|
Größe: 2019
Kommentar:
|
← Revision 15 vom 2009-07-22 11:15:55 ⇥
Größe: 3505
Kommentar:
|
| Gelöschter Text ist auf diese Art markiert. | Hinzugefügter Text ist auf diese Art markiert. |
| Zeile 1: | Zeile 1: |
| = Abschaltung der Passwort-Authentifizierung von SSH = | ## page was renamed from SSH_Abschaltung_Password-Authentication == Abschaltung der Passwort-Authentifizierung von SSH == Von den drei hier am FB3 möglichen SSH-Authentifizierungsmethoden müssen wir in Zukunft leider auf eine verzichten.<<BR>> Über Gründe und Auswirkungen soll der nachfolgende Text informieren. |
| Zeile 3: | Zeile 5: |
| == Das Sicherheitsproblem == | === Das Sicherheitsproblem === |
| Zeile 5: | Zeile 7: |
| Beobachtet werden fortwährende Angriffe auf den [[http://de.wikipedia.org/wiki/Secure_Shell|SSH-Dienst]] mit dem Ziel,<<BR>> durch [[http://de.wikipedia.org/wiki/Brute-Force-Methode|Brute-Force-Attacken]] und [[http://de.wikipedia.org/wiki/Wörterbuchangriff|Wörterbuchangriffe]] an die Passwörter von Nutzern zu gelangen. | Beobachtet werden fortwährende Angriffe auf den [[http://de.wikipedia.org/wiki/Secure_Shell|SSH-Dienst]] mit dem Ziel, durch [[http://de.wikipedia.org/wiki/Brute-Force-Methode|Brute-Force-Attacken]] und [[http://de.wikipedia.org/wiki/Wörterbuchangriff|Wörterbuchangriffe]] an die Passwörter von Nutzern zu gelangen. |
| Zeile 7: | Zeile 9: |
| Schutzmaßnahmen traditioneller Art laufen mittlerweile ins Leere, weil sie nur dazu geeignet sind,<<BR>> wiederholte Angriffe von einzelnen [[http://de.wikipedia.org/wiki/Internet_Protocol|IP-Adressen]] aus zu erkennen und zu verhindern,<<BR>> die meisten Angriffe jetzt aber verteilt von [[http://de.wikipedia.org/wiki/Botnet|Bot-Netzen]] aus erfolgen. | Schutzmaßnahmen traditioneller Art laufen mittlerweile ins Leere, weil sie nur dazu geeignet sind, wiederholte Angriffe von einzelnen Adressen aus zu erkennen und zu verhindern, die meisten Angriffe jetzt aber von weltweit verteilten [[http://de.wikipedia.org/wiki/Botnet|Bot-Netzen]] aus erfolgen. |
| Zeile 9: | Zeile 11: |
| Gefährdet werden durch diese Angriffe nicht nur unmittelbar die [[http://de.wikipedia.org/wiki/Grundrecht_auf_Gewährleistung_der_Vertraulichkeit_und_Integrität_informationstechnischer_Systeme|informationstechnische Vertraulichkeit und Identität]]<<BR>> aller Nutzer und ihrer Daten, sondern mittelbar auch die Sicherheit aller vernetzten Rechner des FB3<<BR>> und der darauf laufenden Dienste. | Gefährdet werden durch diese Angriffe nicht nur unmittelbar die [[http://de.wikipedia.org/wiki/Grundrecht_auf_Gewährleistung_der_Vertraulichkeit_und_Integrität_informationstechnischer_Systeme|informationstechnische Vertraulichkeit und Identität]] aller Nutzer und ihrer Daten, sondern mittelbar auch die Sicherheit der vernetzten Rechner des FB3 und der darauf laufenden Dienste. |
| Zeile 12: | Zeile 14: |
| == Die Konsequenz == | === Die Konsequenz === |
| Zeile 14: | Zeile 16: |
| In der Folge dieser Entwicklung sind wir leider gezwungen, die Passwort-Authentifizierung für den SSH-Zugang am FB3 zu deaktivieren. | In der Folge dieser Entwicklung sind wir leider gezwungen, die [[http://de.wikipedia.org/wiki/Kennwort|Passwort]] ^_^[[http://de.wikipedia.org/wiki/Authentifizierung|Authentifizierung]] für den SSH-Zugang am FB3 zu deaktivieren. |
| Zeile 16: | Zeile 18: |
| Das alleine schon deswegen, weil sich die Situation in der Zukunft sicherlich nicht verbessern wird<<BR>> und SSH mit seinen vielfältigen Anwendungsmöglichkeiten der einzige Dienst im sich entwickelnden<<BR>> Sicherheitskonzept des Fachbereichs sein wird, der nicht standardmäßig der Eingangsfilterung durch eine Firewall unterliegt. |
Das alleine schon deswegen, weil sich die oben beschriebene Situation in der Zukunft sicherlich nicht verbessert und SSH mit seinen vielfältigen Anwendungsmöglichkeiten der einzige Dienst im sich entwickelnden Netzwerk-Sicherheitskonzept des Fachbereichs sein wird, der nicht standardmäßig der Eingangsfilterung durch eine [[http://de.wikipedia.org/wiki/Firewall|Firewall]] unterliegt. |
| Zeile 20: | Zeile 22: |
| == Auswirkungen == | === Auswirkungen === |
| Zeile 22: | Zeile 24: |
| Innerhalb des Bereiches der von FB3-Technikern administrierten Mac- und Unix-Rechner wird sich für normale Nutzer nichts ändern, hier kommt ohnehin jetzt schon Hostbased-Authentifizierung zum Einsatz. | Innerhalb der Sicherheitsdomäne des Fachbereichs (siehe dazu [ [[http://www.informatik.uni-bremen.de/t/policy/it-schutz.ps|*]] ]) mit ihren sogenannten ''"trusted hosts"'' wird sich für normale Nutzer nichts ändern, hier kommt schon seit langem die passwortfreie, kryptographisch unterstützte Hostbased-Authentifizierung zum Einsatz.<<BR>> (Gemeint sind hiermit die Mac- Linux- und Unix-Rechner in den zentralen Pools und die von den Technikern administrierten entsprechenden Rechner in den Arbeitsgruppen). |
| Zeile 25: | Zeile 29: |
| ergibt sich die Notwendigkeit des Umstiegs auf Public-Key-Kryptographie. | ergibt sich die Notwendigkeit des Umstiegs auf [[http://de.wikipedia.org/wiki/Public-Key-Authentifizierung|Public-Key-Authentifizierung]]. (!) __Dieser Umstieg kann schon jetzt und sollte sogar frühzeitig vollzogen werden, um zum Zeitpunkt der Abschaltung nicht in Zugzwang zu geraten.__ Was dafür zu tun ist, läßt sich den Dokumentationen [[SSH/Putty_PubKey_Config|Putty: Public Key Authentication konfigurieren]] '''für Windows'''<<BR>> bzw. [[SSH/OpenSSH_PubKey_Config|OpenSSH: Public Key Authentication konfigurieren]] '''für alle anderen Betriebssysteme''' entnehmen. Einfache Merkhilfe: Wenn derzeit die Abfrage<<BR>> {{{Password:}}}<<BR>> beim Login von "draußen" erscheint,<<BR>> wird dieser Zugang nach der Umstellung nicht mehr funktionieren. Lautet die Abfrage jedoch<<BR>> {{{Enter passphrase for key '<Name>':}}},<<BR>> dann ist schon alles Nötige getan. |
Abschaltung der Passwort-Authentifizierung von SSH
Von den drei hier am FB3 möglichen SSH-Authentifizierungsmethoden müssen wir in Zukunft leider auf eine verzichten.
Über Gründe und Auswirkungen soll der nachfolgende Text informieren.
Das Sicherheitsproblem
Beobachtet werden fortwährende Angriffe auf den SSH-Dienst mit dem Ziel, durch Brute-Force-Attacken und Wörterbuchangriffe an die Passwörter von Nutzern zu gelangen.
Schutzmaßnahmen traditioneller Art laufen mittlerweile ins Leere, weil sie nur dazu geeignet sind, wiederholte Angriffe von einzelnen Adressen aus zu erkennen und zu verhindern, die meisten Angriffe jetzt aber von weltweit verteilten Bot-Netzen aus erfolgen.
Gefährdet werden durch diese Angriffe nicht nur unmittelbar die informationstechnische Vertraulichkeit und Identität aller Nutzer und ihrer Daten, sondern mittelbar auch die Sicherheit der vernetzten Rechner des FB3 und der darauf laufenden Dienste.
Die Konsequenz
In der Folge dieser Entwicklung sind wir leider gezwungen, die Passwort _Authentifizierung für den SSH-Zugang am FB3 zu deaktivieren.
Das alleine schon deswegen, weil sich die oben beschriebene Situation in der Zukunft sicherlich nicht verbessert und SSH mit seinen vielfältigen Anwendungsmöglichkeiten der einzige Dienst im sich entwickelnden Netzwerk-Sicherheitskonzept des Fachbereichs sein wird, der nicht standardmäßig der Eingangsfilterung durch eine Firewall unterliegt.
Auswirkungen
Innerhalb der Sicherheitsdomäne des Fachbereichs (siehe dazu [ * ]) mit ihren sogenannten "trusted hosts" wird sich für normale Nutzer nichts ändern, hier kommt schon seit langem die passwortfreie, kryptographisch unterstützte Hostbased-Authentifizierung zum Einsatz.
(Gemeint sind hiermit die Mac- Linux- und Unix-Rechner in den zentralen Pools und die von den Technikern administrierten entsprechenden Rechner in den Arbeitsgruppen).
Für alle anderen Zugangswege ergibt sich die Notwendigkeit des Umstiegs auf Public-Key-Authentifizierung.
Dieser Umstieg kann schon jetzt und sollte sogar frühzeitig vollzogen werden, um zum Zeitpunkt der Abschaltung nicht in Zugzwang zu geraten.
Was dafür zu tun ist, läßt sich den Dokumentationen Putty: Public Key Authentication konfigurieren für Windows
bzw. OpenSSH: Public Key Authentication konfigurieren für alle anderen Betriebssysteme entnehmen.
Einfache Merkhilfe:
Wenn derzeit die Abfrage
Password:
beim Login von "draußen" erscheint,
wird dieser Zugang nach der Umstellung nicht mehr funktionieren.
Lautet die Abfrage jedoch
Enter passphrase for key '<Name>':,
dann ist schon alles Nötige getan.