Hallo Thorsten,
Am Dienstag 21 September 2004 07:27 schrieb Dr. Thorsten Brandau:
Helga Fischer wrote:
ich habe hier logwatch laufen, das sich netterweise durch meine Logs wühlt und besondere Vorkommnisse meldet.
Unter anderem sowas auf meinen ssh-Port:
Mhh. Also fuer mich sieht das so aus, als wollte sich jemand einloggen. Kann es sein, das du dich per dial-up ans netz anschliesst?
Ja, komplett richtig vermutet.
Es ist gut moeglich, das du evtl. noch bei einem DDNS service eingetragen bist du jemand versucht sich einzuloggen - vielleicht ohne boese absicht.
Naja, ich vermute eher einen Automatismus, weil eigentlich fast kein Tag vergeht, daß da irgendeiner aus China oder sonstwo anklopft.
Der ssh-Port ist auf, weil ich halt gelegentlich mal die Linuxbox von außen her brauche und ein paar Erfahrungen mit Rechnern sammeln will, die so am Leben draußen teilnehmen. (root-Login ist unterbunden und die Passwörter machen auch keinen richtigen Spaß).
das mit dem guest wuerde mir aber zu denken geben. Evtl. solltest du deinen SSHD auf einen anderen port legen.
Irgendwann wird sicher auch dieser Port bemerkt, oder? Außerdem weiß ich nicht, ob es wirklich sinnvoll ist, einen Port 'verstecken' zu wollen. Außerdem sollte die Kiste das doch aushalten können, oder?
Helga
Hallo Helga, was Du da siehst ist der Versuch sich über den Port 22 (ssh) auf Dein System einzuloggen. Diese Vorgehensweise ist dabei Standard. Versucht wird immer sich als admin, guest, test etc. einzuloggen. Die IP's aus dem Log (keine IPv6) lösen nicht sauber auf, daher unknown. Das Problem mit ssh Brute Forcing ist bekannt und nimmt zu. Den ssh Port zu verlegen ist sinnvoll. Das scannen der unpriviledged Ports (ab 1024 aufwärts) dauert halt länger und wird auch oft, jedenfalls bezüglich ssh, nicht versucht. Auf jeden Fall hält es den/die Einbrecher doch ziemlich auf. Gescriptete Versuche kommen zu gar keinem Ergebnis, da diese in den meisten Fällen nur Standardports ausprobieren. Die 'Kiste' hält Angriffe auf die Dauer nur aus, wenn der ssh Daemon sauber gewartet wird (immer die neusten Updates einspielen). Root Login auch nicht erlauben. Als Referenz und zur Information mal hier schauen: http://isc.sans.org/diary.php?date=2004-09-11 Gruss, Nico ********************************************************* Unser aktuelles Veranstaltungsangebot finden Sie unter www.probusiness.de/aktuelles Unsere Veranstaltungen im September 2004: - Technologietage am 15. & 16.09.04 in Dresden und Berlin - Tag der offenen Tür am 21.09.04 in Hannover *********************************************************
Zitat von Nicolas Tinnefeld
Das Problem mit ssh Brute Forcing ist bekannt und nimmt zu.
In der Tat.
Den ssh Port zu verlegen ist sinnvoll.
Nein.
Das scannen der unpriviledged Ports (ab 1024 aufwärts) dauert halt länger
Mit geeigneten Tools ein paar Sekunden.
und wird auch oft, jedenfalls bezüglich ssh, nicht versucht.
Ich würde mich nicht auf die Dummheit von Angreifern verlassen wollen.
Auf jeden Fall hält es den/die Einbrecher doch ziemlich auf.
Ein paar Sekunden lang, ja. "ziemlich" ist allerdings ziemlich übertrieben.
Gescriptete Versuche kommen zu gar keinem Ergebnis, da diese in den meisten Fällen nur Standardports ausprobieren.
Nur wenn die Skripte von ahnungslosen Idioten produziert wurden. Das Verlegen des SSH-Ports ist nichts anderes als ein weiterer Versuch von Security by Obscurity und damit zwangsläufig erfolglos. Stattdessen sollte man lieber schauen, daß der sshd ausreichend restriktiv konfiguriert und regelmäßig upgedatet wird. Login per SSH sollte so wenig Nutzern wie möglich erlaubt sein (und schon gar nicht root), und wenn möglich sollte man zusätzlich zur Password- auch eine Public-Key-Authentifizierung fahren. Auch eine Beschränkung der IP-Adreßbereiche, von denen eingeloggt werden darf, erscheint sinnvoll. Und natürlich müssen die für SSH-Login erlaubten Passwörter ausreichend komplex sein und regelmäßig gewechselt werden. -- Erhard Schwenk Akkordeonjugend Baden-Württemberg - http://www.akkordeonjugend.de k-itx.net Webhosting - http://webhosting.k-itx.net
Hallo. Erhard Schwenk schrieb am 09/21/2004 01:53 PM:
Zitat von Nicolas Tinnefeld
: Das scannen der unpriviledged Ports (ab 1024 aufwärts) dauert halt länger
Mit geeigneten Tools ein paar Sekunden.
Dann wird das vom scanlogd aber sehr schnell erkannt.
Das Verlegen des SSH-Ports ist nichts anderes als ein weiterer Versuch von Security by Obscurity und damit zwangsläufig erfolglos.
Nein, es bietet zumindest zumindest Schutz vor Script-Kiddies mit automatisierten Tools. MfG, Michael.
Zitat von Michael Schachtebeck
Hallo.
Erhard Schwenk schrieb am 09/21/2004 01:53 PM:
Zitat von Nicolas Tinnefeld
: Das scannen der unpriviledged Ports (ab 1024 aufwärts) dauert halt länger
Mit geeigneten Tools ein paar Sekunden.
Dann wird das vom scanlogd aber sehr schnell erkannt.
Ja, und? Was tut der scanlogd dann? Die Netzverbindung trennen? Schlechte Idee, das wäre geradezu eine eingebaute DoS-Attacke. Er könnte maximal Alarm schlagen, aber so schnell, daß Du dann irgendwas sinnvolles tun könntest, wirst Du in der kurzen Zeit kaum reagieren können. Abgesehen davon, daß das bei ssh auf Port 22 nicht anders ist.
Das Verlegen des SSH-Ports ist nichts anderes als ein weiterer Versuch von Security by Obscurity und damit zwangsläufig erfolglos.
Nein, es bietet zumindest zumindest Schutz vor Script-Kiddies mit automatisierten Tools.
Diese automatisierten tools sind schon lange viel zu intelligent, um sich davon noch irgendwie irritieren zu lassen. -- Erhard Schwenk Akkordeonjugend Baden-Württemberg - http://www.akkordeonjugend.de k-itx.net Webhosting - http://webhosting.k-itx.net
Hallo. Nicolas Tinnefeld schrieb am 09/21/2004 01:35 PM:
Die 'Kiste' hält Angriffe auf die Dauer nur aus, wenn der ssh Daemon sauber gewartet wird (immer die neusten Updates einspielen). Root Login auch nicht erlauben.
Noch wichtiger sind in dem Fall sichere Paßwörter. Ein 6 Zeichen langes Paßwort, das so auch noch in einem Wörterbuch vorkommt, ist schnell geknackt - wenn das Paßwort hingegen mindestens 12 Zeichen mit mehreren Ziffern und Sonderzeichen hat, dauert das eine ganze Ecke länger. Wenn es erst einmal jemanden gelungen ist, sich mit einem gecrackten Paßwort einzuloggen, hat man schnell verloren. Michael.
participants (3)
-
Erhard Schwenk
-
Michael Schachtebeck
-
Nicolas Tinnefeld