[sage] Und da war es weg, das Passwort

Jens Link jenslink at quux.de
Tue Sep 2 23:07:24 CEST 2008 

Andreas Jellinghaus <aj at dungeon.inka.de> writes:

> guter satz. wir sind aber schon bei recht unwichtigen sachen verschiedener
> meinung. kein wunder, das sich in der IT viel zu wenige "best practice"
> rauskristalisieren. und ohne die wirds auch kaum besser werden.

Das Problem ist IMHO nicht der Mangel an "best practice" sondern eher
der Mangel an Leuten die sich daran halten. Wir koennen uns darauf
einigen, dass es zur "best practice" gehoert verschiedene Passwoerter
auf verschiednen Systemen zu benutzen, seine Systeme auf einem aktuellen
Stand zu halten und verschiedenen Nezte so gut wie moeglich zu trennne. 

IMHO sind Passwortsafes schoen, aber meist mangelt es ja schon an ganz
anderen Stellen:

* Damals, als ich noch so komische Klamotten[1] trug:

  Passwort fuer den HP Drucker == Passwort fuer die Windows-Domaene. Bei
  HP konnte man das Passwort per SNMP auslesen, nein der Community-String
  wurde nicht geaendert. (Die "Experten", die da einen Audit gemacht
  haben, haben das uebrigens nicht gefunden.)
  
  $Consultant der die zentralen Firewalls aufgebaut hat, baut bei uns
  die Windows-Kisten auf. Er braucht einen Treiber, den es nur per FTP
  gibt und will sich verdruecken, weil FTP ja nicht sauber durch die
  Firewall geht. Ich hab ihm dann geholfen. SSH nach Hause (Es ist
  praktisch einen sshd an Port 443 lauschen zu lassen), per FTP die
  Datei gezogen und per SCP die Datei kopiert. Der Mensch hat
  verzweifelt nach der ISDN Karte oder dem DSL Anschluss gesucht.

* An einem Berliner Internet-Exchange

  Best-practice ist es RFC-1918 Netze, default Route, eigene Netze,
  etc. an seinem Border-Router zu blocken, damit man den Kram nicht per
  BGP reinbekommt. Der IX announced 0.0.0.0/0 Man konnte danach sehen,
  wer sich nicht an BCP haelt.

*Bei einem Kunden:
 
  Wir sind hier super sicher. Check Point Firewalls, Cisco Switche,
  NAC-Appliances, Cisco WLAN Kontroller, ....

  Zur Firewall:  Die Firma hatte in den letzten 4 Jahren etwa 4 Admin,
  jeder mit seiner eigenen Namenskonvention. Das Regelweg lag bei > 700
  Regeln. Da eine Aussage ueber den ein- und ausgehenden Traffic zu
  machen wurde zu einem Ratespiel. 

  Der WLAN-Controller: Eigentlich soll sich das Teil um die Steuerung
  der Cisco APs kuemmern. Er funktioniert besser wenn er sowohl ans LAN
  als auch ans Stromnetz angeschlossen ist.

  Die NAC-Appliance: Sollte das boese Gaeste WLAN vom internen Netz
  trennen. Wie ich erkennen konnte, war das ganze so geplant, dass der
  gesamte Gaeste WLAN-Traffic in ein eigenes VLAN kommt und dann an der
  Firewall endet. Eigentlich keinen schlechte Idee, wenn Cisco nicht mal
  in einem Dokument gesagt haette, dass man VLANs nicht ueber den
  (gerouteten) Core transportiert. Also: Die NAC-Kiste spielt ein wenig
  Paketfilter und laesste den restlichen Traffic ins normale Netz. SSH
  gin zu  meinem leidwesen nicht, aber aller Windows-Ports. Auf der
  Kiste lief uebrigens ein FreeBSD, Apache,  MySQL, PHP, ... Das ganze
  seit 1,5 Jahren ohne Update. Die Sicherheits der Clients sollte man
  mit einem Nessuss ueberprufen koennen, aber da gab es ebenfalls keine
  Updates.

  Ach ja, man hat auch einen Pentest gemacht. Das Ergebnis hatte den
  Umfang einer Seite: Host Foo kann gepingt werden, Host Bar nicht....

  Ach so, was die Passworte angeht: Ja, da waren einige Komponenten so
  sicher, dass man erst einige Zeit raten oder zu Password-Recovery
  greifen musste. Sie waren nicht dokumentiert.

*Bei einem anderen Kunden:

 Sicherheit ueberalles. Nur das beste vom besten. Regelmaessiges patchen
 der Windowssysteme. Ja, der Windowssysteme. Ok, von den Linux-Buechsen
 kamen auch mal welche ran, aber der Rest?!

So, und wie helfen mir jetzt verschiedene und komplexe Passwoerter,
welche in einem Password-Safe hinterlegt sind bei den Problemen
weiter. Und was bringen mir diese, wenn ich die Systeme eh auf eine
andere Art viel einfacher angreifen kann. 

Jens, der jetzt wirklich "But we have a firewall" fuer den 25C3
einreichen sollte.

[1] Oliv-schwarz-braun gemischt.
-- 
Berlin, Germany | http://www.quux.de | jabber: jenslink at guug.de
sage at guug Berlin: http://www.guug.de/lokal/berlin/index.html

More information about the SAGE mailing list