Teleport ist ein frei verfügbares Linux Tool, was eine einfach zu handhabende WebGUI zur Verfügung stellt. Über diese sind nach der sichereren Authentifizierung von Benutzern Zugriffe auf abgesicherte Systeme im Unternehmen oder eigenem Netzwerk möglich. Hauptsächlich bin ich auf Teleport aufmerksam geworden, weil dieser einen zentralen sicheren SSH Zugangspunkt für dritte ermöglicht.
Teleport im technischen Detail
Wie oben eingangs schon erwähnt bietet Teleport eine Zentrale Schnittstelle für Dritte oder anders Berechtigte um auf interne Systeme sicher zugreifen zu können. Selbst werben die überall mit dem Wörtchen NAT, was darauf hinweisen lässt das genau dieser Einsatzzweck gemeint ist.
Es können zeitgesteuerte Freigaben erstellt werden, sodass nur in einem bestimmten Zeitraum ein Zugriff auf bestimmte Systeme möglich ist. Später am Tag oder in der nächste Woche ist kein Zugriff mehr möglich. Natürlich auch herunter gebrochen auf Benutzerebene.
Mit Teleport kann man SSH Verbindungen, Web Applikationen, Kubernetes Umgebungen und Datenbankverbindungen managen. Voraussetzung für diese Verbindungen ist das man den Teleport Clienten auf dem Zielsystem installieren kann. Auch hier mach ich es mir erstmal einfach. Die Verbindung über diesen Teleport Client läuft über eine SSL Verschlüsselung.
Wie gerade erwähnt, die Kommunikation bei Teleport geschieht über eine gesicherte SSL Verbindung. Nachteil, es wird dauerhaft gemeckert das es sich nicht um signierte Zertifikate handelt.
Teleport Dokumentation: Zur Teleport Dokumentation
Einsatzzweck von Teleport
Am besten kommt das Tool dort zum Einsatz, wo externe oder Dritte auf die eigenen Systeme zugreifen müssen. Aber auch bei größeren Umgebungen, wo nicht alle Mitarbeiter auf alle Systeme Zugriff haben ist ein Einsatz denkbar. Über ein Anfrage & Freigabe Seite können Benutzer um Freigabe auf entsprechende Systeme bitten. Diese können dann automatisch freigeschaltet werden.
Überwachung
Voll geil ist, das jegliche Verbindungen vollständig mitgeschnitten werden. Sogar soweit das SSH Verbindungen vollständig aufgezeichnet werden inkl jeglichen Befehlen. In dem Bereich der Datenbanken werden jegliche SQL Befehle mitgeschnitten und abgespeichert. Das ist natürlich bestens wenn man dritte an seine System lässt.
Wenn eine aktive Verbindung besteht, können auch berechtigte gleichzeitig sich aufschalten und zuschauen. Das heißt, dass Remote Arbeiten gleichzeitig bzw. gemeinsam passieren können. Besonders aktuell bei viel Corona Homeoffice ist das eine Sinnvolle Möglichkeit.
Sicherheit
Weiter oben schon paar mal erwähnt, verbinden sich die Knoten immer über eine SSL Verbindung. Ganz wichtig damit nicht so viele Hinweismeldungen aufkommen sind signierte Zertifikate.
Ganz wichtig zu wissen, als Standard wird eine 2FA vorgegeben. In diesem Falle ist der Google Authenticator als Standard vorgegeben. Als Alternative wird eine SSO Lösung von Github angeboten.
Fazit
Die Einrichtung ist zunächst zu verstehen, aber dann sehr einfach. Die ganze Zertifikatprobleme können mit dem Befehl –insecure ausgeblendet werden. Wenn es eingerichtet ist, ist alles weitere Problemlos und kann voll schnell betrieben werden. Und natürlich wie immer, eine Community Edition für einen kostenlosen Teil des Software Bundles rundet das Produkt ab. Ich kann es so nur empfehlen.
Dashboard 
Logging
25. November 2021 um 14:54 Uhr
Hi Dennis,
sag mal, eine SSH Verbindung direkt im Browser aufbauen, geht das auch? Ähnlich z. B. wie bei Proxmox – Console Session im Browser.
Danke 🙂
25. November 2021 um 16:48 Uhr
Das tut man dann mit Teleport. Dafür ist es da!
15. Dezember 2023 um 07:55 Uhr
Kannst dir auch mal KASM anschauen, SSH, VNC, RDP über den Browser 🙂