 |
Sicherheit
|
 |
Secure-Shell-Integration und Exceed
Wirkliche
Sicherheit gewährleistet die Benutzer-Authentifizierung und Tunnelung
der X11-Kommunikation durch eine sogenannte Secure Shell.
Für Exceed
leistet dies die "Connectivity Secure Shell" (kurz CSS), die
von Hummingbird Connectivity (heute Teil der Opentext
Corporation)
als Add-On zu den Prudukten Exceed oder HostExplorer geliefert wird.Die Integration ist vollkommen nahtlos und einfach zu bedienen. Nach der Installation von CSS (natürlich muss Exceed bereits vorher installiert sein) bietet Xstart "Secure Shell" (siehe Abb. rechts) als Start-Methode für X-Applikationen an. Alles weitere bleibt wie gewohnt, die Tunnelung durch SSH erfolgt für den Benutzer völlig transparent.
Um die gewünschte X-Applikation zu starten, ruft Xstart im Hindergrund die "Connectivity Secure Shell" auf und übergibt die eingegebenen Parameter (Host, Login, Kennwort und Befehlszeile zum Aufruf der X-Applikation). CSS baut daraufhin den SSH-Tunnel auf, startet die X-Applikation und sorgt für die Tunnelung des X11-Datenstroms sowie dessen Weitergabe an Exceed.
Weitere Tunnel-Parameter sind über die (in der Abbildung markierten) Secure-Shell-Einstellungen konfigurierbar.
Tip: Mit folgender undokumentierter Einstellung wird Xstart immer Secure Shell verwenden, unabhängig davon, was der Anwender als Start-Methode auswählt.
In C:\Documents and Settings\All Users\Application Data\Hummingbird\Connectivity\12.00\Global\Exceed
bzw. C:\ProgramData\Hummingbird\Connectivity\14.00\Global\Exceed für Windows 7/2008 befindet sich die Datei GlobalExceed.ini. Dort sind die folgenden Zeilen mit einem Texteditor zu ergänzen:
[Xstart]
Always use Secure Shell=TRUE Ob CSS gestartet ist, kann an der Präsenz eines Icons in der Tray-Box (normalerweise in der Windows Taskbar rechts) abgelesen werden:
Links neben dem
großen X von Exceed
selbst erscheint CSS mit einem Icon, das per Doppelklick die CSS
Management-Konsole mit zahlreichen Konfigurations- und
Monitoring-Optionen öffnet.
Die
Abbildung zeigt die
CSS-Konsole im Trace-.Modus. So lässt sich der Datenstrom durch den
SSH-Tunnel detailliert verfolgen,
natürlich nur für den User, der die Verbindung aufgebaut hat. In einem
Netzwerk-Trace ist dies wegen der Verschlüsselung ja nicht mehr möglich.
Um gänzlich zu verhindern, dass X-Clients noch ohne SSH-Authentifizierung und über unverschlüsselte Ports auf Exceed zugreifen können, muss in Xconfig bei Sicherheit "Kein Host-Zugang" gesetzt sein. So ist nur noch der SSH-Client, der ja aus der Sicht von Exceed nicht auf einem entfernten Host sondern auf "localhost" sitzt, berechtigt, mit dem X-Server zu kommunizieren.
Eine weitere sehr nützliche Einstellung ist in diesem Zusammenhang "Warnen bei nicht authorisierten Verbindungen". So wird erhält der Anwender bei Verbindungsversuchen, die nicht über SSH kommen, eine Warnung und die Möglichkeit, die Verbindung trotzdem zuzulassen, falls dies explizit gewünscht ist.
Die Warnung stellt an sich schon ein Plus an Sicherheit dar, da somit evtl. Ausspähversuche sofort auffallen. Andererseits ist es gelegentlich erforderlich, neben SSH doch ungesicherte Verbindungen zuzulassen, z.B. von alten Servern, die über keinen SSH-Server verfügen.
Die nächste Seite geht auf die verschiedenen SSH-Authentifizierungsmethoden ein und zeigt, wie Exceed / CSS für den Betrieb mit OpenSSH-Servern konfiguriert werden muss.
