© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Kai Kuehne <kai.kuehne(at)gmail.com> wrote:
> Oliver Fromme <olli(at)lurza.secnetix.de> wrote:
> > Aber wie gesagt: Diese Entscheidung mußt Du selbst tref-
> > fen. Jeder hat ja andere Sicherheitsbedürfnisse.
>
> Hm, du spielst immer so auf die Clients an.
> Kann den "unterwegs" nichts passieren?
Du meinst damit sogenannte Man-in-the-middle-Angriffe.
Sowas ist bei SSH nicht möglich (sofern keine bisher unbe-
kannten Fehler im Protokoll existieren). SSH ist ausdrück-
lich mit dem Ziel entwickelt worden, sichere Verbindungen
zwischen zwei Endpunkten aufzubauen, die _zwischen_ diesen
Endpunkten -- also z.B. an einem beliebigen Router auf dem
Weg -- nicht eingesehen werden können, nicht übernommen
werden können (»Connection hijacking«), nicht manipuliert
werden können, und die auch gegen sogenannte Replay-Angrif-
fe immun sind.
Aber wie schon mehrfach betont: Den beiden Endpunkten der
Verbindung muß man trauen können; hier schützt einen das
SSH-Protokoll erstmal nicht (obgleich es ein paar Schutz-
mechanismen gibt wie z.B. die SSH-Hostkeys, die leider von
vielen SSH-Anwendern geflissentlich ignoriert werden).
Daß man dem Server trauen muß, ist klar: Im dort laufenden
sshd-Daemon werden die empfangenen Daten ja entschlüsselt.
Wer auf dem Server root-Rechte hat, kann den sshd so mani-
pulieren, daß er z.B. alles im Klartext mitloggt. Dazu muß
man nichtmal programmieren können; ein entsprechend modifi-
zierter sshd geisterte vor einiger Zeit durchs Netz. Davon
abgesehen kann root auch eine Logging-Shell installieren,
auf TTY-Devices sniffen (siehe z.B. watch(8)) usw.
Und auch dem Client muß man trauen: Wer dort root-Rechte
hat (oder Admin-Rechte im Falle von Windows), kann den ssh-
Client auf ähnliche Weise manipulieren wie oben für den
sshd-Daemon beschrieben. Dabei spielt es keine Rolle, ob
der Client systemweit installiert ist, oder ob ihn sich ein
Benutzer selbst installiert hat. Darüber hinaus kann man
mit root-Rechten problemlos einen Keylogger installieren,
der sämtliche Eingaben unbemerkt mitloggt -- inklusive Paß-
wörtern und Passphrases. (Und natürlich auch PINs und TANs
beim Online-banking usw., aber das ist wieder eine ganz an-
dere Geschichte.)
Übrigens: Man sollte auch immer daran denken, daß mögli-
cherweise viel mehr Leute root- bzw. Admin-Rechte haben,
als man denkt, insbesondere wenn das System unter Sicher-
heitsaspekten schlecht gepflegt ist. Hier sind vor allem
Windows-Rechner kritisch wegen der großen Zahl von Viren
und Würmern, die inzwischen praktisch schon ein minütliches
Aktualisieren des Virenscanners erfordert, und selbst dann
ist nicht jedes Risiko ausgeschlossen.
Auf unsicheren Clients sollte man unbedingt ein One-Time-
Password-System (OTP) verwenden. Das mindert das Problem
zwar nur teilweise, erhöht die Hürde für Angreifer aber
schonmal deutlich -- zumindest kommt dann ein Keylogger
nicht mehr an ein gültiges Paßwort von Dir.
Gruß
Olli
--
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"When your hammer is C++, everything begins to look like a thumb."
-- Steve Haflich, in comp.lang.c++
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 27 May 2005 - 15:21:45 CEST