Unterschiede zwischen den Revisionen 5 und 6
Revision 5 vom 2009-07-15 14:43:03
Größe: 2019
Autor: jbrandt
Kommentar:
Revision 6 vom 2009-07-15 15:07:07
Größe: 2064
Autor: jbrandt
Kommentar:
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 7: Zeile 7:
Schutzmaßnahmen traditioneller Art laufen mittlerweile ins Leere, weil sie nur dazu geeignet sind,<<BR>> wiederholte Angriffe von einzelnen [[http://de.wikipedia.org/wiki/Internet_Protocol|IP-Adressen]] aus zu erkennen und zu verhindern,<<BR>> die meisten Angriffe jetzt aber verteilt von [[http://de.wikipedia.org/wiki/Botnet|Bot-Netzen]] aus erfolgen. Schutzmaßnahmen traditioneller Art laufen mittlerweile ins Leere, weil sie nur dazu geeignet sind,<<BR>> wiederholte Angriffe von einzelnen [[http://de.wikipedia.org/wiki/Internet_Protocol|IP-Adressen]] aus zu erkennen und zu verhindern,<<BR>> die meisten Angriffe jetzt aber von weltweit verteilten [[http://de.wikipedia.org/wiki/Botnet|Bot-Netzen]] aus erfolgen.
Zeile 16: Zeile 16:
Das alleine schon deswegen, weil sich die Situation in der Zukunft sicherlich nicht verbessern wird<<BR>>
und SSH mit seinen vielfältigen Anwendungsmöglichkeiten der einzige Dienst im sich entwickelnden<<BR>> Sicherheitskonzept des Fachbereichs sein wird, der nicht standardmäßig
der Eingangsfilterung durch eine Firewall unterliegt.		 Das alleine schon deswegen, weil sich die Situation in der Zukunft sicherlich nicht verbessern wird <<BR>> 
und SSH mit seinen vielfältigen Anwendungsmöglichkeiten der einzige Dienst im sich entwickelnden<<BR>> Netzwerk-Sicherheitskonzept des Fachbereichs sein wird, der nicht standardmäßig
der Eingangsfilterung<<BR>> durch eine Firewall unterliegt.
Zeile 22: Zeile 22:
Innerhalb des Bereiches der von FB3-Technikern administrierten Mac- und Unix-Rechner wird sich für normale Nutzer nichts ändern, hier kommt ohnehin jetzt schon Hostbased-Authentifizierung zum Einsatz. Innerhalb des Bereiches der von FB3-Technikern administrierten "trusted" Mac- Linux- und Unix-Rechner wird sich für normale Nutzer nichts ändern, hier kommt ohnehin jetzt schon Hostbased-Authentifizierung zum Einsatz.

Abschaltung der Passwort-Authentifizierung von SSH

Das Sicherheitsproblem

Beobachtet werden fortwährende Angriffe auf den SSH-Dienst mit dem Ziel,
durch Brute-Force-Attacken und Wörterbuchangriffe an die Passwörter von Nutzern zu gelangen.

Schutzmaßnahmen traditioneller Art laufen mittlerweile ins Leere, weil sie nur dazu geeignet sind,
wiederholte Angriffe von einzelnen IP-Adressen aus zu erkennen und zu verhindern,
die meisten Angriffe jetzt aber von weltweit verteilten Bot-Netzen aus erfolgen.

Gefährdet werden durch diese Angriffe nicht nur unmittelbar die informationstechnische Vertraulichkeit und Identität
aller Nutzer und ihrer Daten, sondern mittelbar auch die Sicherheit aller vernetzten Rechner des FB3
und der darauf laufenden Dienste.

Die Konsequenz

In der Folge dieser Entwicklung sind wir leider gezwungen, die Passwort-Authentifizierung für den SSH-Zugang am FB3 zu deaktivieren.

Das alleine schon deswegen, weil sich die Situation in der Zukunft sicherlich nicht verbessern wird
und SSH mit seinen vielfältigen Anwendungsmöglichkeiten der einzige Dienst im sich entwickelnden
Netzwerk-Sicherheitskonzept des Fachbereichs sein wird, der nicht standardmäßig der Eingangsfilterung
durch eine Firewall unterliegt.

Auswirkungen

Innerhalb des Bereiches der von FB3-Technikern administrierten "trusted" Mac- Linux- und Unix-Rechner wird sich für normale Nutzer nichts ändern, hier kommt ohnehin jetzt schon Hostbased-Authentifizierung zum Einsatz.

Für alle anderen Zugangswege ergibt sich die Notwendigkeit des Umstiegs auf Public-Key-Kryptographie.

SSH/Abschaltung_Password-Authentication (zuletzt geändert am 2009-07-22 11:15:55 durch jbrandt)