Remote Access

Grundfunktionen

• textuelle oder grafische Bedienung entfernter Anwendungen/Desktops
• Weiterleitung lokaler Eingaben an entfernte Systeme
• lokale Visualisierung der Ausgaben entfernter Anwendungen/Desktops (ggf. seamless)
• je nach Verfahren Zugriff auf reale oder virtuelle Desktops

Optionen

• Suspendierung/Wiederaufnahme von Sitzungen (suspending/resuming a session)
• Teilen des entfernten Desktops (desktop sharing)
• Dateitransfer durch weitergeleitete lokale Laufwerke oder separat
• Audioweiterleitung (remote sound)
• Weiterleitung lokaler Drucker und sonstiger Geräte: Smartcards, serielle/parallele Schnittstellen, ...
• Chat, Whiteboard, Recording

verfügbare Techniken

• textuell:
  • historisch: Telnet, FTP, r-Utilities
  • Standard: SSH (Secure Shell) - mit X11-Weiterleitung
• grafisch:
  • VNC
  • RDP
  • ICA
  • Spice
  • Teamviewer
  • NX
  • X2go
  • ...

wünschenswert / notwendig

• Server unter Linux
• Klienten für wichtige Plattformen
• frei verfügbar, vorzugsweise Open Source
• keine Beschränkung der Zahl der Nutzer und Verbindungen
• hohe Sicherheit:
  • Integrität, Authentizität, Vertraulichkeit durch etablierte Techniken
  • keine Abhängigkeit von Servern des Anbieters
• hohe Performance auch im WAN

SSH - Secure Shell

• De-facto-Standard für sicheres, Shell-basiertes entferntes Login
• primärer Funktionsumfang:
  • Login auf einer entfernten Maschine
  • interaktive oder nichtinteraktive Ausführung entfernter Kommandos
  • Dateitransfer zwischen verschiedenen Rechnern (scp, sftp)
• sicherer SSH-Kanal ist für das Tunneln TCP-basierter Kommunikationsbeziehungen nutzbar:
  • X11
  • Dateitransfer
  • statische und SOCKS-basierte dynamische Portweiterleitung
  • Verbindungen zu SSH-Agenten
  • rsync
  • ...

SSH-Versionen

• SSH 1.0:
  • Juni 1995
  • unter UNIX lauffähige ANSI-C-Implementierung
  • Designer und Autor: Tatu Ylönen (Finnland)
• zwei inkompatible Protokoll-Versionen: SSHv1 und SSHv2
• SSHv1 hat sicherheitsrelevante Design-Schwächen:
  • Integritätssicherung mit CRC-32 ermöglicht Insertion Attacks
  • endete mit Protokoll-Version 1.5 – heute obsolet
• nur SSHv2 ist über die IETF standardisiert (seit 2006)
• bekannte freie Implementierungen
  • OpenSSH
  • PuTTY

SSH: Entwurfsziele & Sicherheit

• als sicherer Ersatz für die r-Utilities gedacht:
  • ssh, slogin und scp statt rsh, rlogin und rcp
  • kann auch Telnet und FTP funktionell ersetzen
• Software soll für Normalanwender so einfach wie möglich nutzbar sein
• Protokoll soll so sicher wie möglich sein, aber die Erstellung von Implementationen erlauben, die leicht zu nutzen und zu installieren sind
• anders als OpenSSL orientierte SSH auf die Verwendung des SSH-Klienten für Tunnelungen (via Pipe oder Port-Weiterleitung)
• mit libssh und libssh2 existieren allerdings entsprechende C-Bibliotheken
• SSH bietet hohes Sicherheitsniveau: zuverlässige gegenseitige Authentifizierung der Partner, Integrität, Vertraulichkeit
• wichtig: Authentizität der Server-Keys sorgfältig prüfen

Teil-Protokolle von SSHv2

1. Transport
   • sicherer (chiffrierter, HMAC-gesicherter) Transport-Tunnel mit Server-Authentifizierung
   • Diffie-Hellman-basierter Schlüsselaustausch, authentifiziert durch Signatur mit Public Host-Key des Servers
   • Verifikation der Public Keys:
     • standardmäßig über eine lokale Datenbasis (textuelle Schlüsseldateien)
     • optionale Nutzung von CA-Zertifikaten im Protokoll vorgesehen
2. Authentifizierung
   • Nutzerauthentifizierung an Hand diverser Verfahren bis zum ersten Erfolg oder endgültigen Misserfolg
   • z.B.: gssapi-keyex, gssapi-with-mic, hostbased, publickey, password
3. Sitzung
   • logische Kanäle im SSH-Tunnel:
     • interaktive Sitzungen: Shell, Applikation, eingebautes Subsystem (sftp)
     • X11-, Agenten-, TCP-Portweiterleitung

OpenSSH

• Ende 1999 begonnenes OpenBSD-Projekt
• Open-Source-Implementierung in C, lizenzfrei nutzbar, aktiv gepflegt, hoher Verbreitungsgrad
• Portierungen für Linux/UNIX-Systeme; via Cygwin auch für Windows
• Interoperabilität durch Protokoll-Versionen 1.3, 1.5 und 2.0 (Kompatibilität mit alten Versionen durch 1.99 angezeigt)
• nutzt OpenSSL für Krypto-Code und keine patentierten Algorithmen
• starke Verschlüsselung: AES, 3DES, Blowfish, CAST128 oder Arcfour
• starke Authentifizierung: Public-Key, One-Time Password, Kerberos (inkl. Ticket-Passing) via GSSAPI
• X11-, Port-, Agenten-Weiterleitung (Forwarding)
• Datenkompression für Durchsatzerhöhung
• höhere Sicherheit durch Privilege Separation

OpenSSH-Anwendungsbeispiele

• interaktives Login auf Server

  ssh myserver
  # mit Debug-Informationen
  ssh -v myserver
  # mit expliziter X11-Weiterleitung
  ssh -X myserver

• entfernte Kommandoausführung

  ssh myserver 'finger ; uptime'
  # mit Kompression und Start einer grafischen
  # Applikation
  ssh -X -C myserver gedit

• Kommunikation von Kommandos über den SSH-Kanal (per Pipe)

  zcat pub.tar.gz | ssh myserver 'cd /tmp; tar xfvkp -'
  zcat myfile.gz | ssh myserver 'cat > /tmp/file'

OpenSSH-Anwendungsbeispiele

• SSH als Standard bei modernen rsync-Implementierungen

  # spiegele Verzeichnis /boot nach /tmp/boot des Servers
  rsync --dry-run -av /boot me@myserver:/tmp
  rsync -av /boot me@myserver:/tmp

• Dateitransfer

  # kopiere /etc/hosts auf den Server nach /tmp
  scp /etc/hosts me@myserver:/tmp
  
  # kopiere rekursiv /boot auf den Server nach /tmp/boot
  scp -r /boot me@myserver:/tmp
  
  # baue interaktive SFTP-Verbindung zum Login-Server auf
  sftp me@loginserver

OpenSSH-Anwendungsbeispiele

• lokale Port-Weiterleitung

  # für IMAP (Port 143)
  ssh -f -N -L 2000:mailbox:143 myserver
  
  # für SSH (Port 22) via Login-Server (statt VPN)
  ssh -f -N -L 8022:myserver:22 loginserver

• dynamische Port-Weiterleitung

  # SSH-Klient bietet SOCKS-Proxy an Port 3000
  ssh -f -N -D 3000 myserver
  
  # Nutzung des SOCKS-Proxys für SMTP (Port 25) unter RHEL6
  nc -x localhost:3000 mailbox 25
  
  # SSH kann auch einen SOCKS-Proxy nutzen
  ssh -o ProxyCommand='nc -x localhost:3000 %h %p' me@myserver

OpenSSH-Anwendungsbeispiele

Nutzung eigener Schlüsselpaare

# RSA-Identität (Schlüsselpaar) erzeugen: ~/.ssh/id_rsa
ssh-keygen -b 4096

# den SSH-Agenten starten und die RSA-Identität laden
eval $(ssh-agent)
ssh-add

# Public Key ~/.ssh/id_rsa.pub beim Zielnutzer hinterlegen
cp ~/.ssh/id_rsa.pub ~ziel/.ssh/authorized_keys
ssh-copy-id -i ~/.ssh/id_rsa.pub user@server

# ggf. Optionen in authorized_keys ergänzen
command="hostname;date;uptime" ssh-rsa ...

# passwortloses Login mit RSA-Identität
ssh server
  

OpenSSH-Konfiguration

• Klient:
  • Kommandozeilen-Optionen
  • lokale Konfig-Datei des Benutzers ~/.ssh/config
  • globale Konfig-Datei des Systems /etc/ssh/ssh_config
• Server:
  • Kommandozeilen-Optionen
  • globale Konfig-Datei des Systems /etc/ssh/sshd_config

NX 3.5

• Legacy-Produkt der Firma Nomachine
• Hersteller bietet Pakete nur noch den Kunden mit Alt-Vertrag an
• Alternative: Rückgriff auf lokale Kopien (funktionell weiterhin stabil)
• kostenfreie NX Free Edition:
  • Lizenz erlaubt pro Server 2 parallele Verbindungen und 2 verschiedene Nutzer
  • für persönliche Nutzung normalerweise kein Problem
  • FreeNX beseitigt diese Limits, aber eher totes Projekt
• Standard: Nutzung eines virtuellen Desktops auf dem Server
• dieser unterstützt die Suspendierung und Wiederaufnahme von Sitzungen

NX 3.5

• hoch performant durch NX-Protokoll: X11 dadurch im WAN wirklich nutzbar
• 3 zentrale Techniken:
  • Reduktion der zeitraubenden X-Round-Trips
  • sehr ausgefeiltes, synchronisiertes, X11-spezifisches Caching
  • effiziente Kompression des X-Verkehrs
• kann VNC/RDP tunneln
• zentrale Bibliotheken als Open Source zur Verfügung gestellt
• hohes Sicherheitsniveau durch SSH:
  • Public-Key-Authentifizierung als Nutzer nx
  • auf dem Server dann Passwort-basiertes Login als der eigtl. Nutzer

NX 4

• aktuelles Produkt von Nomachine
• unterstützt bei der kostenfreien Version keine virtuellen Desktops mehr
• lediglich Zugriff auf den realen Desktop des lokalen Benutzers möglich
• für das früher typische Nutzungsszenario unbrauchbar
• für virtuelle Desktops kostenpflichtige Enterprise-Version nötig
• von Nomachine genannte Alternativen zu NX 3.5:
  Note also that a number of projects have expressed interest in continuing open-source development of the old version, among these are FreeNX, NeatX, X2Go, 2X and Xpra.

X2go

• aktiv gepflegtes Projekt
• ursprünglich nur Ubuntu/Debian, Klient für Windows
• nun auch für Systeme der RedHat-Familie verfügbar (RHEL6 über EPEL, Fedora 19/20)
• basiert auf den freien NX-Bibliotheken
• inkompatibel mit NX 3.5 von Nomachine
• X2Go multi-node farms möglich (Load Balancing)
  • dann PostgreSQL erforderlich
  • sonst genügt das für den Standardfall empfohlene Sqlite

X2go vs. NX 3.5

• bequemere Realisierung folgender Features:
  • Remote Sound
  • klientenseitige Druckunterstützung
  • Dateitransfer durch freigegebene Ordner des Klienten (fuse.sshfs auf Server-Seite)
• unterstützt mehr Sitzungsarten: Xfce, LXDE, MATE, Unity, XDMCP, ...
• SSH-Proxy-Server direkt konfigurierbar (HTTP-Proxy auch bei NX)
• neben Passwort-Login auch Kerberos 5 (optional mit Identitätsweiterleitung per GSSAPI) und SSH-Schlüssel möglich
• keine spezieller Nutzer (analog nx) für Login nötig