Hallo Leute. Bin grad am Überlegen, ob ich meine Firewall für ssh nach außen aufmache. Bin dabei über [1] gestolpert, und dort heißt es, daß ssh-Installationen mit ssh1-fallback eine Sicherheitslücke aufweisen. Wie kann ich denn feststellen, ob meine ssh-Version einen solchen Fallback erlaubt? Ich habe SuSE 8.2 und 7.3 am laufen. Tue ich also besser daran, den Port 22 dicht zu lassen? Danke. Andy [1] http://razor.bindview.com/publish/advisories/adv_ssh1crc.html -- Andreas Feile www.feile.net
siehe "/etc/ssh/sshd.conf" da steht drin welche Versionen akzeptiert werden sollen und in welcher Reihenfolgen ein Fallback erfolgt. Du kannst mit "ssh -1" (ssh Protokollversion 1) bzw. "ssh -2" (ssh Protokollversion2) auch erzwingen und damit die Konfiguration des Daemon testen. Gruss Micha Andreas Feile schrieb:
aufweisen. Wie kann ich denn feststellen, ob meine ssh-Version einen solchen Fallback erlaubt? Ich habe SuSE 8.2 und 7.3 am laufen.
Am 09.02.2004 um 23:58 schrieb Andreas Feile:
Hallo Leute.
Bin grad am Überlegen, ob ich meine Firewall für ssh nach außen aufmache. Bin dabei über [1] gestolpert, und dort heißt es, daß ssh-Installationen mit ssh1-fallback eine Sicherheitslücke aufweisen. Wie kann ich denn feststellen, ob meine ssh-Version einen solchen Fallback erlaubt? Ich habe SuSE 8.2 und 7.3 am laufen.
Tue ich also besser daran, den Port 22 dicht zu lassen?
Dann lass doch nur V2 zu und arbeite zusätzlich mit tcpwrapper - nur einen Rechner mit entsprechener IP zulassen. Damit hast du noch einen zusätzlichen Schutz. Gruß Michael -- " Schlechte Zeugen sind Augen und Ohren fuer Menschen, wenn sie Barbarenseelen haben " [Heraklit]
Michael Grundmann, Dienstag, 10. Februar 2004 06:57:
Dann lass doch nur V2 zu
Hab ich jetz gemacht.
und arbeite zusätzlich mit tcpwrapper -
Wie mach ich das?
nur einen Rechner mit entsprechener IP zulassen. Damit hast du noch einen zusätzlichen Schutz.
Hier liegt natürlich das Problem, daß ich selbst leider (oder Gott sei Dank) eine ständig wechselnde IP habe, also kann ich diese Idee nicht umsetzen. Gruß. Andy -- Andreas Feile www.feile.net
Am Dienstag, 10. Februar 2004 07:44 schrieb Andreas Feile:
nur einen Rechner mit entsprechener IP zulassen. Damit hast du noch einen zusätzlichen Schutz.
Hier liegt natürlich das Problem, daß ich selbst leider (oder Gott sei Dank) eine ständig wechselnde IP habe, also kann ich diese Idee nicht umsetzen.
Schon. Ist aber ein wenig umstaendlicher: Du registriest eine dynamische Adresse zb bei no-ip.info Dann traegst Du diese Adresse als erlaubte Adresse bei connects ein. Um dich von irgendwo anmelden zu koennen, musst du dann erst die dynamische adresse auf deine aktuelle ip umbiegen (dich also bei no-ip.info einloggen und ein update machen) und dich dann auf den ssh server einloggen. Aber je nachdem wie die DNS-Caches dazwischen konfiguriert sind, kann es auch passieren, dass du nicht draufkommst, weil die Adresse noch auf eine alte IP zeigt. Hat also auch Nachteile. Selbst getestet habe ich es noch nicht. Ist mir dann doch zuviel arbeit (gerade wenn man sich oft einloggt). Noch was: Um ein weiteres Quaentchen Sicherheit zu bekommen, kannst du den Port auch von 22 auf irgendwas hoeheres legen. Das legt dann schon mal automatische Scanner (zB Wuermer) einen Stein in den Weg. Gegen einen geziehlten Angriff hilft das aber natuerlich auch nichts. mfg felix -- Verschluesselte emails bevorzugt! Meinen Public Key gibts auf einem Keyserver: Encrypted emails preferred! Get my public key from a keyserver: ID: 0xD85E9E32 or: stud.fbi.fh-darmstadt.de/~fknecht/public_key_felix_knecht.asc "Der Mensch, der bereit ist, seine Freiheit aufzugeben, um Sicherheit zu gewinnen, wird beides verlieren." - Benjamin Franklin
Hi On Monday 09 February 2004 23:58, Andreas Feile wrote:
Hallo Leute.
Bin grad am Überlegen, ob ich meine Firewall für ssh nach außen aufmache. Bin dabei über [1] gestolpert, und dort heißt es, daß ssh-Installationen mit ssh1-fallback eine Sicherheitslücke aufweisen. Hab es mal gelesen. "...Issue Date: February 8, 2001...". Wie kann ich denn feststellen, ob meine ssh-Version einen solchen Fallback erlaubt? Ich habe SuSE 8.2 und 7.3 am laufen. Ich habe zwar keine Forschung an den historischen Updates die es von SuSE gab durchgeführt, aber ich wage es mal mich aus dem Fenster zu lehnen und zu sagen, dass die Lücken wohl gefixt sein werden.
Tue ich also besser daran, den Port 22 dicht zu lassen?
Aus dem aide manual "Security is a trade-off with usability". Remote access -in welcher Form auch immer- ist immer ein Sicherheitsrisiko, auch wenn es durchaus mal praktisch sein kann. Nur Protokollversion 2 zuzulassen ist in jedem Falle ne Steigerung der Sicherheit, aber das hast du ja eh schon gemacht. Man kann dann noch die Passwort Authentifizierung ausschalten. Dann glaube ich, dass man es verantworten kann Port 22 "nach außen" auf zu machen. In jedem Falle sollte man sich nochmal man 5 sshd_config durchlesen. Es gibt da u.U. noch diverse Voreinstellungen von denen man nicht weiß. z.B. <============== PAMAuthenticationViaKbdInt Specifies whether PAM challenge response authentication is allowed. This allows the use of most PAM challenge response authentication modules, but it will allow password authentication regardless of whether PasswordAuthentication is enabled. ==============> mfg Axel
participants (6)
-
Andreas Feile
-
Axel Heinrici
-
Felix Knecht
-
Michael Grundmann
-
Michael Kundt
-
Michael Meyer