Wir haben eine Linux-Workstation, die von einer Gruppe von Benutzern über das Internet verwendet wird. Aus Sicherheitsgründen müssen sich Benutzer über VPN mit unserem privaten Netzwerk verbinden und können dann per SSH auf die Workstation zugreifen.
Der auf der Arbeitsstation ausgeführte Job erfordert eine Internetverbindung, daher ist die Arbeitsstation über NAT mit dem Internet verbunden.
Allerdings ist es dann möglich, dass jeder normale Benutzer die Portweiterleitung nutzen kann, um VPN zu umgehen. Beispielsweise indem er den folgenden Befehl auf der Arbeitsstation ausführt:
ssh -NTf -R 60000:localhost:22 [email protected]
Man kann sich dann mit der Arbeitsstation unter verbinden public.server:60000
. Dadurch wird das VPN umgangen und es entsteht ein Sicherheitsproblem, da sich jeder mit verbinden kann public.server:60000
, nicht nur der bestimmte Benutzer, der diesen Befehl ausführt. (Wenn nur dieser bestimmte Benutzer es verwenden kann, wäre es meiner Meinung nach jedoch in Ordnung.)
Dies ist nicht nur bei der SSH-Portweiterleitung ein Problem. Man kann auch Tools wie verwenden frp
oder einfach einen einfachen Code schreiben, um dies zu erreichen.
Ich frage mich, ob es eine gute Maßnahme zur Lösung dieses Problems gibt?