Re: server schützen gegen ssh wörterbuchattacken

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Fri, 16 Sep 2005 15:59:57 +0200 (CEST)

Matthias Fechner <idefix(at)fechner.net> wrote:
> * Oliver Fromme <olli(at)lurza.secnetix.de> [16-09-05 10:12]:
> > entnervt Ctrl-C drücken und es nochmal versuchen. Du
> > tust damit niemandem einen Gefallen (ebenso wie die ver-
> > breitete Unsitte, nach 3 Fehlversuchen den Account zu
> > sperren).
>
> ah, ok, dann bringt das natürlich nichts.
> Hatte aber nicht ssh eine Funktion, wenn zu viele faschen Passwort
> Anfragen kommen, das er dann einen Prozentsatz von Logins
> abweisst, auch wenn das PW stimmt.
> Das würde doch bei Brute Force Attack helfen.

Nö, das wäre _maximal_ Security-by-obscurity und würde zu
einem zufälligen Fehlerverhalten führen. Das wäre noch
schlechter, als nach einer gewissen Anzahl von Fehlversu-
chen einfach _alle_ Verbindungen für einen bestimmten
Zeitraum abzulehnen.

Im Übrigen sind mir Brute-Force-Angriffe per SSH nicht be-
kannt; dies dürfte allein schon aus Effizienzgründen wenig
Sinn ergeben. (Oder meintest Du Wörterbuch-Angriffe? Das
ist was anderes. Aber ein zufälliges Abweisen hilft auch
hier wenig.)

> Klar sichere PWs sind Pflicht, aber lieber schütze ich mich da auf
> zwei Arten :)

Da hast Du prinzipiell recht.

> Und nur weil ich sichere Passwörter nutze, heisst es ja noch lange
> nicht, dass das alle Nutzer machen.

Aber Du kannst versuchen, Deine Benutzer dazu zu bringen.
Je nach Nutzerkreis sind da verschiedene Verfahren erfolg-
versprechend (mit unterschiedlichem Aufwand).

Die meisten User möchten es selbst ja auch gar nicht, daß
man ihren Account knackt, und verstehen es auch, daß damit
die Sicherheit des gesamten System gefährdet werden könnte.
Wenn man also seine Benutzer auf geeignete Weise informiert
und darauf hinweist, wie man gute Paßwörter wählt und was
alles zur Paßwortsicherheit gehört, dann ist damit schon
viel gewonnen.

An der Uni hatten wir mal einen Wrapper für passwd(1) ge-
schrieben, der das einggegebene, unverschlüsselte (neue)
Paßwort genommen hat und in die cracklib (gibt's auch in
den Ports) reingefüttert. Die tut im Prinzip das gleiche
wie ein Wörterbuchangriff, hat aber den großen Vorteil,
daß ihr das unverschlüsselte Paßwort zur Verfügung steht.
Sie kann daher in kurzer Zeit erheblich viel mehr Wörter
und Kombinationen testen, als dies ein Angreifer könnte.
In der Praxis dauerte es zwei oder drei Sekunden, bis der
passwd-Wrapper das neue Paßwort akzeptierte oder zur Ein-
gabe eines anderen aufforderte. Diese Vorgehensweise hat
die durchschnittliche Qualität der Paßwörter deutlich ver-
bessert. (Unabhängig davon ließen wir auch regelmäßig
crack(1) über die verschlüsselten Paßwörter laufen.)

Gruß
   Olli

-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
With Perl you can manipulate text, interact with programs, talk over
networks, drive Web pages, perform arbitrary precision arithmetic,
and write programs that look like Snoopy swearing.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 16 Sep 2005 - 16:01:01 CEST

search this site