Was ist das Secure Shell (SSH)-Protokoll?

• IAM-Glossar
• Was ist das Secure Shell (SSH)-Protokoll?

Das Secure Shell (SSH)-Protokoll ist ein kryptografisches Netzwerkprotokoll, das zum sicheren Herstellen einer Verbindung mit Geräten und zur Fernverwaltung über ein Netzwerk verwendet wird. Es ermöglicht Benutzern, auf einen Remote-Computer zuzugreifen und ihn zu steuern, als wären sie physisch anwesend, wobei gleichzeitig eine hohe Sicherheit gewährleistet ist. SSH verschlüsselt zwischen zwei Maschinen übertragene Daten und stellt so sicher, dass Anmeldeinformationen und andere vertrauliche Daten vor unbefugtem Zugriff geschützt sind.

SSH vs. SSL: Was ist der Unterschied?

Obwohl sowohl SSH als auch Secure Sockets Layer (SSL) Protokolle sind, die zum Schutz von Daten während der Übertragung entwickelt wurden, werden sie in unterschiedlichen Kontexten verwendet.

SSH wird hauptsächlich für den sicheren Zugriff auf und die Verwaltung von Remote-Systemen über ein Netzwerk verwendet. Es verschlüsselt die Kommunikation zwischen einem Client (normalerweise dem Computer eines Benutzers) und einem Remote-Server, und ermöglicht so sicheren Befehlszeilenzugriff, Dateiübertragung und andere Verwaltungsaufgaben.

SSL, heute genauer als Transport Layer Security (TLS) bezeichnet, dient der sicheren Kommunikation zwischen einem Webserver und einem Webbrowser, normalerweise über HTTPS. SSL/TLS gewährleistet die Datenintegrität und Vertraulichkeit durch die Verschlüsselung von Daten wie Anmeldeinformationen, Kreditkartendaten und anderen sensiblen Daten, die bei Online-Aktivitäten übertragen werden.

So funktioniert das SSH-Protokoll

Das SSH-Protokoll basiert auf einem Client-Server-Modell, bei dem das Gerät des Benutzers (der Client) eine sichere Verbindung zu einem Remotecomputer (dem Server) herstellt. Dadurch können Benutzer über ein Netzwerk auf Remote-Systeme zugreifen und diese verwalten, selbst wenn es sich um ein nicht vertrauenswürdiges Netzwerk wie öffentliches WLAN handelt.

Hier ist eine Aufschlüsselung des SSH-Verbindungsprozesses:

1. Verbindungsanfrage: Der SSH-Client initiiert eine Verbindungsanfrage an den SSH-Server.
2. Schlüsselaustausch: Um einen sicheren Verbindungskanal herzustellen, führen Client und Server einen Schlüsselaustausch-Algorithmus durch. Bei diesem Prozess werden kryptografische Schlüssel sicher ausgetauscht, sodass sich beide Seiten auf ein gemeinsames Geheimnis einigen können, mit dem die Sitzung verschlüsselt wird. Selbst wenn jemand die Daten abfängt, kann er sie ohne die richtigen Schlüssel nicht lesen.
3. Server-Authentifizierung: Der Client überprüft die Identität des Servers, indem er den öffentlichen Schlüssel des Servers mit bekannten Schlüsseln vergleicht. Dieser Schritt verhindert Man-in-the-Middle-Angriffe (MITM), indem sichergestellt wird, dass der Client keine Verbindung zu einem bösartigen oder gefälschten Server herstellt.
4. Client-Authentifizierung: Sobald der Server authentifiziert ist, muss sich der Client entweder mit einem Passwort oder einem SSH-Schlüsselpaar authentifizieren.
5. Herstellung einer verschlüsselten Sitzung: Nach erfolgreicher Authentifizierung wird eine sichere Sitzung hergestellt. Die gesamte Kommunikation während dieser Sitzung ist verschlüsselt, wodurch Vertraulichkeit, Datenintegrität und sichere Authentifizierung gewährleistet sind.

Was ist SSH-Tunneling?

SSH-Tunneling, auch als SSH-Portweiterleitung bekannt, ist eine Methode zur sicheren Weiterleitung des Netzwerkverkehrs zwischen einem lokalen Computer und einem Remotecomputer über eine verschlüsselte Verbindung. Dadurch entsteht ein sicherer „Tunnel“, der die Daten vor dem Abfangen oder Manipulieren während der Übertragung schützt. SSH-Tunneling wird häufig verwendet, um sicher auf interne oder anderweitig unzugängliche Dienste zuzugreifen, Firewalls zu umgehen oder unsicheren Protokollen Verschlüsselung hinzuzufügen.

Es gibt drei Haupttypen der SSH-Portweiterleitung:

• Lokale Portweiterleitung: Leitet einen Port auf dem lokalen Computer über SSH an einen Port auf einem Remotecomputer weiter. Dadurch kann ein Benutzer auf einen Remotedienst zugreifen, als würde dieser lokal ausgeführt.
• Remote-Portweiterleitung: Leitet einen Port auf einem Remotecomputer an einen Port auf dem lokalen Computer weiter. Dadurch kann ein Remotebenutzer auf einen Dienst zugreifen, der auf dem lokalen Computer ausgeführt wird.
• Dynamische Portweiterleitung: Erstellt einen lokalen Socket Secure (SOCKS)-Proxy, der den Datenverkehr basierend auf den Anforderungen des Clients dynamisch an verschiedene Ziele weiterleiten kann. Es ermöglicht ein flexibles Routing des Netzwerkverkehrs auf Anwendungsebene durch den SSH-Tunnel.

Gängige Anwendungsfälle für das SSH-Protokoll

Das SSH-Protokoll verfügt über ein breites Anwendungsspektrum bei der Sicherung von Remote-Kommunikation, Dateiübertragung und Zugriffsverwaltung. Nachfolgend sind einige der häufigsten und wichtigsten Anwendungsfälle aufgeführt.

Sichere Dateiübertragung

Einer der häufigsten Anwendungsfälle für SSH ist die sichere Übertragung von Dateien zwischen lokalen und Remote-Systemen. SSH bietet einen verschlüsselten Kanal, der Daten während der Übertragung schützt und sich daher ideal für die Verwaltung von Servern, die Sicherung vertraulicher Daten und die gemeinsame Nutzung von Dokumenten eignet.

SSH hilft bei der sicheren Dateiübertragung durch das Secure File Transfer Protocol (SFTP) und das Secure Copy Protocol (SCP). SFTP funktioniert über eine SSH-Verbindung und stellt sicher, dass alle Daten während des Übertragungsvorgangs verschlüsselt werden, anstatt wie beim Dateiübertragungsprotokoll (FTP) im Klartext gesendet zu werden. SCP ist ein einfacheres Protokoll als SFTP und konzentriert sich auf das Kopieren von Dateien von einem System auf ein anderes als effizientere Möglichkeit zur sicheren und schnellen Dateiübertragung. SSH spielt eine wichtige Rolle bei der sicheren Dateiübertragung, indem es Verschlüsselung und Datenintegrität über SFTP und SCP bietet.

Remote Zugriffsverwaltung

SSH ermöglicht einen sicheren, verschlüsselten Fernzugriff. Dies ist hilfreich für Systemadministratoren und IT-Experten, die Remote-Systeme verwalten müssen, ohne physisch an einem Serverstandort anwesend zu sein. Mit SSH können Benutzer eine Remoteverbindung zu einem Computer herstellen und sich authentifizieren, um Verwaltungsaufgaben auszuführen, ohne dass das Risiko eines unbefugten Zugriffs besteht. Mit SSH können Benutzer Server und Systeme von überall aus sicher verwalten, Dateien sicher übertragen und sogar über Tunneling auf interne Dienste zugreifen.

Firewall-Umgehung

SSH-Tunneling ist eine effektive Möglichkeit, Firewall-Einschränkungen zu umgehen und den Netzwerkverkehr sicher über einen Remote-Server zu leiten. Durch SSH-Tunneling kann bestimmter eingehender und ausgehender Datenverkehr umgangen werden, der aus Sicherheitsgründen normalerweise durch Firewalls eingeschränkt wird. Dies ist nützlich, wenn ein Benutzer auf Dienste zugreifen muss, die möglicherweise durch eine Firewall blockiert werden, beispielsweise interne Datenbanken oder Webanwendungen.

Privater Netzwerkzugriff

SSH-Tunneling ermöglicht einen sicheren Zugriff auf interne Dienste und private Netzwerke, insbesondere wenn sich diese Netzwerke hinter Firewalls oder virtuellen privaten Netzwerken (VPNs) befinden, die den direkten Zugriff blockieren. Im Gegensatz zu einem VPN können Benutzer beim SSH-Tunneling bestimmte Arten von Datenverkehr durch einen Tunnel leiten, um remote auf private Netzwerkressourcen zuzugreifen, die andernfalls nicht zugänglich wären. Angenommen, ein Benutzer arbeitet remote und benötigt Zugriff auf eine Datenbank auf einem privaten Server innerhalb des Netzwerks eines Unternehmens. In diesem Fall können sie keine direkte Verbindung herstellen, da Firewalls den Zugriff von außen blockieren. Um sicher auf die Datenbank zuzugreifen, kann der Benutzer einen SSH-Tunnel mit lokaler Portweiterleitung einrichten. Dadurch kann er den Datenverkehr über einen vertrauenswürdigen Server leiten und auf die private Datenbank zugreifen, ohne die Sicherheit zu gefährden.

Zugriff auf Cloud-Dienste

Cloud-Plattformen hosten Anwendungen und Infrastruktur häufig auf Remote-VMs. SSH ist das Standardprotokoll für die sichere Interaktion mit diesen Umgebungen. SSH ermöglicht Benutzern die Interaktion mit Cloud-Servern, die Installation von Software und die Fernbehebung von Problemen.

SSH-Sicherheitsrisiken

Obwohl SSH eine hohe Sicherheit für den Fernzugriff und die Datenübertragung bietet, ist es nicht ohne potenzielle Risiken. Zu den häufigsten Sicherheitsproblemen zählen falsch konfigurierte Zugriffskontrollen, ungepatchte Software und unsichere Schlüsselverwaltung.

Falsch konfigurierte Zugriffskontrollen

Die SSH-Sicherheit hängt stark von der richtigen Konfiguration ab. Wenn Zugriffskontrollen falsch konfiguriert sind, können sie Sicherheitsverletzungen oder Brute-Force-Angriffen Tür und Tor öffnen. Um den SSH-Zugriff zu sichern, können Benutzer die Passwortauthentifizierung deaktivieren und stattdessen SSH-Schlüsselpaare verwenden, um das Risiko eines unbefugten Zugriffs und potenzieller Cyberangriffe zu verringern.

Ungepatchte SSH-Software

Einer der wichtigsten Aspekte zur Aufrechterhaltung der SSH-Sicherheit besteht darin, sicherzustellen, dass sowohl die SSH-Server- als auch die Client-Software regelmäßig aktualisiert werden. Wenn SSH-Software nicht regelmäßig gepatcht wird, können Systeme Sicherheitslücken aufweisen, die Cyberkriminelle ausnutzen können, um sich unbefugten Zugriff zu verschaffen und Daten zu kompromittieren. Indem Benutzer proaktiv bleiben und die SSH-Software aktualisieren, können sie die Wahrscheinlichkeit eines erfolgreichen Cyberangriffs verringern, der die SSH-Infrastruktur beschädigt.

Unsichere Schlüsselverwaltung

Die auf SSH-Schlüsseln basierende Authentifizierung bietet einen großen Sicherheitsvorteil, birgt jedoch auch eigene Risiken, wenn die Schlüssel nicht ordnungsgemäß verwaltet werden. Kompromittierte private Schlüssel können zu unbefugtem Zugriff oder einer Rechteausweitung führen. Um diese Risiken zu mindern, sollten private Schlüssel sicher gespeichert, mit starken Passwortphrasen geschützt und regelmäßig rotiert werden. Benutzer sollten außerdem die Weitergabe privater Schlüssel vermeiden und die Schlüsselverteilung sorgfältig kontrollieren.