[WLANtalk] Wie sicher ist SSH?

Markus Schräder augsburgfreifunk at priv.de
Sa Jan 3 11:54:42 CET 2015 

Hallo Bernd,

es gibt, wie beim SSL auch, grundsätzlich die Möglichkeit mit
man-in-the-middle anzugreifen. Bei SSH kann man einem unvorsichtigen
User allerdings auch sein Passwort im Plaintext abzunehmen und nicht nur
seine Session übernehmen. Die Schwachstelle ist wie immer der User, der
erkennen muß daß eine Warnung bezüglich Schlüsselmaterial, hier der
Hostkey, nicht einfach ignoriert werden darf. Bei der
Erstkontaktaufnahme muss auch der Hostkey überprüft werden, was man hier
akzeptiert wird automatisiert für immer als wahr angeommen. Einem
dauerhaft als man-in-the-middle platzierter Angreifer kann man es hier
potentiell sehr einfach machen. Man sollte auch niemals seine Passwörter
bei einem Server durchprobieren bei dem man sich nicht 100%ig sicher ist
dass der Hostkey stimmt, da die eingegenen Passworter beim SSH-Server
immer im Plaintext ankommen. Man sollte sich selbst wenn der Hostkey
stimmt überlegen, ob man dem Inhaber seine Passwörter wirklich im
Plaintext überlassen möchte. Ansonsten gibst noch so Sachen wie daß man
SSH nicht umkonfiguieren sollte daß es unverschlüsselt oder mit RC4
unterwegs sein darf... Aber das ist wieder eine User geschichte.

Der einzige mir bekannte Weg solchen Problemen grundsätzlich aus dem Weg
zu gehen ist nicht nur SSH in der Version 2 sondern auch nur SSH Keys
der Version zwei zu verwenden. Nur hier wird nämlich man-in-the-middle
grundsätzlich unmöglich. Dafür muss allerdings der Publicteil des
SSH-Key bereits auf dem Server liegen, so daß man ein Henne-Ei Problem
hat wenn man die Kiste nicht selbst physisch erreichen kann.

Ansonsten ist SSH eine gut abgehangene Software, wo schon viele Menschen
nach Bugs gesucht haben und die großen typischen zyklischen Bugwellen
lange durch sind. Ich glaube kaum dass es hier noch viele grundlegende
Fehler zu finden gibt, insbesondere keine offensichtlichen.

Viele Grüße
Markus alias "pRiVi"

> Am 03.01.15 um 10:11 schrieb Bernd Kalbfuss-Zimmermann:
>> Stille? War meine Frage so naiv, dass sich niemand die Müher einer
>> Antwort machen möchte? Oder herrscht einfach nur allgemeine
>> Ratlosigkeit? Ich habe mal ein wenig recherchiert und die folgenden
>> Maßnahmen gefunden, um SSH gegen Angriffe zu härten:
> 
> diese Massnahmen waren an sich schon aktuell vor den letzten Meldungen.
> Ich habe den Vortrag selbst nicht gesehen. Spiegel mag ich als Quelle
> nun nicht vertrauen.
> 
> Was genau gibt es _neu_ zu beachten? Hast du da noch eine technische
> Quelle ausser Vermutungen / Interpretationen vom Spiegel? Denn dann
> bedarf es auch eher neuen Maßnahmen.
> 
> Ahoi
> -mathias
> 
> 
> _______________________________________________
> WLANtalk mailing list
> WLANtalk at freifunk.net
> Abonnement abbestellen? -> http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net
> 
> Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung unter http://freifunk.net/mailinglisten
>

Mehr Informationen über die Mailingliste WLANtalk