Fwknop scheint vor allem die gefühlte Sicherheit zu erhöhen, nur leider können uns unsere Gefühle oft täuschen. Rational betrachtet machst du einen Port zu und dafür einen anderen auf. Einen Sicherheitsgewinn der mich besser schlafen lassen könnte, kann ich darin nicht erkennen.
Da fwknop weniger eingesetzt wird als SSH, kann man davon ausgehen, dass es weniger getestet und auf Schwachstellen untersucht ist. Die Frage ist dabei nicht, wie viele Sicherheitsprobleme von den Entwicklern im Changelog dokumentiert wurden, sondern wie viele sich tendenziell noch in der Applikation befinden und wie durchdacht das Sicherheitskonzept ist.
Bei SSH geht es in der Hauptsache nicht um Sicherheitslücken, sondern um Brute-Force-Angriffe vor welchen die Anwender Angst haben und sich schützen möchten. Was sich auch sehr einfach durch die Verwendung von SSH-Keys bewerkstelligen lässt. Nur sind diese unbequem, da man sie immer griffbereit haben muss. Wäre es bei der fwknop-Lösung anders, könnte ich darin zumindest einen Vorteil erkennen. Ob ich aber nun einen SSH-Key oder einen GPG-Key griffbereit haben muss, vereinfacht an der Sache nichts.
Nur um nicht missverstanden zu werden: Ich meinte mit "Vorteil" einfach nur, dass die Leute halt vielleicht keinen Portknockingservice vermuten und es deshalb näherungsweise gleich sein lassen.
Das ist aber kein wirklicher Vorteil, wenn man eine weitere Schicht einzieht, die potentiell Konfigurationsfehler und/oder Codeprobleme aufweisen kann.
Fwknop scheint vor allem die gefühlte Sicherheit zu erhöhen, nur leider können uns unsere Gefühle oft täuschen. Rational betrachtet machst du einen Port zu und dafür einen anderen auf. Einen Sicherheitsgewinn der mich besser schlafen lassen könnte, kann ich darin nicht erkennen.
Da fwknop weniger eingesetzt wird als SSH, kann man davon ausgehen, dass es weniger getestet und auf Schwachstellen untersucht ist. Die Frage ist dabei nicht, wie viele Sicherheitsprobleme von den Entwicklern im Changelog dokumentiert wurden, sondern wie viele sich tendenziell noch in der Applikation befinden und wie durchdacht das Sicherheitskonzept ist.
Bei SSH geht es in der Hauptsache nicht um Sicherheitslücken, sondern um Brute-Force-Angriffe vor welchen die Anwender Angst haben und sich schützen möchten. Was sich auch sehr einfach durch die Verwendung von SSH-Keys bewerkstelligen lässt. Nur sind diese unbequem, da man sie immer griffbereit haben muss. Wäre es bei der fwknop-Lösung anders, könnte ich darin zumindest einen Vorteil erkennen. Ob ich aber nun einen SSH-Key oder einen GPG-Key griffbereit haben muss, vereinfacht an der Sache nichts.
Nur um nicht missverstanden zu werden: Ich meinte mit "Vorteil" einfach nur, dass die Leute halt vielleicht keinen Portknockingservice vermuten und es deshalb näherungsweise gleich sein lassen.
Das ist aber kein wirklicher Vorteil, wenn man eine weitere Schicht einzieht, die potentiell Konfigurationsfehler und/oder Codeprobleme aufweisen kann.