Fernzugriff

Der Fernzugriff auf Systeme im LUH-Netz wird u.a. über das Telearbeitskonzept geregelt. Aufgrund der aktuellen Corona-Situation und der Home-Office-Regelung gelten besondere Regelungen und es werden Zugriffe auf Systeme im LUH-Netz freigeschaltet, die Mitarbeitenden das mobile Arbeiten von Zuhause ermöglichen. Es ist zu betonen, dass dies eine temporäre Sonderform des "mobilen Arbeitens" beschreibt, kein Regelbetrieb ist und von der "Telearbeit" abzugrenzen ist.

Bei Fragen wenden Sie sich an ihren zuständigen Systemadministrierenden / IT-Beauftragten oder an support@luis.uni-hannover.de. Weitere Informationen finden sich hier:


FERNZUGRIFF AUF WINDOWS MIT REMOTE-DESKTOP (RDP)

Die Server- und Client-Komponente von Remote-Desktop ist Bestandteil von Windows, für andere Betriebssysteme kann freerdp verwendet werden.

Hinweise zur Konfiguration finden sich in der Dokumentation der Telearbeit. Für den Zugriff aus dem VPN der Universität muss Remote-Desktop tcp/3389 in den Netzschutz-Firewalls erlaubt werden (falls vorhanden).


SSH (SECURE SHELL)

Insbesondere die Möglichkeit des Tunnels, Einsatz als SOCKS5 Proxy und automatische Verbinden auf andere Geräte machen den Einsatz von OpenSSH attraktiv. Für den Fernzugriff ist es empfohlen den Login von Extern auf dem Dienst auf die Verwendung von PubKeys zu beschränken. OpenSSH ist auch unter Windows verfügbar. Alternative Clients für Windows

  • PuTTY: Ist ein freies SSH-Terminal-Programm mit GUI für die Konfiguration. Dateitransfer ist auch möglich, jedoch nur per Kommandozeile ohne GUI.
  • WinSCP: GUI-Client für Dateitransfer via scp/ssh; passt gut zu PuTTY, da es auf den Putty-SSH-Agent (bei Verwendung von ssh-Public-/Private-Keys) zugreifen kann.
  • FileZilla: Dateitransfer-Programm, das neben ftp und ftps (ftp über ssl) auch sftp (ssh-Dateitransfer) unterstützt.

/etc/ssh/sshd_config

Zum Einschränken des passwortbasierten Logins verbietet man diesen generell und erlaubt anschließend für vertraute Netze in der /etc/ssh/sshd_config.


PasswordAuthentication no

PubkeyAuthentication no


# und am Ende der Datei
# Universitaet intern
Match Address 130.75.0.0/16,10.0.0.0/8
PasswordAuthentication yes
PubkeyAuthentication yes

# Alle
Match All
PubkeyAuthentication yes

 

PubKey

Zur Verwendung von SSH mit PubKeys müssen Schlüssel erstellt und auf die Zielsysteme eingebracht werden. Der Kommentar dient der Identifikation des Schlüssels in der ~/.ssh/authorized_keys auf dem Zielsystem.

ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa_zb -C "ein kommentar"
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase): 
Enter same passphrase again: 
Your identification has been saved in ~/.ssh/id_rsa_zb
Your public key has been saved in ~/.ssh/id_rsa_zb.pub
The key fingerprint is:
SHA256:o6IkV/HHF1z2y2bHLYDZ3enO/lkjFYlxOWN24bjwAnQ ein kommentar
The key's randomart image is:
+---[RSA 4096]----+
|         . Eo. oo|
|        ...* o*B+|
|    .    .=.oo===|
|     o .  ..ooooo|
|    . . S .. o*o+|
|   .   o o  .o+o |
|. o . .      . +.|
| + . .        o +|
|  .            oo|
+----[SHA256]-----+

Das Passwort kann zusammen mit dem generiertem Schlüssel in KeepassXC abgelegt werden.

Einbringen in das Zielsystem:

ssh-copy-id -i ~/.ssh/id_rsa_zb me@target

Verwendung des Schlüssels:

ssh -i ~/.ssh/id_rsa_zb me@target

oder bei Verwendung einer SSH Config in ~/.ssh/config:

Host target
	User me
	HostName target.ifzb.uni-hannover.de 
	IdentityFile ~/.ssh/id_rsa_zb

via

ssh target

Dateitransfer

Nicht unerwähnt bleibt die Möglichkeit mit SSH Dateien und auch Ordner zu übertragen.

ProxyJump

Neben der Möglichkeit der Angabe des Jump Hosts als Teil des ssh Aufrufs:

$ ssh -J me@jump.ifzb.uni-hannover.de me@target.ifzb.uni-hannover.de

kann dies auch in der ~/.ssh/config erfolgen:

Host target
	User me
	HostName target.ifzb.uni-hannover.de
	ProxyJump me@jump.ifzb.uni-hannover.de

SOCKS5 Proxy

Als Teil des SSH Aufrufs

$ ssh 8080 -f -C -q -N me@target.ifzb.uni-hannover.de

oder ~/.ssh/config:

Host target
	User me
	HostName target.ifzb.uni-hannover.de
	DynamicForward 8080

der SOCKS5 Proxy kann dann mit FoxyProxy unter Firefox für Patterns der Domains welche über den Proxy laufen sollen eingebunden werden.

Anleitung für Firefox-Addon FoxyProxy

Tunnel

Tunnel können entfernte Dienste lokal bereitstellen oder lokale Dienste auf dem SSH Server durchreichen.

Host jump
	User me
	HostName jump.ifzb.uni-hannover.de
	LocalForward 33891 130.75.47.11:3389
	RemoteForward 12345 localhost:12345
	ExitOnForwardFailure yes

Hier wird der Remote-Desktop Dienst von 130.75.47.11:3389 auf den lokalen Port 33891 durchgereicht und der lokale Dienst auf tcp/12345 steht auch auf dem SSH Zugangsserver auf Port 12345 zur Verfügung. Können die Tunnel nicht erstellt werden, bricht die SSH Verbindung ab.

KONTAKT

IT-Sicherheit
Sicherheitsteam
IT-Sicherheit
Sicherheitsteam