiben - der Staat hat sich dort nicht einzumischen.

      Um dir ein weiteres Beispiel dieser Piraten-Denkweise zu geben: Die Piraten haben bereits im letzten Jahr (noch bevor die Öffentlich-Rechtlichen dies medienwirksam "herausgefunden haben") davor gewarnt, dass die Bürgerämter die Daten der gemeldeten Anwohner an die GEZ, die Kirche, etc. weitergeben dürfen. Mehr noch: Sie haben nicht nur davor gewarnt (die Bürger informiert), sondern die Aktion OptOutDay gestartet, um die Bürger dabei zu unterstützen, Widerspruch gegen diese Datenweitergabe einzulegen.

      Bei der WLAN-Nutzung (um wieder auf das Beispiel zurückzukommen) wäre es ähnlich. Ein piratiger Ansatz ist es, die Infrastruktur bereitzustellen (Freifunk), die Leute über die Gefahren aufzuklären (es wurde X mal auf der Versammlung gesagt, wie unsicher es ist, seine Passwörter über ein ungesichertes WLAN zu schicken) und die Leute bei der Problemlösung zu untersützen (was ich z.B. in Form meines Artikels getan habe).

Schreibe einen Kommentar

Um Ihnen beim weiteren Kommentieren auf dieser Webseite die erneute Eingabe Ihrer Daten zu ersparen, wird beim Absenden Ihres Kommentars ein Cookie an Ihren Browser gesendet und von diesem gespeichert. Mit dem Absenden eines Kommentars auf dieser Webseite stimmen Sie der Speicherung und Übertragung dieses Cookies explizit zu.

Pflichtfelder sind mit * markiert.