Hallo, ist die remote-Administration über eine Wähl-Telefonleitung per PPP, an dessen beiden Enden die PCs direkt mit Modem/ ISDN-Karte hängen, 100% sicher gegen Abhör- versuche der IP-Pakete? Es wird schliesslich kein Netzwerk genutzt, an dem mehr als genau die zwei PCŽs teilnehmen. Gibt es auf dem _angewählten_ Linux-PC Möglichkeiten bei root-login das root-Passwort abzuhören ? Wie müssen ggf an beiden Enden der ppp-Verbindung geschützt werden, wenn ausschließlich die PCs an beiden Enden die Verbindung nutzen dürfen sollen ? tia ekkard --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Hallo Ekkard, Ekkard Gerlach schrieb:
ist die remote-Administration über eine Wähl-Telefonleitung per PPP, an dessen beiden Enden die PCs direkt mit Modem/ ISDN-Karte hängen, 100% sicher gegen Abhör- versuche der IP-Pakete?
Im Prinzip ja. Sicherlich gibt es aber im Profi-Abhör-Lager entsprechende Geräte, die da mitlauschen können.
Gibt es auf dem _angewählten_ Linux-PC Möglichkeiten bei root-login das root-Passwort abzuhören ?
Man könnte, da der Quellcode ja verfügbar ist, die beteiligten Programme so verändern, daß ein Lauschangriff möglich ist. Desweiteren muß das Passwort irgendwie durch den Speicher. Scannen des /proc ist zwar nicht trivial, könnte das Passwort aber hervorbringen. All dies erfordert aber zumindest die entspr. Rechte. Und vor allem genügend Kenntnisse.
Wie müssen ggf an beiden Enden der ppp-Verbindung geschützt werden, wenn ausschließlich die PCs an beiden Enden die Verbindung nutzen dürfen sollen ?
Anhand der übermittelten Telefonnummer kann man entscheiden, ob der Ruf angenommen wird. Oder man ruft zurück. MfG Stefan Krister -- You have moved your mouse. Windows must be rebooted for the changes to take effect. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Die, 22 Feb 2000, Ekkard Gerlach wrote:
ist die remote-Administration über eine Wähl-Telefonleitung per PPP, an dessen beiden Enden die PCs direkt mit Modem/ ISDN-Karte hängen, 100% sicher gegen Abhör- versuche der IP-Pakete? Es wird schliesslich kein Netzwerk genutzt, an dem mehr als genau die zwei PCŽs teilnehmen.
100% sicher ist eigentlich gar nichts. ISDN abzuhören soll um einiges schwieriger sein als eine Modemverbindung. Du kannst ja Verschlüsselung verwenden, also Authentifizierung per CHAP und Login per SSH.
Gibt es auf dem _angewählten_ Linux-PC Möglichkeiten bei root-login das root-Passwort abzuhören ?
Auch dagegen ist SSH eine gute Alternative zu Telnet.
Wie müssen ggf an beiden Enden der ppp-Verbindung geschützt werden, wenn ausschließlich die PCs an beiden Enden die Verbindung nutzen dürfen sollen ?
Identifizierung über die Rufnummer und/oder Callback. Gruß Thomas -- Marciniak Online Service fon: (0231) 58 90 154 Thomas Marciniak fax: (0231) 58 90 155 Schachtstrasse 1 http://www.marciniak.de 44149 Dortmund e-mail: tmarcin@marciniak.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Thomas Marciniak wrote on Tue, Feb 22, 2000 at 13:37 +0100:
On Die, 22 Feb 2000, Ekkard Gerlach wrote:
ist die remote-Administration über eine Wähl-Telefonleitung
100% sicher ist eigentlich gar nichts. ISDN abzuhören soll um einiges schwieriger sein als eine Modemverbindung.
Braucht zumindestens teurere Geräte...
Du kannst ja Verschlüsselung verwenden, also Authentifizierung per CHAP und Login per SSH.
Oder Firewall vor alles, bis auf SSH Port. Authentifizierung nur, um dumme DoS zu unterbinden, SSH macht dann Sicherheit.
Gibt es auf dem _angewählten_ Linux-PC Möglichkeiten bei root-login das root-Passwort abzuhören ?
Klar, das ist einfach: gepatchtes login / ssh / pam (je nachdem, was Verwendung findet) installieren (gibt's evtl. fertig in einem root kit oder so). Ja, und wenn es ein triviales Passwort ist (z.B. "hallo124" oder so'n kram), ist es auch mit entsprechende Hacktools aus der shadow zu kriegen. Root-Rechte jeweils vorrausgesetzt. Man kann auch den pppd tauschen... Ach, da geht immer viel ;)
Auch dagegen ist SSH eine gute Alternative zu Telnet.
Ich spiele gerade mit der VPN-Idee aus /usr/doc/howto/mini/VPN* rum, echt nett (kurz: ssh session, dessen STDIO wird mittels pppd als device nutzbar gemacht)! Kann man sogar schachteln :) Falls interesse, kann ich mal ein Makefile mailen, was den Kram installieren kann (spart tipperei, wenn man mehrere Maschinen hat :)).
Wie müssen ggf an beiden Enden der ppp-Verbindung geschützt werden, wenn ausschließlich die PCs an beiden Enden die Verbindung nutzen dürfen sollen ?
Identifizierung über die Rufnummer und/oder Callback.
Callback ist gut. Dazu (je nach Paraniod-Grad) noch SSH, mit entsprechender Config. Den physischen Zugriff nicht vergessen (abschließbares Gehäuse, in entsprechenden sicherem Umfeld). oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Don, 24 Feb 2000, Steffen Dettmer wrote:
* Thomas Marciniak wrote on Tue, Feb 22, 2000 at 13:37 +0100:
On Die, 22 Feb 2000, Ekkard Gerlach wrote:
Du kannst ja Verschlüsselung verwenden, also Authentifizierung per CHAP und Login per SSH.
Oder Firewall vor alles, bis auf SSH Port. Authentifizierung nur, um dumme DoS zu unterbinden, SSH macht dann Sicherheit.
Die Firewall schützt aber nicht vor Abhören auf dem Übertragungsweg. Firewall ist natürlich sinnvoll und sollte auf jedem Rechner, auf den von außen zugegriffen werden kann, aktiv sein.
Gibt es auf dem _angewählten_ Linux-PC Möglichkeiten bei root-login das root-Passwort abzuhören ?
Klar, das ist einfach: gepatchtes login / ssh / pam (je nachdem, was Verwendung findet) installieren (gibt's evtl. fertig in einem root kit oder so). Ja, und wenn es ein triviales Passwort ist (z.B. "hallo124" oder so'n kram), ist es auch mit entsprechende Hacktools aus der shadow zu kriegen. Root-Rechte jeweils vorrausgesetzt.
Wenn der Angreifer bereits root-Rechte hat, dann hat er entweder bereits das root-Paßwort, oder er nutzt einen buffer-overflow, der ihm root-Rechte verschafft. Dann ist das root-Paßwort eigentlich nur interessant, wenn root dieses Paßwort auch auf anderen Rechnern nutzt. Gruß Thomas -- Marciniak Online Service fon: (0231) 58 90 154 Thomas Marciniak fax: (0231) 58 90 155 Schachtstrasse 1 http://www.marciniak.de 44149 Dortmund e-mail: tmarcin@marciniak.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Thomas Marciniak wrote on Sun, Feb 27, 2000 at 18:20 +0100:
On Don, 24 Feb 2000, Steffen Dettmer wrote:
* Thomas Marciniak wrote on Tue, Feb 22, 2000 at 13:37 +0100:
On Die, 22 Feb 2000, Ekkard Gerlach wrote:
Du kannst ja Verschlüsselung verwenden, also Authentifizierung per CHAP und Login per SSH.
Oder Firewall vor alles, bis auf SSH Port. Authentifizierung nur, um dumme DoS zu unterbinden, SSH macht dann Sicherheit.
Die Firewall schützt aber nicht vor Abhören auf dem Übertragungsweg. Firewall ist natürlich sinnvoll und sollte auf jedem Rechner, auf den von außen zugegriffen werden kann, aktiv sein.
:) OK, was versteht wer unter Firewall :) Ich meinte hier mehr einen zentralen Paketfilter, evtl. auch ein Application GW oder TCP Relay, macht ja hier keinen Unterschied. Ein Problem, was passieren könnte, wäre folgendes: man baut ein ppp Connect auf, der führt von (z.B.) VPN-GW zum anderen VPN-GW (was ja auch ein Laptop allein sein könnte!). Diese fahren irgenteinen Datenstrom, z.B. einen SSH-Tunnel. Dieser muß ja als "normale" TCP Conection durchgehen. Wenn man nun z.B. die Firewall komplette diese IPs durchlassen bzw. forwarden (NAT, Relay oder was auch immer da lauft), läßt man neben ssh ja auch telnet etc. durch. Damit kommt man dann zwar nicht an die Verbindung, kann aber u.U. durch diese Öffnung der (falsch konfigurierten) Firewall schlüpfen. Zusätzlich kann es auch sein, das man die freigegebenen Ports mißbraucht (z.B. durch einen Helfer intern ssh auf chipher none gestellt wird, und die Verbindung dann hijackt, welche erlaubt ist, weil port 22 offen ist) usw.
Gibt es auf dem _angewählten_ Linux-PC Möglichkeiten bei root-login das root-Passwort abzuhören ?
Klar, das ist einfach: gepatchtes login / ssh / pam (je nachdem, was Verwendung findet) installieren (gibt's evtl. fertig in einem root kit oder so). Ja, und wenn es ein triviales Passwort ist (z.B. "hallo124" oder so'n kram), ist es auch mit entsprechende Hacktools aus der shadow zu kriegen. Root-Rechte jeweils vorrausgesetzt.
Wenn der Angreifer bereits root-Rechte hat, dann hat er entweder bereits das root-Paßwort, oder er nutzt einen buffer-overflow, der ihm root-Rechte verschafft. Dann ist das root-Paßwort eigentlich nur interessant, wenn root dieses Paßwort auch auf anderen Rechnern nutzt.
Na ja, nur reicht es eben, wenn der Angreifen auf der Maschine root-Zugriff hat, auf der der Client läuft. Das ist ja das gemeine. Nehmen wir mal an, das wäre der Arbeitsplatz PC. Dieser wird gehackt (mit physikalischem Zugriff, z.B. Startdiskette). Damit kann dort ssh getauscht werden (nicht sshd). Dann macht der Admin ein ssh auf die "heisse Maschine". Der Attacker bekommt root-pw (bzw. Passphrase) mit, und kann dann selbst auf die Maschine connecten. Usw. Er kann dann so Account nach Account aufbrechen, und das fällt schwer auf (die Zugriffe kommen vom "richtigen" Rechner usw.). Damit ist ein Root-Passwort oder Zugang IMMER interessant. Ein Useraccount ist auch schon ein halber root-Account (für die pessimisten/Paranoiker - bis zum nächsten Bug ;)). Außerdem kann man mit einem root-Account sniffen (z.B. NT Domainkennwörter), damit Trojaner installieren, die wiederrum Tastendrücke und Sessions sniffen etc. etc. oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Mon, 28 Feb 2000, Steffen Dettmer wrote:
* Thomas Marciniak wrote on Sun, Feb 27, 2000 at 18:20 +0100:
Wenn der Angreifer bereits root-Rechte hat, dann hat er entweder bereits das root-Paßwort, oder er nutzt einen buffer-overflow, der ihm root-Rechte verschafft. Dann ist das root-Paßwort eigentlich nur interessant, wenn root dieses Paßwort auch auf anderen Rechnern nutzt.
Na ja, nur reicht es eben, wenn der Angreifen auf der Maschine root-Zugriff hat, auf der der Client läuft. Das ist ja das gemeine. Nehmen wir mal an, das wäre der Arbeitsplatz PC. Dieser wird gehackt (mit physikalischem Zugriff, z.B. Startdiskette).
Klar, einen offen rumstehenden Rechner zu sichern ist sehr problematisch bzw. nicht möglich, da gabs ja vor einiger schon einen recht langen Thread drüber (Admin schnell ausgehebelt, oder so ähnlich). Wenn man den Rechner nicht physikalisch schützen kann, bzw. bei einer PPP-Verbindung wie hier beide Rechner, wird das ganze ad absurdum geführt. Warum sollte ein Angreifer eine Leitung abhören oder versuchen in den Rechner einzubrechen, wenn es reicht, eine Bootdiskette reinzuschieben und den Rechner einzuschalten? Ist doch viel einfacher! Gruß Thomas -- Marciniak Online Service fon: (0231) 58 90 154 Thomas Marciniak fax: (0231) 58 90 155 Schachtstrasse 1 http://www.marciniak.de 44149 Dortmund e-mail: tmarcin@marciniak.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Thomas Marciniak schrieb in 1,3K (38 Zeilen):
On Die, 22 Feb 2000, Ekkard Gerlach wrote:
ist die remote-Administration über eine Wähl-Telefonleitung per PPP, an dessen beiden Enden die PCs direkt mit Modem/ ISDN-Karte hängen, 100% sicher gegen Abhör- versuche der IP-Pakete? Es wird schliesslich kein Netzwerk genutzt, an dem mehr als genau die zwei PCŽs teilnehmen.
100% sicher ist eigentlich gar nichts.
ACK.
ISDN abzuhören soll um einiges schwieriger sein als eine Modemverbindung. Du kannst ja Verschlüsselung verwenden, also Authentifizierung per CHAP und Login per SSH.
CHAP -> Passwort fuer CHAP lieng unverschluesselt auf Server.
Gibt es auf dem _angewählten_ Linux-PC Möglichkeiten bei root-login das root-Passwort abzuhören ?
Auch dagegen ist SSH eine gute Alternative zu Telnet.
Wenn der angewählte PC nicht sicher ist: Trojaner. Dann hilft auch ssh nichts mehr.
Wie müssen ggf an beiden Enden der ppp-Verbindung geschützt werden, wenn ausschließlich die PCs an beiden Enden die Verbindung nutzen dürfen sollen ?
Physikalisch.
Identifizierung über die Rufnummer und/oder Callback.
Das auch. -Wolfgang --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Son, 27 Feb 2000, Wolfgang Weisselberg wrote:
Thomas Marciniak schrieb in 1,3K (38 Zeilen):
On Die, 22 Feb 2000, Ekkard Gerlach wrote:
ISDN abzuhören soll um einiges schwieriger sein als eine Modemverbindung. Du kannst ja Verschlüsselung verwenden, also Authentifizierung per CHAP und Login per SSH.
CHAP -> Passwort fuer CHAP lieng unverschluesselt auf Server.
Um das zu lesen braucht man aber root-Rechte. Und wenn man die eh schon hat, warum sollte man sich dann noch die Mühe machen, die Leitung abzuhören? Da ist es einfacher, z.B. einen Packet-Sniffer zu installieren, und sich die Logdatein per e-Mail zusenden zu lassen. Möglichkeiten gibts da genug.
Gibt es auf dem _angewählten_ Linux-PC Möglichkeiten bei root-login das root-Passwort abzuhören ?
Auch dagegen ist SSH eine gute Alternative zu Telnet.
Wenn der angewählte PC nicht sicher ist: Trojaner. Dann hilft auch ssh nichts mehr.
Klar, s.o., nur die Übertragung abzusichern bringt nichts, wenn der Rechner selbst offen steht. Gruß Thomas -- Marciniak Online Service fon: (0231) 58 90 154 Thomas Marciniak fax: (0231) 58 90 155 Schachtstrasse 1 http://www.marciniak.de 44149 Dortmund e-mail: tmarcin@marciniak.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
Thomas Marciniak schrieb in 1,5K (42 Zeilen):
On Son, 27 Feb 2000, Wolfgang Weisselberg wrote:
CHAP -> Passwort fuer CHAP lieng unverschluesselt auf Server.
Um das zu lesen braucht man aber root-Rechte. Und wenn man die eh schon hat, warum sollte man sich dann noch die Mühe machen, die Leitung abzuhören? Da ist es einfacher, z.B. einen Packet-Sniffer zu installieren, und sich die Logdatein per e-Mail zusenden zu lassen. Möglichkeiten gibts da genug.
Ja, aber. if ($BREAK_IN) { if ($CHAP) { &attacker (use_pw, on_other_machines); } else { &attacker (crack, $PW); # note: this may take too # long, user might be # warned in time. &attacker (use_pw, on_other_machines); }; }; ==> Provider nehmen CHAP nicht so gerne, 30k geklaute PWs sind ungut. Die geknackte Machine zu ersetzen ist absolut trivial zu den Problemen am Helpdesk, wenn nichts mehr geht. Und die Alternative ist: Der Cracker kann als legaler User arbeiten ... und emails klauen etc. -Wolfgang --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
* Thomas Marciniak wrote on Sun, Feb 27, 2000 at 17:58 +0100:
On Son, 27 Feb 2000, Wolfgang Weisselberg wrote:
Thomas Marciniak schrieb in 1,3K (38 Zeilen):
On Die, 22 Feb 2000, Ekkard Gerlach wrote:
CHAP -> Passwort fuer CHAP lieng unverschluesselt auf Server.
Um das zu lesen braucht man aber root-Rechte. Und wenn man die eh schon hat, warum sollte man sich dann noch die Mühe machen, die Leitung abzuhören? Da ist es einfacher, z.B. einen Packet-Sniffer zu installieren, und sich die Logdatein per e-Mail zusenden zu lassen. Möglichkeiten gibts da genug.
Bloß ne PPP Telefonleitung ohne root access auf einer der Kisten/GWs zu sniffen, dürfte nicht so einfach sein...
Gibt es auf dem _angewählten_ Linux-PC Möglichkeiten bei root-login das root-Passwort abzuhören ?
Wenn der angewählte PC nicht sicher ist: Trojaner. Dann hilft auch ssh nichts mehr.
Yepp, aber das sollte man vorraussetzen, sonst macht die Frage keinen Sinn :) oki, Steffen -- Dieses Schreiben wurde maschinell erstellt, es trägt daher weder Unterschrift noch Siegel. --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
On Mon, 28 Feb 2000, Steffen Dettmer wrote:
* Thomas Marciniak wrote on Sun, Feb 27, 2000 at 17:58 +0100:
On Son, 27 Feb 2000, Wolfgang Weisselberg wrote:
Um das zu lesen braucht man aber root-Rechte. Und wenn man die eh schon hat, warum sollte man sich dann noch die Mühe machen, die Leitung abzuhören? Da ist es einfacher, z.B. einen Packet-Sniffer zu installieren, und sich die Logdatein per e-Mail zusenden zu lassen. Möglichkeiten gibts da genug.
Bloß ne PPP Telefonleitung ohne root access auf einer der Kisten/GWs zu sniffen, dürfte nicht so einfach sein...
Ok, war, vielleicht etwas blöd ausgedrückt: Wenn man bereits root-access hat, dann kann man einen Sniffer installieren und braucht sich nicht mehr die Mühe machen, die Telefonleitung abzuhören. Wenn man keinen root-access hat, ist es natürlich schwierig, einen Sniffer zu installieren. Gruß Thomas -- Marciniak Online Service fon: (0231) 58 90 154 Thomas Marciniak fax: (0231) 58 90 155 Schachtstrasse 1 http://www.marciniak.de 44149 Dortmund e-mail: tmarcin@marciniak.de --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
[Nur die zwei PCs (Dialin/Dialout) dürfen sich verstehen] Schau dir mal Free S/Wan (oder so) an. Das ist eine Verschlüsselung für ganze Verbindungen. -- Marco Dieckhoff --------------------------------------------------------------------- To unsubscribe, e-mail: suse-linux-unsubscribe@suse.com For additional commands, e-mail: suse-linux-help@suse.com
participants (6)
-
krs@treu-elektro.de
-
linux@jwr.de
-
SPS_Gerlach@online.de
-
steffen@dett.de
-
tm@marciniak.de
-
weissel@ph-cip.uni-koeln.de