Hallo Bernd, es gibt, wie beim SSL auch, grundsätzlich die Möglichkeit mit man-in-the-middle anzugreifen. Bei SSH kann man einem unvorsichtigen User allerdings auch sein Passwort im Plaintext abzunehmen und nicht nur seine Session übernehmen. Die Schwachstelle ist wie immer der User, der erkennen muß daß eine Warnung bezüglich Schlüsselmaterial, hier der Hostkey, nicht einfach ignoriert werden darf. Bei der Erstkontaktaufnahme muss auch der Hostkey überprüft werden, was man hier akzeptiert wird automatisiert für immer als wahr angeommen. Einem dauerhaft als man-in-the-middle platzierter Angreifer kann man es hier potentiell sehr einfach machen. Man sollte auch niemals seine Passwörter bei einem Server durchprobieren bei dem man sich nicht 100%ig sicher ist dass der Hostkey stimmt, da die eingegenen Passworter beim SSH-Server immer im Plaintext ankommen. Man sollte sich selbst wenn der Hostkey stimmt überlegen, ob man dem Inhaber seine Passwörter wirklich im Plaintext überlassen möchte. Ansonsten gibst noch so Sachen wie daß man SSH nicht umkonfiguieren sollte daß es unverschlüsselt oder mit RC4 unterwegs sein darf... Aber das ist wieder eine User geschichte.
Der einzige mir bekannte Weg solchen Problemen grundsätzlich aus dem Weg zu gehen ist nicht nur SSH in der Version 2 sondern auch nur SSH Keys der Version zwei zu verwenden. Nur hier wird nämlich man-in-the-middle grundsätzlich unmöglich. Dafür muss allerdings der Publicteil des SSH-Key bereits auf dem Server liegen, so daß man ein Henne-Ei Problem hat wenn man die Kiste nicht selbst physisch erreichen kann. Ansonsten ist SSH eine gut abgehangene Software, wo schon viele Menschen nach Bugs gesucht haben und die großen typischen zyklischen Bugwellen lange durch sind. Ich glaube kaum dass es hier noch viele grundlegende Fehler zu finden gibt, insbesondere keine offensichtlichen. Viele Grüße Markus alias "pRiVi" > Am 03.01.15 um 10:11 schrieb Bernd Kalbfuss-Zimmermann: >> Stille? War meine Frage so naiv, dass sich niemand die Müher einer >> Antwort machen möchte? Oder herrscht einfach nur allgemeine >> Ratlosigkeit? Ich habe mal ein wenig recherchiert und die folgenden >> Maßnahmen gefunden, um SSH gegen Angriffe zu härten: > > diese Massnahmen waren an sich schon aktuell vor den letzten Meldungen. > Ich habe den Vortrag selbst nicht gesehen. Spiegel mag ich als Quelle > nun nicht vertrauen. > > Was genau gibt es _neu_ zu beachten? Hast du da noch eine technische > Quelle ausser Vermutungen / Interpretationen vom Spiegel? Denn dann > bedarf es auch eher neuen Maßnahmen. > > Ahoi > -mathias > > > _______________________________________________ > WLANtalk mailing list > [email protected] > Abonnement abbestellen? -> > http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net > > Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung > unter http://freifunk.net/mailinglisten > _______________________________________________ WLANtalk mailing list [email protected] Abonnement abbestellen? -> http://lists.freifunk.net/mailman/listinfo/wlantalk-freifunk.net Weitere Infos zu den freifunk.net Mailinglisten und zur An- und Abmeldung unter http://freifunk.net/mailinglisten
