© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Peter Ross <Peter.Ross(at)alumni.tu-berlin.de> wrote:
> Warum das Verlegen von ssh auf einen Port!=22 schaedlich sein soll,
> wie Du schreibst, erschliesst sich mir nicht. Da man damit einfach
> einen Haufen Skripte, die den sshd auf Port 22 erwarten, ignorieren
> kann, erhoeht sich die Sicherheit schon.
Ich kann nicht nachvollziehen, wie sich dadurch die Sicher-
heit erhöhen sollte. Der einzige Vorteil, den ich mir vor-
stellen könnte, ist, daß sich die Log-Dateien nicht mehr
mit so vielen Warnmeldungen füllen, aber da gibt es bessere
Möglichkeiten, um das zu vermeiden, z.B. automatisierte
Filter oder Auswertungstools wie z.B. logsurfer.
Den sshd unetr einer anderen Portnumemr zu »verstecken« ist
nichts weiter als Security-by-obscurity. Wenn der sshd
eine Angriffsmöglichkeit hat (welcher Art auch immer), wo-
mit jemand unter Port 22 reinkäme, dann kommt er auch unter
jeder anderen Portnummer hinein. Und es gibt Tools, die
auf allen möglichen Portnummern nach Anwendungen scannen,
also ist diese Art des Versteckspiels nutzlos.
> Einen Nachteil kann ich nicht sehen.
Das Problem ist, daß man dazu neigt, sich auf Sicherheits-
maßnahmen zu verlassen, selbst wenn sie unwirksam sind,
was zur Folge hat, daß man nachlässig wird. Und das kann
fatale Folgen haben. So ähnlich wie die Leute, die dem
Irrglauben unterliegen, wenn sie ABS haben, könnten sie
gefahrlos schneller fahren.
Ich kenne Fälle, wo Services (sei es FTP, SSH oder etwas
anderes) unter anderen Portnummern »versteckt« wurden und
der Admin daraufhin sehr nachlässig mit Aktualisierung
der Software umging -- so nach dem Motto: »Wieso soll ich
mir Streß mit dem Update machen? Unter der Nicht-Standard-
Portnummer findet das eh kein Exploit.«
Früher oder später wird es halt doch gefunden, und wenn man
dann keinen _wirksamen_ Schutz hat, ist man im Ar***.
Wenn ich z.B. in einem Rechner einbrechen wollte (man be-
achte den Konjunktiv), würde ich versuchen, auf einem
Drittweg an einen Key oder an ein Paßwort zu kommen (z.B.
durch Keylogger, EMT-Scanner, Social-engineering o.ä.), und
wenn ich feststellte, daß auf Port 22 offenbar kein sshd
lauscht, würde ich halt einen Scanner verwenden. Das hiel-
te mich ungefähr 30 Sekunden auf.
Möglichst viele Schutzmechanismen zu kombinieren ist prin-
zipiell eine gute Sache -- aber nur dann, wenn sie wirklich
wirksam sind. Security-by-obscurity dagegen kann nach
hinten losgehen.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. $ dd if=/dev/urandom of=test.pl count=1 $ file test.pl test.pl: perl script text executable To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Wed 02 Nov 2005 - 12:11:19 CET