|
Größe: 397
Kommentar:
|
Größe: 3156
Kommentar:
|
| Gelöschter Text ist auf diese Art markiert. | Hinzugefügter Text ist auf diese Art markiert. |
| Zeile 1: | Zeile 1: |
| = Abschaltung der Password-Authentifizierung von SSH = | ## page was renamed from SSH_Abschaltung_Password-Authentication = Abschaltung der Passwort-Authentifizierung von SSH = == Das Sicherheitsproblem == Beobachtet werden fortwährende Angriffe auf den [[http://de.wikipedia.org/wiki/Secure_Shell|SSH-Dienst]] mit dem Ziel,<<BR>> durch [[http://de.wikipedia.org/wiki/Brute-Force-Methode|Brute-Force-Attacken]] und [[http://de.wikipedia.org/wiki/Wörterbuchangriff|Wörterbuchangriffe]] an die Passwörter von Nutzern zu gelangen. Schutzmaßnahmen traditioneller Art laufen mittlerweile ins Leere, weil sie nur dazu geeignet sind,<<BR>> wiederholte Angriffe von einzelnen [[http://de.wikipedia.org/wiki/Internet_Protocol|IP-Adressen]] aus zu erkennen und zu verhindern,<<BR>> die meisten Angriffe jetzt aber von weltweit verteilten [[http://de.wikipedia.org/wiki/Botnet|Bot-Netzen]] aus erfolgen. Gefährdet werden durch diese Angriffe nicht nur unmittelbar die [[http://de.wikipedia.org/wiki/Grundrecht_auf_Gewährleistung_der_Vertraulichkeit_und_Integrität_informationstechnischer_Systeme|informationstechnische Vertraulichkeit und Identität]]<<BR>> aller Nutzer und ihrer Daten, sondern mittelbar auch die Sicherheit aller vernetzten Rechner des FB3<<BR>> und der darauf laufenden Dienste. |
| Zeile 4: | Zeile 13: |
| == Die Konsequenz == | |
| Zeile 5: | Zeile 15: |
| Beobachtet werden ständige verteilte Angriffe auf den SSH-Dienst mit dem Ziel, durch lexikalische Scans an die Passwörter von Accounts zu gelangen. |
In der Folge dieser Entwicklung sind wir leider gezwungen, die [[http://de.wikipedia.org/wiki/Kennwort|Passwort]] ^_^[[http://de.wikipedia.org/wiki/Authentifizierung|Authentifizierung]]<<BR>> für den SSH-Zugang am FB3 zu deaktivieren. |
| Zeile 10: | Zeile 17: |
| Schutzmaßnahmen traditioneller Art greifen mittlerweile ins Leere, weil die meisten Angriffe nicht mehr über einzelne IP's sondern verteilt von Bot-Netzen aus erfolgen. |
Das alleine schon deswegen, weil sich die oben beschriebene Situation in der Zukunft sicherlich nicht verbessert<<BR>> und SSH mit seinen vielfältigen Anwendungsmöglichkeiten der einzige Dienst im sich entwickelnden<<BR>> Netzwerk-Sicherheitskonzept des Fachbereichs sein wird, der nicht standardmäßig der Eingangsfilterung<<BR>> durch eine [[http://de.wikipedia.org/wiki/Firewall|Firewall]] unterliegt. == Auswirkungen == Innerhalb des Bereiches der von FB3-Technikern administrierten ''"trusted"'' Mac- Linux- und Unix-Rechner<<BR>> wird sich für normale Nutzer nichts ändern, hier kommt ohnehin jetzt schon kryptographisch unterstützte<<BR>> Hostbased-Authentifizierung zum Einsatz. Für alle anderen Zugangswege ergibt sich die Notwendigkeit des Umstiegs auf [[http://de.wikipedia.org/wiki/Public-Key-Authentifizierung|Public-Key-Authentifizierung]]. Dieser Umstieg kann schon jetzt und sollte frühzeitig vollzogen werden, um zum Zeitpunkt der Umstellung nicht in Zugzwang zu geraten. Was dafür zu tun ist, läßt sich den Dokumentationen<<BR>> [[SSH/Putty_PubKey_Config|Putty: Public Key Authentication konfigurieren]] für '''Windows''' bzw.<<BR>> [[SSH/OpenSSH_PubKey_Config|OpenSSH: Public Key Authentication konfigurieren]] für '''alle anderen Betriebssysteme'''<<BR>> entnehmen. Einfache Merkhilfe: Wenn derzeit die Abfrage<<BR>> {{{Password:}}}<<BR>> beim Login von "draußen" erscheint,<<BR>> wird dieser Zugang nach der Umstellung nicht mehr funktionieren. Lautet die Abfrage jedoch<<BR>> {{{Enter passphrase for key '<Name>':}}},<<BR>> dann ist schon alles Nötige getan. |
Abschaltung der Passwort-Authentifizierung von SSH
Das Sicherheitsproblem
Beobachtet werden fortwährende Angriffe auf den SSH-Dienst mit dem Ziel,
durch Brute-Force-Attacken und Wörterbuchangriffe an die Passwörter von Nutzern zu gelangen.
Schutzmaßnahmen traditioneller Art laufen mittlerweile ins Leere, weil sie nur dazu geeignet sind,
wiederholte Angriffe von einzelnen IP-Adressen aus zu erkennen und zu verhindern,
die meisten Angriffe jetzt aber von weltweit verteilten Bot-Netzen aus erfolgen.
Gefährdet werden durch diese Angriffe nicht nur unmittelbar die informationstechnische Vertraulichkeit und Identität
aller Nutzer und ihrer Daten, sondern mittelbar auch die Sicherheit aller vernetzten Rechner des FB3
und der darauf laufenden Dienste.
Die Konsequenz
In der Folge dieser Entwicklung sind wir leider gezwungen, die Passwort _Authentifizierung
für den SSH-Zugang am FB3 zu deaktivieren.
Das alleine schon deswegen, weil sich die oben beschriebene Situation in der Zukunft sicherlich nicht verbessert
und SSH mit seinen vielfältigen Anwendungsmöglichkeiten der einzige Dienst im sich entwickelnden
Netzwerk-Sicherheitskonzept des Fachbereichs sein wird, der nicht standardmäßig der Eingangsfilterung
durch eine Firewall unterliegt.
Auswirkungen
Innerhalb des Bereiches der von FB3-Technikern administrierten "trusted" Mac- Linux- und Unix-Rechner
wird sich für normale Nutzer nichts ändern, hier kommt ohnehin jetzt schon kryptographisch unterstützte
Hostbased-Authentifizierung zum Einsatz.
Für alle anderen Zugangswege ergibt sich die Notwendigkeit des Umstiegs auf Public-Key-Authentifizierung.
Dieser Umstieg kann schon jetzt und sollte frühzeitig vollzogen werden, um zum Zeitpunkt der Umstellung nicht in Zugzwang zu geraten.
Was dafür zu tun ist, läßt sich den Dokumentationen
Putty: Public Key Authentication konfigurieren für Windows bzw.
OpenSSH: Public Key Authentication konfigurieren für alle anderen Betriebssysteme
entnehmen.
Einfache Merkhilfe:
Wenn derzeit die Abfrage
Password:
beim Login von "draußen" erscheint,
wird dieser Zugang nach der Umstellung nicht mehr funktionieren.
Lautet die Abfrage jedoch
Enter passphrase for key '<Name>':,
dann ist schon alles Nötige getan.