[WLANtalk] Wie sicher ist SSH?
Bernd Kalbfuss-Zimmermann
kalbfuss at gmx.net
Sa Jan 3 10:11:58 CET 2015
Stille? War meine Frage so naiv, dass sich niemand die Müher einer Antwort
machen möchte? Oder herrscht einfach nur allgemeine Ratlosigkeit? Ich habe
mal ein wenig recherchiert und die folgenden Maßnahmen gefunden, um SSH
gegen Angriffe zu härten:
- Direkten Login von root komplett sperren
- Passwortauthentifizierung komplett sperren
- SSHv2-Modus erzwingen
- Mäßig sichere "Ciphers" deaktivieren (AES bevorzugen)
- RSA-Schlüssel (mind 2048 Bit) gegenüber DSA bevorzugen
- Login auf bestimmte Benutzer beschränken
- Login auf bestimmte Hosts beschränken (falls möglich)
- Fail2Ban (oder ähnliche Software) installieren, um "Brute Force"-Attacken
zu unterbinden
- Anderen Port als 22 verwenden
- Log-Dateien regelkmäßig inspizieren
Strukturelle Schwächen oder gar "Backdoors" kann man damit natürlich nicht
entschärfen. Meinungen?
LG,
Bernd
Am 31. Dezember 2014 08:35:07 schrieb "Bernd Kalbfuss-Zimmermann"
<kalbfuss at gmx.net>:
> Moin miteinander!
>
> In den letzten Tagen gab es ja mal wieder einen Schwung an
> Horrornachrichten über die technischen Fähigkeiten der NSA bzgl. der
> Aushebelung von kyptographischen Verfahren (siehe z.B. Der Spiegel [1]).
> Wobei sich die meisten Artikel inhaltlich sehr ähneln und wenig im Detail
> beschreiben.
>
> Zu meiner Überraschung war unter den Diensten, welche von der NSA geknackt
> werden können, auch SSH zu finden. Wenn das stimmt, dann wäre praktisch
> jeder Server infiltrierbar. Wahrlich keine schöne Vorstellung. Ich denke da
> vor allem an unsere zentralen Gateways, welche sich hervorragend für das
> Ausspähen aller Freifunker eignen.
>
> Ebenfalls sehr problematisch ist aus meiner Sicht die beschriebene
> Aushebelung von SSL/TLS, da viele Passwörter in solchen verschlüsselten
> Verbindungen im Klartext übertragen werden. Insbesondere Web-basierte
> Administrationsoberflächen öffnen hier Tür und Tor.
>
> Leider habe ich noch keine konkreten Angaben dazu gefunden, wie SSH
> ausgehebelt werden kann. Im Spiegel findet man den Link [2] auf eine
> Präsentation. Diese ist jedoch (zumindest für mich) wenig aufschlussreich.
>
> Weiß jemand von euch mehr? Gab es hierzu eventuell auf dem 31C3 zusätzliche
> Informationen? Mich interessiert primär, wie ich mich gegen Angriffe auf
> SSH schützen kann - bzw. falls dies nicht möglich ist - welche Alternativen
> bleiben.
>
> Allgemeiner: Was können wir tun, um unsere Freifunknetze gegen Überwachung
> zu schützen? Angesichts der ungeheuren Ausmaße des Überwachungsapparates
> halte ich entsprechende Bestrebungen durch Nachrichtendienste für durchaus
> realistisch. Gab es hierzu schon mal einen Workshop? Falls nicht, wäre es
> aus meiner Sicht an der Zeit. Ich organisiere diesen gerne in Weil am
> Rhein, sofern die Bereitschaft in den südlichsten Zipfel der Republik zu
> kommen vorhanden ist.
>
> LG,
>
> Bernd
>
> [1]
> http://www.spiegel.de/netzwelt/netzpolitik/snowden-dokument-so-unterminiert-die-nsa-die-sicherheit-des-internets-a-1010588.html
> [2] http://www.spiegel.de/media/media-35515.pdf
>
>
> _______________________________________________
> WLANtalk mailing list
> WLANtalk at freifunk.net
> Abonnement abbestellen? ->
> http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net
>
> Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung
> unter http://freifunk.net/mailinglisten
Mehr Informationen über die Mailingliste WLANtalk