Hi,
seit einigen Wochen geistert das *Gerücht* herum, dass es wohl irgendwie eine Verwundbarkeit für aktuelle openssh Versionen gibt. Alles nur ein Gerücht, will das nicht ankurbeln. Aber einzig und allein einer S/W zu vertrauen ist u. U. nicht gut.
Deshalb folgende Frage: Welche mehrstufigen Login-Systeme verwendet Ihr, habt ihr mal probiert oder mal drüber nachgedacht?
Was mir so einfällt: * ssh/telnet mit SSL * Portknocking (man sendet eine bestimmte Kombination an Paketen, darauf hin geht z. B. Port 22 auf) * VPN-Tunnel (also nicht SSL) + ssh/telnet
Gruß,
Frank
Hi Frank,
On Tue, Feb 10, 2004 at 11:41:17 +0100, Frank Becker wrote:
Deshalb folgende Frage: Welche mehrstufigen Login-Systeme verwendet Ihr, habt ihr mal probiert oder mal dr?ber nachgedacht?
[...]
- Portknocking (man sendet eine bestimmte Kombination an Paketen, darauf hin geht z. B. Port 22 auf)
Das wollte ich schon immer mal testen, aber dummerweise hat der Tag nur 24 Stunden... cd00r.c erscheint mir ein vielversprechender Ansatz. (siehe www.phenoelit.de)
bye, Chris
Christian Perle chris@linuxinfotag.de wrote:
Hi Frank,
On Tue, Feb 10, 2004 at 11:41:17 +0100, Frank Becker wrote:
Deshalb folgende Frage: Welche mehrstufigen Login-Systeme verwendet Ihr, habt ihr mal probiert oder mal dr?ber nachgedacht?
[...]
- Portknocking (man sendet eine bestimmte Kombination an Paketen, darauf hin geht z. B. Port 22 auf)
Das wollte ich schon immer mal testen, aber dummerweise hat der Tag nur 24 Stunden... cd00r.c erscheint mir ein vielversprechender Ansatz. (siehe www.phenoelit.de)
Hallo!
Oder halt http://www.portknocking.org/view/download .
Mfg, Martin
Martin Weissbach [2004-02-10, 12:11 +0100]:
Hi,
Oder halt http://www.portknocking.org/view/download .
Das ist so, wie ich es sicher auch gebaut hätte ;) Perl-Script, dass FW-Logs koninuierlich parst ...
Von Christians Link kommt man zu http://cmn.listprojects.darklab.org/ sieht ausgereifter aus.
Gute Beschreibung auch hier: http://www.linuxsecurity.com/feature_stories/feature_story-149.html
Werd ich heute Abend mal testen...
Gruß,
Frank
On Tue, Feb 10, 2004 at 01:08:39PM +0100, Frank Becker wrote:
Martin Weissbach [2004-02-10, 12:11 +0100]:
Hi,
Oder halt http://www.portknocking.org/view/download .
Das ist so, wie ich es sicher auch gebaut hätte ;) Perl-Script, dass FW-Logs koninuierlich parst ...
Oh gott :-)
wie wär's mit einem SSL-Webfrontend, auf dem man sich anmeldet mit username und passwort worauf dann der port 22 für diese eine IP freigeschaltet wird?
Frank Becker [2004-02-10, 11:08 +0100]: Hi,
Oder halt http://www.portknocking.org/view/download .
Bin über noch 'ne Implementation gestolpert: http://www.zeroflux.org/knock/
(Gibt dort auch .debs)
Gruß,
Frank
Once upon a time, I heard Frank Becker say:
Was mir so einfällt:
- ssh/telnet mit SSL
- Portknocking (man sendet eine bestimmte Kombination an Paketen, darauf hin geht z. B. Port 22 auf)
- VPN-Tunnel (also nicht SSL) + ssh/telnet
Was ist an "Portknocking" so toll? Es kann unter gängigen Sicherheits- annahmen abgehört und reproduziert werden.
SSH und VPN taugen, wenn man den eigenen Laptop unter fremden IPs betreibt, also dem Rechner zu Hause aus der Entfernung ein Geheimnis zeigen kann, was den Zugang authorisiert.
Nutzt man nicht eigene Hardware aus der Entfernung, dann sollte man tunlichst jedes Geheimnis nur einmal verwenden bzw. auf dem Server zu Hause nur einmal zulassen. Vorausgesetzt, die entfernte Maschine arbeitet für die Dauer einer Sitzung zuverlässig.
Hintereinanderschaltungen ergänzen sich normalerweise im positiven Sinne, sofern man dann nicht gezwungen ist, mit einem Aktenkoffer voller Geheimnisse durch die Gegend zu laufen.
Hej så länge.
PS: Ich habe mir die Links zu Portknocking nicht angesehen, deswegen bitte grundlegende Irrtümer aufklären!
Stefan Berthold [2004-02-10, 17:33 +0100]:
Hi,
Was ist an "Portknocking" so toll? Es kann unter gängigen Sicherheits- annahmen abgehört und reproduziert werden.
Ich hatte nach Konzepten gefragt. Wenn das jemand so implementiert, dass es abgehört werden kann, replay-Attacken funktionieren, dann taugt die Implementation nur bedingt.
SSH und VPN taugen, wenn man den eigenen Laptop unter fremden IPs betreibt, also dem Rechner zu Hause aus der Entfernung ein Geheimnis zeigen kann, was den Zugang authorisiert.
Mir geht es um potentielle Schwachstellen in Implementationen oder auch im Protokoll. Deshalb interessiere ich mich für Erfahrungen, Ideen oder Gedanken für mehrstufige Strategien. Klingt kompliziert. Was ich meine, wenn es einen openssh exploit gibt, will ich Zeit zum patchen haben, ohne dass jemand unerlaubten Zugriff auf das System bekommt. Diese Strategie wird allg. angewandt.
Hintereinanderschaltungen ergänzen sich normalerweise im positiven Sinne, sofern man dann nicht gezwungen ist, mit einem Aktenkoffer voller Geheimnisse durch die Gegend zu laufen.
:)
PS: Ich habe mir die Links zu Portknocking nicht angesehen, deswegen bitte grundlegende Irrtümer aufklären!
Was hindert Dich daran "Einmalklopfzeichen" zu verwenden?
Gruß,
Frank
Hej!
Once upon a time, I heard Frank Becker say:
"Portknocking"
Wenn das jemand so implementiert, dass es abgehört werden kann, replay-Attacken funktionieren, dann taugt die Implementation nur bedingt.
Ich hatte es so verstanden. Dennoch: Das "Protokoll" ist verbindungslos, meint, daß ein Logdatei-lesender Daemon bei mir kaum die Chance hätte nacheinander die Klopfzeichen zu erkennen, ohne daß dazwischen irgendeiner meiner netten Wohnheimnachbarn nicht auch an irgendeinen meiner Ports rüttelt.
Muß ich es mir dann zeitabhängig und fehlertollerant vorstellen? Das wird dann aber ziemlich schwammig bei der Erkennung und Sicherheits- bewertung, oder?
Was ich meine, wenn es einen openssh exploit gibt, will ich Zeit zum patchen haben, ohne dass jemand unerlaubten Zugriff auf das System bekommt.
Klar. Dann ist Portknocking immernoch sehr schlecht zu bewerten und der erzielte Sicherheitsvorteil womöglich weit hinter dem, was man sich davon erwartet. Das kommt ja auch ein bißchen darauf an, ob Du nur mit Automaten als Angreifer rechnest, oder ob Du schon Leute kennst, die ein gewisses Verlangen empfinden, konkret Deinen Rechner zu manipulieren. Für Paranoirotiker: Vielleicht kennst Du sie nur noch nicht?
Was hindert Dich daran "Einmalklopfzeichen" zu verwenden?
Die Experten hier im Wohnheim hindert niemand daran, in einer Sekunde zehn bis zwanzig Anfragen allein an meine Firewall zu stellen. Das ist mit etwas sportlichen Einsatz sicherlich lange nicht das Ende der Fahnenstange.
Wenn das ausreichend viele Angreifer tun, bekommst Du indeterministische Muster in Deinen Firewall-Logs -- man muß eben ab und zu mal nachfragen, ob der gewünschte Port inzwischen schon die Verbindung annimmt.
... nur mein Versuch einer Bewertung.
Hej så länge.
Am Di, 2004-02-10 um 17.28 schrieb Stefan Berthold:
Was ist an "Portknocking" so toll? Es kann unter gängigen Sicherheits- annahmen abgehört und reproduziert werden.
Klar kann man es abhören, nur bringt es dir bei den meisten Varianten der Portknocking-Methode nichts.
Wie Frank schon sagt bringt, kommt es auf die Implemenation an. Wenn ich nun in die Sequenz verschlüsselt die IP des Clients mitsende, für den der Port geöffnet werden soll, ist es demjenigen am Ende egal ob du nun die Sequenz mitsniffst.
cu & thx Turbo24prg
Am Mo, 16. Feb 2004 07:57:19 +0100, schrieb Bastian Müller:
Am Di, 2004-02-10 um 17.28 schrieb Stefan Berthold: Wie Frank schon sagt bringt, kommt es auf die Implemenation an. Wenn ich nun in die Sequenz verschlüsselt die IP des Clients mitsende, für den der Port geöffnet werden soll, ist es demjenigen am Ende egal ob du nun die Sequenz mitsniffst.
Das stimmt so nicht ganz. Er kann immer noch die echte IP spoofen und Pakete abfangen, wenn sie eh bei ihm vorbeikommen. Also bleibt nur der Weg über Einmalschlüssel oder echte Einmaldaten+Verschlüsselung.
Tobias
Am Di, 2004-02-17 um 17.50 schrieb Tobias Schlemmer:
Am Mo, 16. Feb 2004 07:57:19 +0100, schrieb Bastian Müller:
Am Di, 2004-02-10 um 17.28 schrieb Stefan Berthold: Wie Frank schon sagt bringt, kommt es auf die Implemenation an. Wenn ich nun in die Sequenz verschlüsselt die IP des Clients mitsende, für den der Port geöffnet werden soll, ist es demjenigen am Ende egal ob du nun die Sequenz mitsniffst.
Das stimmt so nicht ganz. Er kann immer noch die echte IP spoofen und Pakete abfangen, wenn sie eh bei ihm vorbeikommen. Also bleibt nur der Weg über Einmalschlüssel oder echte Einmaldaten+Verschlüsselung.
Das versteh ich irgendwie nicht ganz. Ich muss ehrlich sagen, dass ich am Anfang nicht ganz verstanden hatte, wie das im Prinzip funktioniert.
Unter [1] findet man eine sehr gute Erklärung zu Portknocking. Ich rate jedem der das interessant findet, das mal durchzulesen, hat mir jedenfalls 'ne Menge Fragen erspart ...
cu & thx Turbo24prg
[1] http://www.portknocking.org/docs/wcsf2003.pdf
lug-dd@mailman.schlittermann.de