Stille? War meine Frage so naiv, dass sich niemand die Müher einer Antwort
machen möchte? Oder herrscht einfach nur allgemeine Ratlosigkeit? Ich habe
mal ein wenig recherchiert und die folgenden Maßnahmen gefunden, um SSH
gegen Angriffe zu härten:
- Direkten Login von root komplett sperren
- Passwortauthentifizierung komplett sperren
- SSHv2-Modus erzwingen
- Mäßig sichere "Ciphers" deaktivieren (AES bevorzugen)
- RSA-Schlüssel (mind 2048 Bit) gegenüber DSA bevorzugen
- Login auf bestimmte Benutzer beschränken
- Login auf bestimmte Hosts beschränken (falls möglich)
- Fail2Ban (oder ähnliche Software) installieren, um "Brute Force"-Attacken
zu unterbinden
- Anderen Port als 22 verwenden
- Log-Dateien regelkmäßig inspizieren
Strukturelle Schwächen oder gar "Backdoors" kann man damit natürlich nicht
entschärfen. Meinungen?
LG,
Bernd
Am 31. Dezember 2014 08:35:07 schrieb "Bernd Kalbfuss-Zimmermann"
<[email protected]>:
Moin miteinander!
In den letzten Tagen gab es ja mal wieder einen Schwung an
Horrornachrichten über die technischen Fähigkeiten der NSA bzgl. der
Aushebelung von kyptographischen Verfahren (siehe z.B. Der Spiegel [1]).
Wobei sich die meisten Artikel inhaltlich sehr ähneln und wenig im Detail
beschreiben.
Zu meiner Überraschung war unter den Diensten, welche von der NSA geknackt
werden können, auch SSH zu finden. Wenn das stimmt, dann wäre praktisch
jeder Server infiltrierbar. Wahrlich keine schöne Vorstellung. Ich denke da
vor allem an unsere zentralen Gateways, welche sich hervorragend für das
Ausspähen aller Freifunker eignen.
Ebenfalls sehr problematisch ist aus meiner Sicht die beschriebene
Aushebelung von SSL/TLS, da viele Passwörter in solchen verschlüsselten
Verbindungen im Klartext übertragen werden. Insbesondere Web-basierte
Administrationsoberflächen öffnen hier Tür und Tor.
Leider habe ich noch keine konkreten Angaben dazu gefunden, wie SSH
ausgehebelt werden kann. Im Spiegel findet man den Link [2] auf eine
Präsentation. Diese ist jedoch (zumindest für mich) wenig aufschlussreich.
Weiß jemand von euch mehr? Gab es hierzu eventuell auf dem 31C3 zusätzliche
Informationen? Mich interessiert primär, wie ich mich gegen Angriffe auf
SSH schützen kann - bzw. falls dies nicht möglich ist - welche Alternativen
bleiben.
Allgemeiner: Was können wir tun, um unsere Freifunknetze gegen Überwachung
zu schützen? Angesichts der ungeheuren Ausmaße des Überwachungsapparates
halte ich entsprechende Bestrebungen durch Nachrichtendienste für durchaus
realistisch. Gab es hierzu schon mal einen Workshop? Falls nicht, wäre es
aus meiner Sicht an der Zeit. Ich organisiere diesen gerne in Weil am
Rhein, sofern die Bereitschaft in den südlichsten Zipfel der Republik zu
kommen vorhanden ist.
LG,
Bernd
[1]
http://www.spiegel.de/netzwelt/netzpolitik/snowden-dokument-so-unterminiert-die-nsa-die-sicherheit-des-internets-a-1010588.html
[2] http://www.spiegel.de/media/media-35515.pdf
_______________________________________________
WLANtalk mailing list
[email protected]
Abonnement abbestellen? ->
http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net
Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung
unter http://freifunk.net/mailinglisten
_______________________________________________
WLANtalk mailing list
[email protected]
Abonnement abbestellen? ->
http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net
Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung unter
http://freifunk.net/mailinglisten
