Hallo Gruppe. Ich mache mir Gedanken darüber, ob es sinnvoll sein könnte, den sshd mit fail2ban, denyhosts etc. vor Brute Force Attacken zu schützen. Es ist ja häufig zu lesen, daß dies die Sicherheit erhöhe. Könnte mir jemand bitte erklären, warum das so ist? Ich bin der Meinung, daß das nicht stimmt, denn: 1. Angriffe mit falschen Paßwort kann der sshd selbst abwehren. Evtl. hat man Paßwörter sowieso abgeschaltet, und erlaubt nur Keys. 2. Um fail2ban zu installieren, brauche ich Python. Die Code-Basis des Systems verbreitert sich also ganz erheblich, dazu kommt dann noch fail2ban selbst. 3. Wenn es möglich ist, den sshd durch einen geschickten Verbindungsversuch zu überwinden, dann klappt das doch auch schon beim ersten Versuch, d.h. wenn fail2ban nach dem 5. Versuch sperrt, dann ist das zu spät. Ich bitte um Hinweise. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Donnerstag, 8. Februar 2007 13:53 schrieb Andre Tann:
Hallo Gruppe.
Ich mache mir Gedanken darüber, ob es sinnvoll sein könnte, den sshd mit fail2ban, denyhosts etc. vor Brute Force Attacken zu schützen. Es ist ja häufig zu lesen, daß dies die Sicherheit erhöhe.
Könnte mir jemand bitte erklären, warum das so ist? Statistik ! Ich bin der Meinung, daß das nicht stimmt, denn:
1. Angriffe mit falschen Paßwort kann der sshd selbst abwehren. Evtl. hat man Paßwörter sowieso abgeschaltet, und erlaubt nur Keys. Es gibt eine Wahscheinlichkeit Deine Kombination aus Name + Pwd zu knacken: sie wird kleiner (=besser) wenn kompliziert, und größer je einfacher die diese Kombination ist.
Bei einem brute force kannst Du nun die Zeit bis zum 'Knack' als Funktion der Zeit sehen: länger (= mehr Versuche), wenn diese Wahrsch. kleiner und umgekehrt. Mit fail2ban bzw denyhost, kannst Du nun genau diese Zeitspanne erhöhen und damit per Umkehrfunktion Deine Sicherheit erhöhen: Es reduziert die Versuchszeit, damit die Versuchzahl je Zeiteinheit und damit Deine Sicherheit je Zeiteinheit. Trotzdem bleibt die Gefahr eines lucky shuts, aber das ist eben alles Statistik seufz.
2. Um fail2ban zu installieren, brauche ich Python. Die Code-Basis des Systems verbreitert sich also ganz erheblich, dazu kommt dann noch fail2ban selbst.
auch das könnte man statisch erfassen und müßte es 'dazu'-rechnen.
3. Wenn es möglich ist, den sshd durch einen geschickten Verbindungsversuch zu überwinden, dann klappt das doch auch schon beim ersten Versuch, d.h. wenn fail2ban nach dem 5. Versuch sperrt, dann ist das zu spät.
hmm, das ist das Wesen der Statistik, den Lottotop können manche beim ersten Mal knacken, die meisten aber nie - ungerecht, aber eben Statistik. lg Calli
Ich bitte um Hinweise.
-- Andre Tann
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
gooly@gmx.at, Donnerstag, 8. Februar 2007 14:10:
Es gibt eine Wahscheinlichkeit Deine Kombination aus Name + Pwd zu knacken: sie wird kleiner (=besser) wenn kompliziert, und größer je einfacher die diese Kombination ist.
OK, das ist klar. Aber wie sehen die Verhältnisse aus, wenn ich User+PWD ganz verbiete und stattdessen keys nehme? Nehmen wir an: Erstens User/PWD-Kombi soll per BF geknackt werden, fail2ban gibt mir dafür 5 Versuche die Stunde. Zweitens Ein Key soll geknackt werden, BF ist ungebremst, ich habe sagen wir zehn Versuche die Sekunde = 36000 Versuche die Stunde. Also müßte der Key ca. 7000fach schwerer zu erraten sein als das Paßwort, was bei einem 2048-Bit-Schlüssel der Fall sein dürfte. Ergo: Durch den Einsatz von Keys erreiche ich genausoviel oder mehr, als wenn ich eine BF Attacke durch fail2ban bremse. Andererseits spare ich mir die breitere Codebasis von Python, fail2ban usw. Und weiter: angenommen, mein Paßwort habe 20 Stellen = 200 Bits, mein Key hat aber 2000 Bits. Er ist also zehnmal so breit, und der Aufwand, ihn per BF zu knacken, steigt exponentiell an. Demgegenüber kann ich doch den Sicherheitsgewinn durch Ausbremsung von fail2ban vergessen.
Trotzdem bleibt die Gefahr eines lucky shuts, aber das ist eben alles Statistik seufz.
Mit der Wahrscheinlichkeit, einen 2048-Bit-Key per lucky shot zu treffen, könnte ich leben... -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Thu, 8 Feb 2007 13:53:05 +0100, you wrote:
Hallo Gruppe.
Ich mache mir Gedanken darüber, ob es sinnvoll sein könnte, den sshd mit fail2ban, denyhosts etc. vor Brute Force Attacken zu schützen. Es ist ja häufig zu lesen, daß dies die Sicherheit erhöhe.
(...) Aus Sicherheitsgründen bringt es wohl wirklich nicht viel. Was mich aber gelegentlich massiv stört, ist das Rauschen in den Logfiles. Neulich hat bei uns mal ein vermutlich gekaperter Server aus Frankreich die Logeinträge um das Zehnfache(!) vergrößert. Das Teil hat um Weihnachten/Silvester verrückt gespielt und zweimal mehrere Tage lang eine spürbare, mit top erkennbare Last erzeugt, und das fand ich dann doch etwas viel. Passiert ist natürlich nichts (der einzige Username, der sich einloggen darf, sieht selbst schon wie ein Passwort aus, und dazu hat er noch ein starkes Passwort), in dieser Hinsicht hatte ich also keine Sorgen, aber es war schon extrem lästig, in den riesigen Logfiles zwischen dem Müll die Logeinträge zu finden, die mich wirklich interessiert haben. Klar, das könnte man auch mit grep filtern, aber eleganter finde ich es, wenn so was nach fünf Versuchen mit einem "deny" unterbunden wird, und dann ist erst mal eine Stunde Ruhe. Denyhosts habe ich mir schon für die Zukunft vorgemerkt. Wie gesagt, nicht aus Sicherheitsgründen, sondern weil der Müll manchmal nervt. Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Juergen Langowski schrieb:
On Thu, 8 Feb 2007 13:53:05 +0100, you wrote:
Hallo Gruppe.
Ich mache mir Gedanken darüber, ob es sinnvoll sein könnte, den sshd mit fail2ban, denyhosts etc. vor Brute Force Attacken zu schützen. Es ist ja häufig zu lesen, daß dies die Sicherheit erhöhe.
Hi, fail2ban habe ich bisher noch nicht eingesetzt. Den sshd soweit konfiguriert dass nur noch key zulässig ist, maxauthtries gesetzt und es kann sich nur noch ein user einloggen. Zusätzlich habe ich in der /etc/hosts.allow nur .de und .net zugelassen. Das hat bisher immer gut gehalten. ;-) Gruss Lars -- http://www.erftpool.de http://www.edvpool.de http://blog.linuri.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (4)
-
Andre Tann
-
gooly@gmx.at
-
Juergen Langowski
-
LarsH