© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Peter Ross <Peter.Ross(at)alumni.tu-berlin.de> wrote:
> On Wed, 2 Nov 2005, Oliver Fromme wrote:
> > [...]
> > Wenn ich z.B. in einem Rechner einbrechen wollte (man be-
> > achte den Konjunktiv), wuerde ich versuchen, auf einem
> > Drittweg an einen Key oder an ein Passwort zu kommen (z.B.
> > durch Keylogger, EMT-Scanner, Social-engineering o.ae.), und
> > wenn ich feststellte, dass auf Port 22 offenbar kein sshd
> > lauscht, wuerde ich halt einen Scanner verwenden. Das hiel-
> > te mich ungefaehr 30 Sekunden auf.
>
> Die Skripte, deren "Anklopfen" Du in den Logfiles findest, duerften in den
> wenigsten Faellen Zugriff auf soziale Ressourcen haben oder auf unsicheren
> Wegen lauschen, sie sind zumeist Brute-Force-Attacken - mal gucken, ob
> Root-Zugriff erlaubt ist, und dann, ob das Passwort nicht z.B. das
> Firmenpasswort ist.
Vor solchen Kiddy-Scripten, die wahllos Netze aufs Greate-
wohl abklappern, habe ich keine Angst. Hätte man Grund zu
der Annahme, daß man davor Angst haben müßte, dann hat man
ein ganz anderes Problem, das durch ein »Verstecken« des
Ports auch nicht behoben wird.
> Fuer den Fall eines "echten" Menschen, wie Du beschreibst, hilft das
> Verstecken des Portes wirklich nichts, das ist korrekt.
Und genau vor sowas sollte man Angst haben: Vor gezielten
Angriffsversuchen.
Ich gebe durchaus zu, daß man über diese Angelegenheit ge-
teilter Meinung sein kann. Meine Meinung ist halt, daß
ein Nicht-Standard-Port ein trügerisches Gefühl von Sicher-
heit erzeugt, die nicht vorhanden ist. Und meine Erfahrung
ist, daß dies zur Vernachlässigung echter Sicherheitsmaß-
nahmen wie etwa einer Aktualisierung des sshd führt. Das
habe ich selbst mit ansehen dürfen.
Das ist der Grund, warum ich solche Pseudo-Sicherheit durch
Obscurity grundsätzlich nicht empfehle. Es mag natürlich
immer Leute geben, die wissen, was sie tun, und denen ich
zutraue, daß sie keine Probleme damit haben -- aber in ei-
nem Forum wie diesem hier, wo mit Sicherheit nicht jeder
ein Experte ist, würde ich so eine Empfehlung keinesfalls
geben.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. One Unix to rule them all, One Resolver to find them, One IP to bring them all and in the zone to bind them. To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Wed 02 Nov 2005 - 13:50:02 CET