Sie haben sich bestimmt schon gefragt, wie Administratoren sicher auf entfernte Server zugreifen – ohne dass jemand im Netzwerk mitliest. Die Antwort ist ein Verfahren namens SSH-Tunnel, das Datenströme verschlüsselt durch fremde Netzwerke schleust und seit 1995 zum unverzichtbaren Werkzeug für Entwickler und Systembetreuer geworden ist.

Diese Beitrage nicht verpassen

4 verwandte Artikel

Standardport: 22 ·
Erstveröffentlichung: 1995 ·
Verschlüsselungsalgorithmen: AES, ChaCha20, 3DES ·
Hauptnutzung: Remote-Server-Verwaltung und sicheres Tunneling

Kurzüberblick

1Sicherer Remote-Zugriff
2Datenverschlüsselung
3Firewall-Umgehung
  • Nutzung von Port 22 als Ausgang (IONOS)
  • Tunneling durch restriktive Netzwerke (Serverspace)
  • Erzeugung eines verschlüsselten Kanals
4Flexibles Tunneling
  • Lokales, Remote- und dynamisches Tunneling (AlexHost)
  • Weiterleitung einzelner Ports (IONOS)
  • SOCKS-Proxy für Browserverkehr (AlexHost)

Fünf zentrale Fakten fassen zusammen, worum es bei SSH-Tunneln geht – vom Ursprung bis zur heutigen Verschlüsselung.

Eigenschaft Wert
Erstveröffentlichung 1995 von Tatu Ylönen (IONOS)
Standardport 22
Aktuelle Protokollversion SSH-2 (Encryption Consulting)
Verschlüsselung AES-256, ChaCha20, 3DES (veraltet)
Authentifizierung Passwort, öffentlicher Schlüssel, Zertifikate (Encryption Consulting)

Was ist ein SSH-Tunnel?

Grundlagen von SSH und Tunneling

  • Ein SSH-Tunnel transportiert beliebige Netzwerkdaten über eine verschlüsselte SSH-Verbindung (Serverspace).
  • SSH-Tunneling wird auch als Port-Weiterleitung bezeichnet (Admin Intelligence Blog).
  • Die Verbindung erfolgt über den SSH-Dienst auf Port 22 (IONOS).

SSH steht für „Secure Shell“ – ein Netzwerkprotokoll, das 1995 vom finnischen Forscher Tatu Ylönen entwickelt wurde. Es ersetzt unsichere Shell-Zugänge wie Telnet und verschlüsselt die gesamte Kommunikation zwischen zwei Rechnern. Ein SSH-Tunnel nutzt diese bestehende gesicherte Verbindung, um zusätzliche Datenströme hindurchzuleiten. Statt also für jeden Dienst eine eigene Verschlüsselung aufzubauen, reicht eine einzige SSH-Sitzung, die mehrere Ports bündelt.

Der SSH-Daemon (sshd) lauscht standardmäßig auf Port 22. Sobald ein Client eine Verbindung herstellt, handeln beide Seiten Verschlüsselungsalgorithmen und Authentifizierungsverfahren aus – entweder per Passwort oder über ein asymmetrisches Schlüsselpaar. Encryption Consulting empfiehlt die schlüsselbasierte Authentifizierung, weil sie resistenter gegen Brute-Force-Angriffe ist.

Der Kern

Ein SSH-Tunnel macht aus einem einzelnen, sicheren Kanal mehrere virtuelle Leitungen – ähnlich einem Schlauchsystem, bei dem ein Hauptstrang mehrere Nebenstränge versorgt.

Arten von SSH-Tunneln: Lokal, Remote, Dynamisch

  • Lokale Portweiterleitung: ssh -L lokaler_port:remote_adresse:remote_port user@ssh-server (IONOS).
  • Remote Portweiterleitung: ssh -R 8080:127.0.0.1:3000 user@remote.host (IONOS).
  • Dynamische Portweiterleitung: ssh -D 9090 user@ssh-server für einen SOCKS-Proxy (AlexHost).

Die lokale Variante ist die gebräuchlichste: Ein Programm auf Ihrem Rechner verbindet sich zu einem lokalen Port (etwa 8080), und SSH leitet diese Daten an einen entfernten Dienst weiter – verschlüsselt und für Angreifer im Netz unsichtbar. Bei der Remote-Weiterleitung öffnen Sie auf dem SSH-Server einen Port, der zu einem Dienst auf Ihrem lokalen Rechner zeigt. Das ist praktisch, wenn Sie von außen auf ein internes Entwicklungsserver zugreifen möchten. Die dynamische Variante schließlich erzeugt einen SOCKS-Proxy, über den Sie beliebigen TCP-Verkehr leiten können – ähnlich wie bei einem VPN, nur eben portbezogen.

Das Muster: Drei Tunneltypen, ein Prinzip – die SSH-Verbindung als gesicherte Röhre. Der Unterschied liegt allein darin, auf welcher Seite der Tunnel beginnt und wie viele Ziele er bedient.

Fazit: Ein SSH-Tunnel ist kein eigener Dienst, sondern eine clevere Nutzung der bereits vorhandenen SSH-Infrastruktur. Administratorinnen und Entwickler, die regelmäßig auf entfernte Maschinen zugreifen, sparen sich damit den Aufbau separater VPN-Infrastruktur – für einzelne Ports ist das die schlankere Lösung.

Warum einen SSH-Tunnel verwenden?

Sicherheit für unverschlüsselte Protokolle

  • SSH-Tunnel verschlüsseln Daten, die sonst ungeschützt über das Netzwerk gehen (Serverspace).
  • Schutz vor Man-in-the-Middle-Angriffen durch starke Authentifizierung (Encryption Consulting).
  • Verschlüsselung der Kommunikation zwischen Client und Server.

Viele ältere Protokolle wie HTTP, SMTP, POP3 oder FTP übertragen Daten im Klartext. Ein Angreifer im selben Netzwerk kann diese Daten ohne großen Aufwand mitlesen. Ein SSH-Tunnel verhindert das, indem er den gesamten Datenstrom der unverschlüsselten Anwendung durch die gesicherte SSH-Verbindung leitet. Der Administrator spannt sozusagen eine schützende Hülle um die eigentliche Kommunikation.

Umgehen von Firewalls und Netzwerkbeschränkungen

  • SSH-Tunnel ermöglichen den Zugriff auf Dienste hinter einer Firewall (Serverspace).
  • Nutzung von Port 22 als einzige offene Pforte (IONOS).
  • Tunneling durch restriktive Netzwerke ohne zusätzliche Freigaben.

Firewalls blockieren oft viele Ports, lassen aber SSH (Port 22) aus gutem Grund durch – weil Administratoren ihn für die Fernwartung benötigen. Ein SSH-Tunnel nutzt diese Lücke im positiven Sinne: Solange Port 22 geöffnet ist, können Sie weitere Dienste durch den Tunnel leiten, ohne zusätzliche Firewall-Regeln zu benötigen. Das ist besonders hilfreich, wenn Sie in einem restriktiven Firmennetzwerk arbeiten oder auf ein Rechenzentrum zugreifen müssen, das nur minimale Verbindungen zulässt.

Fernwartung und sicherer Zugriff auf interne Dienste

  • Administratoren nutzen SSH-Tunnel für die sichere Fernwartung von Servern (Admin Intelligence Blog).
  • Zugriff auf interne Dashboards und APIs ohne öffentliche IP (AlexHost).
  • Verschlüsselter Zugang zu Datenbanken und Verwaltungsoberflächen.

Stellen Sie sich vor, Sie betreiben einen Webserver in einem Rechenzentrum, der nur über SSH erreichbar ist. Das Admin-Dashboard läuft auf Port 3000 – aber nur intern. Mit einem SSH-Tunnel (ssh -L 3000:127.0.0.1:3000 user@server) können Sie dieses Dashboard lokal in Ihrem Browser öffnen, ohne es nach außen freizugeben. Kein zusätzliches VPN, keine weitere Firewall-Regel.

Fazit: Drei Gründe, ein SSH-Tunnel: Verschlüsselung für ungeschützte Dienste, Überbrückung von Firewalls ohne Konfigurationsaufwand und sicherer Fernzugriff auf interne Ressourcen. Für Entwickler, Systemadministratoren und IT-Teams ist das tägliche Praxis – nicht Notlösung, sondern erster Griff im Werkzeugkasten.

Ist ein VPN nur ein SSH-Tunnel?

Gemeinsamkeiten von VPN und SSH-Tunnel

  • Sowohl VPN als auch SSH-Tunnel verschlüsseln den Datenverkehr (Admin Intelligence Blog).
  • Beide Techniken schaffen einen sicheren Kanal durch unsichere Netzwerke.
  • Sie nutzen starke Verschlüsselungsalgorithmen und Authentifizierungsverfahren.

Die Verwechslung ist nachvollziehbar: Beide Technologien verschlüsseln Daten und transportieren sie durch fremde Netzwerke. Tatsächlich teilen sich VPN und SSH-Tunnel dieselbe Grundidee – einen Tunnel zu bauen. Aber sie unterscheiden sich fundamental in der Reichweite und im Ziel.

Unterschiede in der Architektur und Nutzung

  • Ein VPN tunnelt den gesamten Netzwerkverkehr eines Geräts, ein SSH-Tunnel nur bestimmte Ports/Anwendungen.
  • VPNs bieten typischerweise eine zentralisierte Authentifizierung (Cloudflare).
  • SSH-Tunnel sind punktuell und erfordern keinen separaten VPN-Client.

Ein VPN hebt den gesamten Netzwerkverkehr eines Geräts in einen verschlüsselten Tunnel – unabhängig davon, ob Sie im Browser surfen, E-Mails abrufen oder eine Datei herunterladen. Ein SSH-Tunnel hingegen ist präzise: Sie entscheiden manuell, welcher Port zu welchem Ziel weitergeleitet wird. Das ist weniger bequem, aber auch weniger angreifbar, weil nur die Dienste durch den Tunnel gehen, die Sie explizit freigegeben haben.

Vier Unterschiede, eine Tabelle:

Merkmal VPN (IPsec / OpenVPN / WireGuard) SSH-Tunnel
Reichweite Gesamter Netzwerkverkehr Einzelne Ports / Anwendungen
Authentifizierung Zentral (RADIUS, LDAP, Zertifikate) Lokal (Passwort, Schlüsselpaar)
Einrichtung Client-Software nötig, komplex Befehlszeile, kein Extra-Client
Infrastruktur Eigener VPN-Server nötig Vorhandener SSH-Server reicht
Leistung Geringer Overhead (modern) Höherer Overhead (Anwendungsschicht)
Der Unterschied

Ein VPN ist ein Universal-Tunnel für den ganzen Datenverkehr – ein SSH-Tunnel ein Skalpell für einzelne Ports. Wer seinen gesamten Internetverkehr schützen will, braucht ein VPN. Wer nur einen bestimmten Dienst absichern möchte, kommt mit einem SSH-Tunnel schneller und schlanker ans Ziel.

Sicherheitseigenschaften im Vergleich

Beide Technologien gelten als sicher, wenn sie korrekt konfiguriert sind. Cloudflare betont, dass SSH für die Remote-Shell entwickelt wurde und nicht für den Massentransport von Daten – VPN-Protokolle wie WireGuard oder OpenVPN sind für hohe Datenraten optimiert. Ein SSH-Tunnel kann bei starkem Datenverkehr spürbar langsamer sein, weil er auf der Anwendungsschicht arbeitet und jede Paketverschlüsselung einzeln verarbeitet.

Fazit: Nein, ein VPN ist kein SSH-Tunnel – und umgekehrt. Die Wahl hängt vom Anwendungsszenario ab. Für IT-Teams, die einzelne Dienste absichern wollen, ist der SSH-Tunnel die schlankere Lösung. Für alle, die den gesamten Geräteverkehr schützen möchten, bleibt ein VPN die richtige Wahl.

Was ist der Unterschied zwischen SSL-Tunnel und SSH-Tunnel?

SSL/TLS als Grundlage für HTTPS und SSL-VPNs

  • SSL/TLS wird hauptsächlich für die Absicherung von Webverbindungen (HTTPS) verwendet.
  • SSL-VPNs nutzen TLS für den Fernzugriff ohne Client-Installation (Cloudflare).
  • Der Handshake und die Zertifikatsprüfung sind Kernbestandteile von TLS.

SSL (heute TLS) ist das Protokoll, das Ihr Browser verwendet, wenn Sie eine HTTPS-Webseite aufrufen. Es arbeitet auf der Transportschicht und sichert die Verbindung zwischen Browser und Webserver. Ein SSL-VPN nutzt dasselbe Prinzip: Der Client baut über TLS eine verschlüsselte Verbindung zum VPN-Gateway auf und kann dann auf interne Ressourcen zugreifen – oft ohne dass eine zusätzliche Software installiert werden muss.

SSH als Protokoll für sichere Shell und Tunneling

  • SSH ist in erster Linie für die sichere Remote-Shell und Dateiübertragung konzipiert (SSH.com).
  • SSH-Tunneling ist ein Nebenprodukt der bestehenden SSH-Verbindung.
  • SSH authentifiziert Benutzer und Rechner (Host-Keys).

SSH hingegen wurde gebaut, um eine sichere Kommandozeile auf einem entfernten Rechner zu öffnen. Das Tunneling kam später als Erweiterung – eine clevere Wiederverwendung der bereits vorhandenen Verschlüsselung. Während TLS auf Zertifikate und Public-Key-Infrastrukturen setzt, verwendet SSH Host-Keys und Benutzer-Schlüsselpaare. Beide Protokolle sind kryptografisch solide, aber sie lösen unterschiedliche Probleme.

Praktische Unterschiede und Anwendungsbereiche

Der wichtigste praktische Unterschied: Ein SSL-Tunnel (etwa für einen SSL-VPN) wird meist unbemerkt im Hintergrund aufgebaut – der Benutzer sieht nur eine Login-Seite im Browser. Ein SSH-Tunnel erfordert dagegen eine aktive SSH-Sitzung auf der Kommandozeile. Das ist technisch versierteren Anwendern vorbehalten. Drei Kategorien, eine Entscheidung: SSL für Webdienste und Zero-Client-Zugriff, SSH für die Server-Fernwartung und gezielte Port-Weiterleitungen.

Fazit: SSL und SSH arbeiten auf unterschiedlichen Ebenen und mit verschiedenen Zielen. Wer einen sicheren Browser-Zugriff auf interne Webanwendungen sucht, wählt einen SSL-VPN. Wer einzelne TCP-Ports durch eine Firewall tunneln möchte, greift zum SSH-Tunnel. Die Protokolle sind keine Gegensätze – sie ergänzen sich.

Was ist der Unterschied zwischen IPsec und SSH-Tunnel?

IPsec als Suite für Netzwerksicherheit auf IP-Ebene

  • IPsec arbeitet auf der Netzwerkschicht (IP) und kann den gesamten IP-Verkehr verschlüsseln.
  • Es verwendet die Protokolle AH (Authentication Header) und ESP (Encapsulating Security Payload).
  • IPsec ist oft Teil des Betriebssystems und benötigt keine Anwendungsunterstützung.

IPsec ist keine einzelne Technologie, sondern eine Suite von Protokollen, die auf der IP-Ebene ansetzen. Das bedeutet: Anders als SSH, das auf der Anwendungsschicht operiert, verschlüsselt IPsec jedes IP-Paket, bevor es versendet wird – unabhängig davon, welche Anwendung es erzeugt hat. Das macht IPsec extrem universell, aber auch komplexer in der Konfiguration.

SSH-Tunnel als anwendungsschichtbasiertes Tunneling

  • SSH-Tunnel operieren auf der Anwendungsschicht und erfordern eine SSH-Sitzung (SSH.com).
  • Ein SSH-Tunnel kann nur TCP-Verkehr transportieren, kein UDP oder ICMP.
  • Die Verschlüsselung erfolgt innerhalb der SSH-Sitzung, nicht auf Paketebene.

Der SSH-Tunnel arbeitet eine Schicht höher im OSI-Modell. Er kann nur TCP-Verbindungen tunneln – UDP-Datenströme (wie sie etwa für DNS oder VoIP nötig sind) kann er nicht transportieren. IPsec hingegen ist protokollagnostisch und kann TCP, UDP, ICMP und sogar Multicast-Verkehr verschlüsseln. Dafür ist die Einrichtung von IPsec aufwändiger: Schlüsselaustausch, Zertifikate, Security Associations.

Einsatzzwecke und Konfigurationsunterschiede

Fünf Kriterien, die die Wahl leiten:

Kriterium IPsec SSH-Tunnel
OSI-Schicht Netzwerkschicht (3) Anwendungsschicht (7)
Protokollunterstützung TCP, UDP, ICMP, Multicast Nur TCP
Einrichtungsaufwand Hoch (Zertifikate, IKE, SA) Niedrig (ein Befehl)
Authentifizierung Zertifikate, Pre-shared Keys Passwort, Schlüsselpaar
Flexibilität Globaler Tunnel (ganzes Subnetz) Punkt-zu-Punkt (ein Port)

Das Muster: IPsec ist das Schwergewicht für Site-to-Site-Verbindungen und vollständige Netzwerksicherheit. Der SSH-Tunnel ist das Leichtgewicht für schnelle, gezielte Punkt-zu-Punkt-Verbindungen zwischen zwei Rechnern. Für ein Unternehmen mit mehreren Standorten ist IPsec die richtige Wahl. Für einen Entwickler, der schnell auf eine Datenbank zugreifen muss, reicht der SSH-Tunnel völlig aus.

Fazit: IPsec und SSH-Tunnel sind keine Konkurrenten, sondern Werkzeuge für unterschiedliche Aufgaben. IPsec für die ganzheitliche Netzsicherheit, SSH-Tunnel für den gezielten, schnellen Zugriff. Die Entscheidung hängt davon ab, wie viel Reichweite Sie brauchen und wie viel Konfigurationsaufwand Sie investieren wollen.

Ist SSH sicherer als VPN?

Sicherheitsmerkmale von SSH-Tunneln

  • SSH verwendet starke Verschlüsselung und Authentifizierung, ähnlich wie moderne VPN-Protokolle (Encryption Consulting).
  • Schlüsselbasierte Authentifizierung gilt als sicherer als Passwort-Authentifizierung (Encryption Consulting).
  • Zwei-Faktor-Authentifizierung (2FA) ist mit Tools wie Google Authenticator möglich (Encryption Consulting).

SSH-2, die aktuelle Protokollversion, unterstützt moderne Algorithmen wie AES-256 und ChaCha20. Die Authentifizierung kann über Passwort, öffentlichen Schlüssel oder Zertifikate erfolgen. Encryption Consulting empfiehlt, die Passwort-Authentifizierung komplett zu deaktivieren und nur Schlüssel zuzulassen – ergänzt durch 2FA für kritische Umgebungen. Wer SSH-1 noch im Einsatz hat, sollte dringend auf SSH-2 wechseln, weil SSH-1 bekannte Sicherheitslücken aufweist.

Sicherheitsmerkmale von VPNs (IPsec, OpenVPN, WireGuard)

  • Moderne VPN-Protokolle verwenden ebenfalls AES-256, ChaCha20 und Perfect Forward Secrecy.
  • WireGuard gilt als besonders sicher und performant mit einem schlanken Codebase.
  • OpenVPN bietet flexible Authentifizierung über Zertifikate, Benutzername/Passwort und 2FA.

Die Frage nach der Sicherheit lässt sich nicht pauschal beantworten. Ein korrekt konfigurierter SSH-Tunnel ist für seinen Einsatzzweck genauso sicher wie ein korrekt konfiguriertes VPN. Der Unterschied liegt in der Angriffsfläche: Ein SSH-Tunnel exponiert nur einen Dienst (den SSH-Server auf Port 22), während ein VPN-Gateway oft mehrere Dienste und Protokolle bereitstellt. Das kann die Angriffsfläche vergrößern – moderne Protokolle wie WireGuard reduzieren dieses Risiko aber durch minimale Codebasen.

Risiken und Einschränkungen beider Technologien

Vorteile

  • SSH-Tunnel: einfache Einrichtung ohne zusätzliche Software (Admin Intelligence Blog)
  • SSH-Tunnel: geringe Angriffsfläche (nur Port 22)
  • VPN: schützt den gesamten Netzwerkverkehr eines Geräts
  • VPN: moderne Protokolle wie WireGuard sind extrem performant

Nachteile

  • SSH-Tunnel: nur für TCP-Verkehr geeignet
  • SSH-Tunnel: höherer Overhead als VPN bei großen Datenmengen
  • VPN: komplexere Einrichtung und Konfiguration
  • VPN: zentraler Server als Single Point of Failure

Keine der beiden Technologien ist absolut sicher – die korrekte Konfiguration entscheidet. Ein SSH-Tunnel mit schwachem Passwort und SSH-1 ist unsicherer als ein gut konfigurierter WireGuard-VPN. Umgekehrt ist ein SSH-Tunnel mit Schlüssel-Authentifizierung und 2FA einem schlecht konfigurierten IPsec-VPN überlegen. Die Sicherheit liegt nicht im Protokoll, sondern in seiner Umsetzung.

Der kritische Punkt

Ein SSH-Tunnel ist kein Ersatz für ein VPN, aber auch kein schwächerer Ersatz. Die Sicherheitsfrage ist eine Frage des Einsatzzwecks: Für einzelne Dienste ist SSH die sauberere Lösung, für vollständigen Netzwerkschutz das VPN. Die falsche Wahl ist nicht das Protokoll, sondern der fehlende Use-Case-Bezug.

Fazit: Die pauschale Frage „Ist SSH sicherer als VPN“ führt in die Irre. Die Sicherheit hängt vom Anwendungsszenario ab. Für IT-Administratoren, die einzelne Server portsicher verwalten, ist der SSH-Tunnel die sicherere Wahl – weil er genau das tut, wofür er gebaut wurde. Für Unternehmen, die den gesamten Netzwerkverkehr ihrer Mitarbeiter schützen müssen, bleibt ein VPN die bessere Lösung. Wer beides kombiniert, fährt am besten.

SSH-Tunnel Schritt für Schritt einrichten

Vorbereitung: System aktualisieren und Schlüssel erstellen

  1. System aktualisieren: apt update && apt upgrade -y (Serverspace).
  2. SSH-Schlüsselpaar generieren: ssh-keygen -t rsa (Serverspace).
  3. Öffentlichen Schlüssel auf den Server übertragen: ssh-copy-id user@server.

Stellen Sie sicher, dass der SSH-Dienst auf dem Zielserver läuft und Port 22 von Ihrem Standort aus erreichbar ist. Wenn Sie hinter einer restriktiven Firewall sitzen, klappt der Tunnel nur, wenn der Server ausgehende Verbindungen auf Port 22 erlaubt – was in den meisten Netzwerken der Fall ist.

Lokalen Tunnel einrichten

Der häufigste Anwendungsfall: Sie möchten von Ihrem lokalen Rechner aus auf einen Dienst auf dem entfernten Server zugreifen, der nur lokal auf dem Server läuft (etwa ein Admin-Dashboard auf Port 3000). Der Befehl lautet: ssh -L 3000:127.0.0.1:3000 benutzer@server. Nach der Eingabe des Passworts (oder nach der Schlüssel-Authentifizierung) ist der Tunnel aktiv – Sie können in Ihrem Browser http://127.0.0.1:3000 aufrufen und sehen das entfernte Dashboard.

Die Praxisregel

Verwenden Sie für die lokale Portweiterleitung Ports über 1024, denn niedrigere Ports sind privilegiert und erfordern Root-Rechte (IONOS). Port 8080, 3000 oder 9090 sind typische Werte.

Dynamischen Tunnel (SOCKS-Proxy) einrichten

Für den dynamischen Tunnel, der als SOCKS-Proxy fungiert, verwenden Sie: ssh -D 9090 benutzer@server. Anschließend konfigurieren Sie Ihren Browser (etwa Firefox) oder Ihr Betriebssystem so, dass der SOCKS-Proxy auf 127.0.0.1:9090 zeigt. Ab diesem Moment läuft der gesamte Browserverkehr durch den verschlüsselten Tunnel – ideal, um in öffentlichen WLAN-Netzen Ihre Daten zu schützen.

Remote-Tunnel für Zugriff von außen

Wenn Sie von außen auf einen Dienst auf Ihrem lokalen Rechner zugreifen möchten (etwa auf einen Entwicklungsserver hinter einer NAT-Firewall), hilft der Remote-Tunnel: ssh -R 8080:127.0.0.1:3000 benutzer@remote.host. Der SSH-Server öffnet dann auf seinem Port 8080 ein Fenster zu Ihrem lokalen Port 3000. Jeder, der auf den entfernten Server zugreifen kann, sieht dann Ihren lokalen Dienst.

Fazit: Die Einrichtung eines SSH-Tunnels erfordert keine spezielle Software – nur einen SSH-Client und einen Server mit SSH-Dienst. Das ist der entscheidende Vorteil gegenüber einem VPN: keine Installation, keine Konfiguration von Routing-Tabellen, kein Zertifikatsmanagement. Ein Befehl, ein Tunnel, eine Lösung.

Was ist sicher bekannt – und was bleibt unklar?

Bestätigte Fakten

  • SSH verwendet asymmetrische Verschlüsselung zur Authentifizierung (Encryption Consulting).
  • SSH-Tunnel schützen Daten vor Lauschangriffen im Netzwerk (Serverspace).
  • Port 22 ist der standardmäßige SSH-Port (IONOS).

Was unklar ist

  • Die genaue Leistungsbeeinträchtigung durch Tunneling ist variabel und hängt von der Netzwerklatenz ab.
  • Ob SSH-Tunnel oder VPN sicherer ist, lässt sich nicht pauschal beantworten und hängt vom Einsatzzweck ab.

„SSH tunneling is a method of transporting arbitrary networking data over an encrypted SSH connection.“

SSH.com (offizielle SSH-Protokollseite)

„SSH provides a secure channel over an unsecured network by using a client-server architecture, authenticating the client and the server, and encrypting all data between them.“

Cloudflare (Netzwerksicherheits-Anbieter)

„SSH tunneling is a method to transport additional data streams within an existing SSH session, effectively creating a secure conduit for other protocols.“

Teleport (Sicherheits-Zugriffsplattform)

Drei Quellen, eine Botschaft: Der SSH-Tunnel ist ein etabliertes, gut dokumentiertes Verfahren, das in seiner Grundfunktion vollständig verstanden ist. Die Verunsicherung entsteht meist beim Vergleich mit VPN-Technologien – hier helfen die Fakten und Einsatzprofile, die wir in diesem Artikel zusammengetragen haben.

Für IT-Entscheider in Deutschland und der Schweiz ist der SSH-Tunnel ein wertvolles Werkzeug im Sicherheitsportfolio. Er ersetzt kein komplettes VPN für den Unternehmenseinsatz, aber er schließt Lücken, die ein VPN nicht wirtschaftlich füllen kann: schnelle, point-to-point-verschlüsselte Verbindungen für Entwickler und Administratoren – ohne bürokratischen Aufwand, ohne Zertifikatsinfrastruktur, ohne monatliche Kosten.

Weitere Quellen

alexhost.com, youtube.com, ionos.de, serverion.com

Eine ausführliche Erklärung auf Japanisch bietet der Artikel SSH-Tunnel auf Japanisch.

Häufig gestellte Fragen

Wie richte ich einen SSH-Tunnel ein?

Sie benötigen einen SSH-Client (unter Linux/macOS vorinstalliert, unter Windows etwa PuTTY) und einen entfernten Server mit SSH-Dienst. Der Grundbefehl lautet: ssh -L 3000:127.0.0.1:3000 user@server. Er leitet Ihren lokalen Port 3000 an Port 3000 auf dem Server weiter – verschlüsselt und sicher.

Welche Ports können mit einem SSH-Tunnel weitergeleitet werden?

Grundsätzlich alle TCP-Ports. Ports unter 1024 sind privilegiert und erfordern Root-Rechte, daher sollten Sie für lokale Weiterleitungen Ports über 1024 verwenden (IONOS).

Kann ich einen SSH-Tunnel mit PuTTY unter Windows erstellen?

Ja, PuTTY unterstützt SSH-Tunneling über die Kategorie „Connection > SSH > Tunnels“. Dort tragen Sie den Quellport und das Ziel (host:port) ein und klicken auf „Add“. Nach dem Verbindungsaufbau ist der Tunnel aktiv.

Was ist der Unterschied zwischen lokalem und remoteem Tunneling?

Lokales Tunneling (ssh -L) leitet einen Port auf Ihrem Rechner zu einem Dienst auf dem entfernten Server weiter. Remote-Tunneling (ssh -R) öffnet auf dem entfernten Server einen Port, der zu einem Dienst auf Ihrem lokalen Rechner zeigt – nützlich, wenn Sie von außen auf Ihr internes Netz zugreifen möchten.

Ist SSH-Tunneling legal?

Ja, SSH-Tunneling ist legal. Es wird täglich von Millionen von Administratoren und Entwicklern für die Fernwartung und den sicheren Datentransport eingesetzt. Die Nutzung zum Umgehen von Netzsperren kann jedoch gegen die Nutzungsbedingungen eines Netzwerks verstoßen.

Welche Verschlüsselungsalgorithmen verwendet SSH?

SSH-2 unterstützt unter anderem AES-256, ChaCha20 und 3DES (letzteres gilt als veraltet). Die Aushandlung der Algorithmen erfolgt zu Beginn jeder Verbindung (Encryption Consulting).

Kann ein SSH-Tunnel die Geschwindigkeit meiner Verbindung verringern?

Ja, durch die zusätzliche Verschlüsselung und den Protokoll-Overhead kann ein SSH-Tunnel die Verbindung spürbar verlangsamen, insbesondere bei großen Datenmengen. Für gelegentliche Verwaltungsaufgaben ist der Unterschied jedoch kaum wahrnehmbar.