[sage] ssh-angriffe haeufen sich ...

Dirk Wetter dirk.wetter at guug.de
Thu Apr 24 18:56:52 CEST 2008 

Moin,

Am 24.04.2008 11:32, Benedikt Stockebrand schrieb:
> Moin allerseits,
> 
> Maximilian Wilhelm <max at rfc2324.org> writes:
> 
>> Am Wednesday, den 23 April hub Dirk Wetter folgendes in die Tasten:
>>
>>> Am 23.04.2008 12:52, Maximilian Wilhelm schrieb:
>>>>> Am besten Ihr stellt eure SSH-Ports um auf etwas anderes als 22 ;)
>>>> Das ist doch auch nur Obscurity.
>>> Das stimmt. Doch die Menge der Scans im Internet ist derzeit halt dumm,
>>> daher sind auch "dumme Gegenmaßnahmen" manchmal ein probates Mittel,
>>> wenn man z.B. die Passwortqualität nicht im Griff hat.
>> Naja...
>> Ich seh schon, wir haben andere Paradigmen.
> 
> auch wenn das jetzt Gefahr läuft, einen Flame War loszutreten: Wenn
> ich durch einen anderen Port oder ähnliches frühzeitig sicherzustelle,
> dass nur noch ein Bruchteil solcher Script-Angriffe stattfindet, dann
> reduziere ich damit die Anzahl von Fehlalarmen

endlich einer, der mich versteht :-)

>, das heisst ich habe
> mehr Zeit, um mich um ernstzunehmendere Angriffe zu kümmern.

... oder ein schönes Buch zu lesen :-)

Also ich weiß manchmal (darauf war ja auch Andreas' Frage
bezogen), ob ich mich um jeden Einbruchsversuch kümmern soll. Das
würde spätestens bei einem mitteleren Hoster nicht mehr so skalieren.
Was sind "ernstzunehmendere" oder anders gefragt: Die Frage ist, wie
man so etwas richtig automatisiert ohne Arbeitszeit zu verschwenden.

> Wenn ich das tatsächlich auch tue, dann ist das für die Sicherheit
> tatsächlich hilfreich.
> 
> @Dirk: Wenn ich die Passwortqualität nicht im Griff habe, 

In manchen Firmen ist das halt so :-) Einer ist für Patches zuständig,
andere für Passwort-Policies, für das Enforcement wieder andere,
im allerschlimmsten Fall der User selber.

> dann ist Ssh
> ein ziemlich gefährliches Spielzeug.  Ich kann nicht oder nur mit
> extremem Aufwand in die verschlüsselten Verbindungen reinsehen;

Wenn man den privaten Schüssel hat, prinzipiell schon. Und meistens
ist der Endpunkt (SSHD) ja unter Kontrolle, wenn man einem Verdacht
nachgehen muss.

> wenn
> also ein Angriff auf die Ssh erfolgreich ist, dann habe ich einen
> unerwünschten Besucher im Netz, ohne dass ich es so einfach erkennen
> kann.  

Ein Problem z.B. von SSHD-Backdoors bei Rechnern, die owned sind.. ;-)




Best / Schöne Grüße,

	Dirk

--
Dr. Dirk Wetter, GUUG e.V.                 http://www.guug.de
GUUG-Frühjahrsfachgespräch 2008            http://www.guug.de/ffg
OpenSolaris Developer Conference           http://www.osdevcon.org
GUUG Hamburg                               http://www.guug.de/lokal/hamburg

OpenPGP key fingerprint: 2AD6 BE0F 9863 C82D 21B3 64E5 C967 34D8 11B7 C62F

More information about the SAGE mailing list