Enterprise Netzwerk: Wireguard-Spezialist Tailscale bietet eigenen SSH-Dienst
Das Start-up Tailscale hat einen gleichnamigen SSH-Dienst angekündigt(öffnet im neuen Fenster) , der sich nicht nur besonders leicht konfigurieren lassen soll, sondern auch auf der bisherigen VPN-Technik des Unternehmens basiert. Dazu heißt es: "Tailscale SSH ermöglicht es Ihnen, SSH-Verbindungen zwischen Geräten in Ihrem Tailscale-Netzwerk herzustellen, wie von Ihren Zugriffskontrollen autorisiert, ohne SSH-Schlüssel zu verwalten, und authentifiziert Ihre SSH-Verbindung mit Wireguard."
Bei Wireguard handelt es sich um eine moderne VPN-Technik, die Tailscale eigenen Angaben zufolge zu einem Unternehmens-VPN mit "Nullkonfiguration" durch Verwaltungswerkzeuge erweitert. Die Technik erstellt dabei ein Mesh-Netzwerk und soll die Nutzung möglichst weit vereinfachen, damit sich Nutzer nicht mehr manuell um Firewall-Regeln oder Konfigurationsdateien kümmern müssen.
Die Idee des Tailscale SSH sei dabei aus der bisherigen Nutzung der VPN-Technik entstanden, schreibt das Team. Immerhin werde schon jetzt auch das VPN für SSH-Sitzungen genutzt, etwa um vom Laptop auf entfernte Rechner direkt zugreifen zu können. Da die VPN-Kommunikation selbst aber bereits Zugriffskontrollen umsetzt, könnten die SSH-Schlüssel auch schlicht durch die Tailscale-Identität ersetzt werden, heißt es in der Erklärung der Idee der Technik.
Hauptargument für den Dienst ist laut Hersteller, dass die bisher eher schwierige Verwaltung von SSH-Schlüsseln im großen Stil entfallen kann. Weiter heißt es: "Wireguard ähnelt SSH insofern, als jede Seite einen privaten Schlüssel benötigt, um ihre eigene Identität festzustellen, und den öffentlichen Schlüssel der Gegenstelle verwendet, um sie zu identifizieren. Jede Seite kann eine Verbindung initiieren. In beiden Fällen hilft Tailscale bei der Netzwerkkonfiguration, der Schlüsselverteilung und der Zuordnung von öffentlichen Schlüsseln zu Benutzeridentitäten." Die Verknüpfung der Techniken ist also naheliegend.
SSH in einfach
Der SSH-Dienst verwaltet dabei die Kommunikation über Port 22 der Tailscale-IP-Adresse. Innerhalb des Dienstes übernimmt dann dieser die Authentifizierung und Verschlüsselung per Wireguard mit den dazugehörigen Schlüsseln. Client und Server bauen dann immer noch eine übliche SSH-Sitzung auf, da Tailscale aber bereits die beiden Seiten authentifiziert hat, nutzt die SSH-Sitzung die Authentifizierungsmethode none . Eine Autorisierung der Kommunikation findet über die ACLs des Dienstes statt.
Anderer SSH-Traffic sowie bestehende Konfigurationen für den SSH-Daemon und für die SSH-Schlüssel bleiben von Tailscale explizit unberührt. So sind also SSH-Verbindungen innerhalb und außerhalb des Tailscale-VPN parallel zueinander möglich. Unterstützt wird der Dienst bisher für eingehende Verbindungen lediglich unter Linux. Ein Beschränkung für Client-Systeme gibt es jedoch nicht. Weitere Details liefert die Dokumentation(öffnet im neuen Fenster) .