Engity's Bifröst-Logo vor einer digitalen Wand

Engitys fortschrittlicher und quelloffener SSH-Server Bifröst mit OpenID Connect

Bifröst ist ein fortschrittlicher Open-Source SSH-Server, der OpenID Connect verwendet und die automatische Bereitstellung von Benutzerzugriffen ermöglicht.

5. Dec 20247 min LesezeitTagsBifröstElliptische KurvenIdPOpenID ConnectOpen SourceSSH

Was ist ein SSH-Server?

Als Rückgrat vieler kritischer Systeme und Anwendungen dient ein SSH-Server als wichtiger Gatekeeper, der Ihre wertvolle Infrastruktur schützt und die Integrität Ihrer Online-Prozesse sicherstellt. Im Kern bietet ein SSH-Server einen sicheren und verschlüsselten Kommunikationskanal, der es ermöglicht, auf Remote-Systeme zuzugreifen, Befehle auszuführen und Dateien mit beispielloser Vertraulichkeit zu übertragen. Er wendet sich daher hauptsächlich an Administratoren und Entwickler. Mit der Möglichkeit, Benutzerberechtigungen zu kontrollieren, Aktivitäten zu überwachen, robuste Zugriffskontrollen zu implementieren oder IT-Systeme im Allgemeinen zu verwalten, ist er eines der leistungsstärksten Tools für die tägliche Arbeit von Administratoren. Durch die Nutzung fortschrittlicher kryptografischer Protokolle stellt ein SSH-Server sicher, dass Ihre Infrastruktur, einschließlich Ihrer sensiblen Informationen, vor neugierigen Blicken geschützt bleibt und die wertvollsten Ressourcen Ihres Unternehmens geschützt sind.

Welche Risiken birgt die Verwendung eines SSH-Servers?

In der heutigen digitalen Landschaft, in der Cyber-Sicherheitsbedrohungen eine große Rolle spielen, kann die Bedeutung eines robusten und sicheren SSH-Servers nicht hoch genug eingeschätzt werden. Allerdings ist deren Nutzung nicht ohne Risiko.

Eines der Hauptprobleme ist die Möglichkeit des unbefugten Zugriffs. Wenn SSH-Schlüssel kompromittiert werden, können böswillige Akteure Zugang zu sensiblen Systemen erhalten, was zu Datenlecks und erheblichen finanziellen Verlusten führen kann. Dies kann beispielsweise durch potenzielle Brute-Force Angriffe geschehen, bei denen Hacker systematisch verschiedene private SSH-Schlüssel mit den frei zugänglichen öffentlichen Schlüsseln ausprobieren. Dasselbe gilt für passwortgeschützte Server, die manchmal noch verwendet werden (Hinweis: Schützen Sie Ihren Zugang nicht mit Passwörtern, sondern mit SSH-Schlüsseln. Die Verwendung von Passwörtern ist nicht sicher). Diese Schwachstelle kann durch die Verwendung gut geschützter privater SSH-Schlüssel (oder strenger Passwortrichtlinien) gemindert werden. Gut geschützte private SSH-Schlüssel verwenden asynchrone Verschlüsselung (z. B. Elliptic Curves Digital Signature ED25519), die als sicher nach Quantencomputerzyklen gelten. Ältere Verschlüsselungsmethoden oder Technologien wie RSA mit weniger als 4096 Bit Verschlüsselung oder DSA sollten nicht mehr verwendet werden, da sie bereits in der Vergangenheit gehackt wurden und daher nicht mehr sicher sind.

Ein weiteres Problem ist das Risiko veralteter Software oder von Fehlern im Prozess der Zufallszahlengenerierung, die potenzielle Angriffsvektoren für Private-Public-Schlüsselpaare darstellen. Ein nicht gepatchter SSH-Server kann Ihr System bekannten Schwachstellen aussetzen, die von Hackern aktiv ausgenutzt werden. Regelmäßige Updates und Sicherheitspatches sind unerlässlich, um sich vor diesen Bedrohungen zu schützen.

Darüber hinaus kann eine unsachgemäße Konfiguration von SSH-Servern dazu führen, dass sensible Daten ungewollt offengelegt werden oder unbefugter Zugriff erfolgt. Es ist von entscheidender Bedeutung, bei der Konfiguration Ihrer Servereinstellungen bewährte Verfahren zu befolgen, wie z. B. die Deaktivierung der Root-Anmeldung und die Verwendung einer schlüsselbasierten Authentifizierung anstelle von Passwörtern.

Schließlich entsteht ein oft übersehenes Risiko, wenn firmeninterne Benutzer nicht mehr mit der Strategie des Unternehmens übereinstimmen, entlassen werden oder ihren Arbeitsvertrag selbst kündigen. In einem solchen Fall haben IT-Ingenieure mit SSH-Serverzugriff die Macht, das Unternehmen durch den Missbrauch des leistungsstarken SSH-Server-Tools zu ruinieren. Selbst wenn die Zugriffsrechte auf den SSH-Server sofort entzogen werden, kann ein Schaden nicht verhindert werden, da Benutzer in der Regel noch eine ganze Weile Zugriff auf die Systeme haben, bis die Deaktivierung des Mitarbeiters auf allen betroffenen Systemen angewendet wurde. Es ist nicht ungewöhnlich, dass bei mittelständischen Unternehmen eine dreistellige Anzahl von Systemen betroffen sind. Ohne spezielle Tools kann ein Roll-out oder Roll-down Tage bis Wochen dauern. Dies ist hauptsächlich auf eine unzureichende Dokumentation und Prozesse beim Roll-out zurückzuführen. So weiß oft niemand genau, auf welche Systeme ein Benutzer im Laufe der Zeit Zugriff erhalten hat. Daher werden viele Zugriffspunkte erst im Laufe der Zeit deaktiviert, wenn sie (zufällig) entdeckt werden, und stellen weiterhin eine Sicherheitsherausforderung für die gesamte IT-Landschaft des Unternehmens dar.

Zusammenfassend lässt sich sagen, dass SSH-Server zwar robuste Sicherheitsfunktionen für Remote-Verbindungen bieten, es jedoch wichtig ist, die damit verbundenen Risiken im Auge zu behalten.

Engitys fortschrittlicher SSH-Server

Engity hat einen fortschrittlichen SSH-Server mit dem Namen Bifröst entwickelt. Neben den „klassischen“ Funktionen eines Standard-SSH-Servers hat Engity einige der Nachteile und Risiken heutiger SSH-Server gelöst. Dabei lag der Schwerpunkt von Engity auf der Verbesserung der Datensicherheit und Benutzerfreundlichkeit. Darüber hinaus zeigt die kostenlose Bereitstellung unserer Bifröst-Software als Open-Source-Software unter der Apache-2.0-Lizenz unser Engagement für die Open-Source- und Sharing-Economy.

Funktionsumfang und Anwendungsfälle von Bifröst

Bifröst ist ein leistungsstarkes Tool, das Administratoren dabei unterstützt, ihre Effizienz und Benutzerfreundlichkeit zu steigern, während sie sich mit mehreren Servern verbinden. Durch die Verwendung eines vollständig SSH-Protokoll-kompatiblen Servers in Kombination mit einem OpenID Connect (oder OAuth2) Identitätsanbieter können sich Administratoren nach einer Single-Sign-On (SSO)-Logik anmelden und müssen sich nicht für jeden neuen Serverzugriff authentifizieren. Bifröst speichert auch vorübergehend den öffentlichen Schlüssel eines Benutzers und kann sich daher viel schneller bei einem Server authentifizieren und erneut verbinden, wenn die Sitzung noch aktiv ist. Bifröst kann auch automatisch lokale Benutzer mit einer vordefinierten Anforderungsvorlage in einer lokalen Umgebung bereitstellen. Administratoren müssen nicht mehr jeden Benutzer lokal bereitstellen; Bifröst erledigt diese Aufgabe.

Eine leistungsstarke Funktion, die aus Sicherheitsgründen immer wichtiger wird, ist, dass Administratoren Benutzer oder Benutzerkonten automatisch sperren können, wenn sie nicht mehr benötigt werden (z. B. wenn eine Sitzung inaktiv wird oder abläuft) oder wenn der jeweilige Benutzer keinen Zugriff mehr auf einen SSH-Server erhalten soll. In diesem Fall wird die Verbindung des Benutzers getrennt und er wird (einschließlich seines Home-Verzeichnisses) vom Server gelöscht und alle seine laufenden Prozesse werden gestoppt. Dies geschieht innerhalb der konfigurierten maximalen Gültigkeitsdauer des Zugriffstokens (in der Regel innerhalb von maximal 15 Minuten) des verwendeten OpenID Connect-Anbieters (z. B. Microsoft Entra ID, Google oder Engity IdP). Im Gegensatz dazu kann die Einrichtung neuer Benutzer mit benutzerdefinierten Rechten nahezu in Echtzeit problemlos erfolgen. Zudem ist es ein Leichtes, Benutzer unterschiedlichen Regeln zu unterwefen.

Darüber hinaus können Administratoren mithilfe von Bifröst problemlos eine Verbindung zu Docker-Containern oder Pods innerhalb eines Kubernetes-Clusters herstellen. Noch besser ist, dass Benutzer Bifröst verwenden können, um die virtuelle Docker- oder Kubernetes-Infrastruktur zu verwalten, indem sie regelbasierte Logiken und Prozesse anwenden.

Weitere Anwendungsfälle finden Sie hier.

Vorteile des SSH-Servers von Bifröst

Engity hat Bifröst entwickelt, um Administratoren bei ihrer täglichen Arbeit zu unterstützen, aber auch mit dem Ziel, die bestmögliche Datensicherheit zu gewährleisten.

Administratoren müssen häufig lokale Umgebungen auf einem Server mit vordefinierten Anwendungen (Anforderungsvorlagen) einrichten und sich selbst mit OpenID Connect autorisieren, was früher aufgrund mehrerer Versuche mühsam war. Anstatt nach der richtigen Konfiguration innerhalb bestehender Kubernetes- oder Docker-Servercluster zu suchen, kann Bifröst automatisch die erforderlichen definierten Anforderungsvorlagen erstellen. Anstatt Zeit mit der Einrichtung einer Umgebung zu verschwenden, sind Sie sofort einsatzbereit.

Erhöhung der Unternehmenssicherheit: Bifröst ermöglicht die Kontrolle des Benutzerzugriffs im Hintergrund in kürzester Zeit

Das Beste daran: Im Gegensatz zu den anderen SSH-Servern benötigen Sie mit OpenID Connect keinen anderen lokal installierten Client als Ihren regulären SSH-Client (OpenSSH, PuTTY, ...).

Bifröst erhöht die Effizienz von Administratoren, indem es den Zugriffsmechanismus vereinfacht und somit die Zeitressourcen der Administratoren erheblich reduziert.

Künftige geplante Entwicklungen innerhalb des fortschrittlichen SSH-Servers von Bifröst

Die stetig wachsende Bifröst-Community ist bereit, ihren fortschrittlichen SSH-Server weiterzuentwickeln. Für die nahe Zukunft sind folgende Funktionen geplant:

Bifröst und unser Open-Source-Engagement

Open-Source-Software hat die moderne Geschäftswelt grundlegend verändert und das Engagement für Open Source ist nicht nur ein Trend. Sich für Open Source zu engagieren, ist nicht nur vorteilhaft – es ist unerlässlich, um wettbewerbsfähig zu bleiben und sinnvolle Veränderungen im Technologie-Ökosystem voranzutreiben. Es ist eine grundlegende Veränderung in der Art und Weise, wie wir Technologie und Zusammenarbeit angehen.

Darüber hinaus bietet das Open-Source-Modell unseren Kunden eine überzeugende Alternative zu herkömmlicher proprietärer Software, ermöglicht eine erhebliche Kostensenkung und versetzt Unternehmen in die Lage, die Kontrolle über ihre Technologieplattform zu übernehmen. Der kooperative Charakter von Open Source bedeutet, dass Unternehmen skalierbare Lösungen an ihre individuellen Bedürfnisse anpassen können, ohne an starre Lieferantenvereinbarungen gebunden zu sein. Darüber hinaus können Entwickler aus der ganzen Welt ihr Fachwissen einbringen, um robuste Lösungen zu schaffen, von denen alle profitieren.

Unser Ziel ist es, die Bifröst-Lösung mithilfe der Open-Source-Community weiterzuentwickeln, um die Sicherheitsstandards von SSH-Servern zu erhöhen und IT-Administratoren mehr Komfort zu bieten. Bifröst wurde unter der Apache-2.0-Lizenz veröffentlicht.

Möchten Sie unserer Bifröst-Open-Source-Community beitreten?

Engity hat das Bifröst-Projekt ins Leben gerufen, um Administratoren und Ingenieure bei der Vereinfachung ihres Arbeitsalltags zu unterstützen. Unser Ziel ist es, Bifröst jeden Tag besser und leistungsfähiger zu machen. Wenn Sie also weitere Ideen haben, die Sie gerne umgesetzt hätten, lassen Sie es uns wissen. Wenn Sie bereit sind, sich mit uns zusammenzutun, um Bifröst zu verbessern, treten Sie uns auf Github bei. Sie sind auch herzlich eingeladen, unseren Quellcode zu forken und Ihr eigenes Projekt zu entwickeln.

Lassen Sie uns heute damit beginnen, den SSH-Server-Markt gemeinsam zu revolutionieren!