BOFH sagt
"Well fix that in the next (upgrade, update, patch release, service pack)."
Getaggte Artikel
article blackberry blogging blogtk cisco cms coding crunchix crypto database debian del.icio.us encfs firewall freebsd fun google ha hacking hacks honeypot insipid jabber lighttpd linux mail md5 ml370 moblogging network nmap openbsd openvz personal phrack plone portknocking privacy python rant review rootforum security serendipity server spam ssh thinkpad tool tor tutorial ubuntu uni vm vserver wifi wiki work xen zimbra
Blogroll
Rechtliches
Monday, 10. October 2005
Knocking on heaven's port
Vor gar nicht allzu langer Zeit war Portknocking eines der großen Buzzwords im illustren Bereich der IT-Security. Dahinter steckt ein recht simples Konzept, das es erlaubt, bestimmte Dienste erst dann freizuschalten, wenn (z.B.) eine bestimmte Anzahl Ports in einer vorab definierten Reihenfolge "abgeklopft" wurden.
Auch wenn ich bislang einige Bedenken gegen dieses Konzept habe (auf die ich im weiteren zu sprechen kommen werde), kann Portknocking natürlich ein weiterer Punkt des Sicherheitskonzepts sein, beispielsweise um portscannenden Scriptkidz noch weniger Angriffsfläche als ohnhein zu bieten. Selbst wenn es "nur" darum geht, die Logs des SSH-Daemon sauber von (immer noch grassierenden) Wurmattacken zu halten, ist diese Maßnahme immer noch erheblich sicherer, als den sshd auf einen anderen Port lauschen zu lassen.
Auch wenn ich bislang einige Bedenken gegen dieses Konzept habe (auf die ich im weiteren zu sprechen kommen werde), kann Portknocking natürlich ein weiterer Punkt des Sicherheitskonzepts sein, beispielsweise um portscannenden Scriptkidz noch weniger Angriffsfläche als ohnhein zu bieten. Selbst wenn es "nur" darum geht, die Logs des SSH-Daemon sauber von (immer noch grassierenden) Wurmattacken zu halten, ist diese Maßnahme immer noch erheblich sicherer, als den sshd auf einen anderen Port lauschen zu lassen.
Mein Hauptargument gegen Portknocking besteht darin, dass die (einfachste) Variante den Zugriff auch ausschließlich anhand einer Sequenz von Paketen freigibt, die in einer festgelegten Reihenfolge an definierte Ports geht. In einem solchen Fall ist für einen aufmerksamen Angreifer relativ einfach, das passende Pattern anhand des Netzwerktraffics herauszubekommen.
Zum Glück ist dieses Verfahren nicht die einzige Möglichkeit, Ports auf "Zuruf" zu öffnen. Die Webseiten des Projekts geben Auskunft über verschiedenste Implementierungen, die unter verschiedenen Betriebssystemen laufen, und sich zum Teil auch massiv hinsichtlich ihrer Vorgehensweise unterscheiden. Hier mal eine kleine Auswahl (ganz ohne Wertung):
- cerberus basiert auf speziellen ICMP-Paketen, das in der Lage ist, nach der Überprüfung durch eigene Authentifizierungsmechanismen bestimmte Befehle auf dem Server auszuführen.
- COK hingegen ist speziell auf die Vermeidung solch (o.g.) Replay-Attacken (z.B. anhand von mitgesnifftem Traffic) durch One-Time-Passwords (OTP) getrimmt.
- cryptknock hingegen verlässt sich auf ein verschlüsseltes "shared secret", das innerhalb von drei UDP-Paketen (inkl. DH-Schlüsselautausch) abläuft.
- fwknop bedient sich der IPTables, und ist in der Lage, auch "Multiprotokoll-Klopfen" zuverlässig zu erkennen, und beherrscht auch Rijandel-verschlüsselte Pakete.
- knockd ist eine der lätesten und bekanntesten Implementierungen des Portknocking mit diversen Features. Es handelt sich dabei um einen Daemonen, der in der Lage ist, relativ weit unten im Protokollstack eingehenden Traffic zu erkennen.
- webknocking geht einen ganz anderen Weg, und macht seine Aktionen abhängig von der Betrachtung veeschiedener, im Vorfeld definierten Webseiten auf dem System.
Darüber hinaus gibt es noch zig andere, die mehr oder weniger aufwendig zu installieren und/oder bedienen sind. Der o.g. Link sollte eine recht gute Übersicht diesbezüglich bieten.
Ich für meinen Teil musste wieder einmal erkennen, dass die genauere Betrachtung einer solchen Thematik immerhin ein paar Voruteile ausräumen kann. Innerhalb der nächsten Zeit werde ich jedenfalls einmal ein paar verschiedene Varianten ausprobieren, alleine um die "Alltagstauglichkeit" des Portknocking mal getestet zu haben. Irgendwie muss man ja mal mitreden können...
Kleine Anekdote am Rande:
Vor rund zwei Jahren hatte ich mal eine Idee für einen ganz anderen Ansatz, der erheblich höher im Protokollstack angesiedelt war. Die Theorie basierte dabei darauf, dass eine GPG-signierte / -verschlüsselte Mail an einen eigens dafür angelegten Account auf dem System gesendet werden muss, die optimalerweise ein "einfaches", besser One time-Passwort enthält. Diese Mail wird daraufhin entschlüsselt und verifiziert, und soweit alles zusammen passt, wird (z.B.) der Port freigeschaltet, bzw. der Dienst, der darauf lauscht dadurch gestartet.
Ich hielt es seinerzeit für eine recht gut Idee, jedenfalls erschien sie mir "sicherer" als das Abklopfen einiger Ports.
Wer jetzt lachen möchte, kann das jedenfalls gerne tun.
Sollte sich (wider Erwarten) jemand finden, der Interesse an einer Umsetzung hat, kann sich natürlich gerne bei mir melden.
Zum Glück ist dieses Verfahren nicht die einzige Möglichkeit, Ports auf "Zuruf" zu öffnen. Die Webseiten des Projekts geben Auskunft über verschiedenste Implementierungen, die unter verschiedenen Betriebssystemen laufen, und sich zum Teil auch massiv hinsichtlich ihrer Vorgehensweise unterscheiden. Hier mal eine kleine Auswahl (ganz ohne Wertung):
- cerberus basiert auf speziellen ICMP-Paketen, das in der Lage ist, nach der Überprüfung durch eigene Authentifizierungsmechanismen bestimmte Befehle auf dem Server auszuführen.
- COK hingegen ist speziell auf die Vermeidung solch (o.g.) Replay-Attacken (z.B. anhand von mitgesnifftem Traffic) durch One-Time-Passwords (OTP) getrimmt.
- cryptknock hingegen verlässt sich auf ein verschlüsseltes "shared secret", das innerhalb von drei UDP-Paketen (inkl. DH-Schlüsselautausch) abläuft.
- fwknop bedient sich der IPTables, und ist in der Lage, auch "Multiprotokoll-Klopfen" zuverlässig zu erkennen, und beherrscht auch Rijandel-verschlüsselte Pakete.
- knockd ist eine der lätesten und bekanntesten Implementierungen des Portknocking mit diversen Features. Es handelt sich dabei um einen Daemonen, der in der Lage ist, relativ weit unten im Protokollstack eingehenden Traffic zu erkennen.
- webknocking geht einen ganz anderen Weg, und macht seine Aktionen abhängig von der Betrachtung veeschiedener, im Vorfeld definierten Webseiten auf dem System.
Darüber hinaus gibt es noch zig andere, die mehr oder weniger aufwendig zu installieren und/oder bedienen sind. Der o.g. Link sollte eine recht gute Übersicht diesbezüglich bieten.
Ich für meinen Teil musste wieder einmal erkennen, dass die genauere Betrachtung einer solchen Thematik immerhin ein paar Voruteile ausräumen kann. Innerhalb der nächsten Zeit werde ich jedenfalls einmal ein paar verschiedene Varianten ausprobieren, alleine um die "Alltagstauglichkeit" des Portknocking mal getestet zu haben. Irgendwie muss man ja mal mitreden können...
Kleine Anekdote am Rande:
Vor rund zwei Jahren hatte ich mal eine Idee für einen ganz anderen Ansatz, der erheblich höher im Protokollstack angesiedelt war. Die Theorie basierte dabei darauf, dass eine GPG-signierte / -verschlüsselte Mail an einen eigens dafür angelegten Account auf dem System gesendet werden muss, die optimalerweise ein "einfaches", besser One time-Passwort enthält. Diese Mail wird daraufhin entschlüsselt und verifiziert, und soweit alles zusammen passt, wird (z.B.) der Port freigeschaltet, bzw. der Dienst, der darauf lauscht dadurch gestartet.
Ich hielt es seinerzeit für eine recht gut Idee, jedenfalls erschien sie mir "sicherer" als das Abklopfen einiger Ports.
Wer jetzt lachen möchte, kann das jedenfalls gerne tun.
Sollte sich (wider Erwarten) jemand finden, der Interesse an einer Umsetzung hat, kann sich natürlich gerne bei mir melden.Verwandte Links:
Trackbacks
Trackback für spezifische URI dieses Eintrags
Keine Trackbacks
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Naja, dein Gegenargument trifft für Rechner wie einen Rootserver mit fester IP sicherlich zu.
Ich muss gestehen, daran hatte ich gar nicht gedacht. Aber für einen Zugang auf den heimischen DSL-Router wäre es doch machbar. Zumal professionelles Interesse am hacken eines Dial-ups sicherlich weniger vorhanden ist. - Zumindestens, wenn durch portnocking eine weitere Hürde eingebaut ist.
Ich muss gestehen, daran hatte ich gar nicht gedacht. Aber für einen Zugang auf den heimischen DSL-Router wäre es doch machbar. Zumal professionelles Interesse am hacken eines Dial-ups sicherlich weniger vorhanden ist. - Zumindestens, wenn durch portnocking eine weitere Hürde eingebaut ist.
Ich denke schon, dass das Interesse an DialUps (Stichwort Botnets) seit ein paar Monaten höher ist als weithin angenommen.
Dass es sich dabei allerdings um "leichtere" Ziele (wie ungepatchte Windows-Kisten) handelt, dürfte genau so unstrittig sein.
Dass es sich dabei allerdings um "leichtere" Ziele (wie ungepatchte Windows-Kisten) handelt, dürfte genau so unstrittig sein.
Netter Artikel. Danke!
Mein VPS Server wurde diese Woche bereitgestellt und da kommt dann Debian drauf (standardmäßig ist SuSE drauf..) und da wollte ich eigentlich das PortKnocking-Script von: http://www.debian-administration.org/articles/268
nutzen.
Irgendwie hast du in mir jetzt gerade das Gefühl das es doch nicht so sicher ist..
Wobei sicherer als Port 22 ständig offen zu lassen ist es allemal.
Und Portknocking in Verbindung mit sowas hier: http://www.debian-administration.org/articles/250 sollte auch einiges abhalten.
Und wenn beides kombiniert, den SSH-Port ändert (z.B. auf Port 23425) und ein Tool wie KnockD oder fail2ban benutzt (Kommentare im voherigen Link lesen) sollte das mehr als reichen.
Gegen social engineering bin ich (hoffentlich) immun
Khark
Mein VPS Server wurde diese Woche bereitgestellt und da kommt dann Debian drauf (standardmäßig ist SuSE drauf..) und da wollte ich eigentlich das PortKnocking-Script von: http://www.debian-administration.org/articles/268
nutzen.
Irgendwie hast du in mir jetzt gerade das Gefühl das es doch nicht so sicher ist..
Wobei sicherer als Port 22 ständig offen zu lassen ist es allemal.
Und Portknocking in Verbindung mit sowas hier: http://www.debian-administration.org/articles/250 sollte auch einiges abhalten.
Und wenn beides kombiniert, den SSH-Port ändert (z.B. auf Port 23425) und ein Tool wie KnockD oder fail2ban benutzt (Kommentare im voherigen Link lesen) sollte das mehr als reichen.
Gegen social engineering bin ich (hoffentlich) immun
Khark
Bis vor gar nicht allzu langer Zeit hätte ich dir grundlegend von Portknocking abgeraten, da ich es für security by obscurity gehalten habe.
Wie bereits geschrieben, halte ich es mittlerweile aber alleine deshalb schon für sinnvoll, um nicht dem ständigen Generve der versuchten Wurm-Logins ausgesetzt zu sein.
Mir will allerdings nicht so recht in den Kopf, warum du zusätzlich noch den Port "verlegen" möchtest. Diese Maßnahme halte ich wirklich für security by obscurity, vor allem, da Würmer niemals das Portknocking automatisiert aushebeln werden, und Kiddies alleine schon an dieser Hürde scheitern.
Wie bereits geschrieben, halte ich es mittlerweile aber alleine deshalb schon für sinnvoll, um nicht dem ständigen Generve der versuchten Wurm-Logins ausgesetzt zu sein.
Mir will allerdings nicht so recht in den Kopf, warum du zusätzlich noch den Port "verlegen" möchtest. Diese Maßnahme halte ich wirklich für security by obscurity, vor allem, da Würmer niemals das Portknocking automatisiert aushebeln werden, und Kiddies alleine schon an dieser Hürde scheitern.
Also mir wurde gestern vorgewurfen paranoid zu sein.
- Mir egal
Ähm und wegen Security by Obscurity:
Mir doch egal das nicht jeder weiß auf welchem Port mein SSH liegt.
Die grundlegenden Funktionen sind doch offen. Es kennt halt nur nicht jeder den Port.
- Ich finde, das wenn du sowas als "Security by Obscurity" bezeichnest, du Passwörter auch als "Security by Obscurity" bezeichnen könntest.
Da weiß auch jeder es gibt eines, aber er kennt es halt nur nicht.
Genau wie beim Server. Da kann man sich auch denken "Irgendwie muss er per Shell draufkommen." - nur wie, das weiß er nicht.
Mal aggressiv gefragt:
Ist es mein Problem wenn der Angreifer zu lame ist, das herauszufinden? g
- Mir egal
Ähm und wegen Security by Obscurity:
Mir doch egal das nicht jeder weiß auf welchem Port mein SSH liegt.
Die grundlegenden Funktionen sind doch offen. Es kennt halt nur nicht jeder den Port.
- Ich finde, das wenn du sowas als "Security by Obscurity" bezeichnest, du Passwörter auch als "Security by Obscurity" bezeichnen könntest.
Da weiß auch jeder es gibt eines, aber er kennt es halt nur nicht.
Genau wie beim Server. Da kann man sich auch denken "Irgendwie muss er per Shell draufkommen." - nur wie, das weiß er nicht.
Mal aggressiv gefragt:
Ist es mein Problem wenn der Angreifer zu lame ist, das herauszufinden? g
Ach ja, das der Remote-Root-Login disabeld ist, sollte klar sein
Was sollte mich daran hindern, nmap einfach mal deinen "sicheren" SSH-Port finden zu lassen?
Sorry, aber in dem Punkt hinkt der Vergleich mit den Passwörtern ganz gewaltig.
Andererseits würde ich deiner "aggressiven" Frage wiederum zustimmen: wer zu blöd ist das zu tun, sollte besser wieder zum Gameboy greifen.
Sorry, aber in dem Punkt hinkt der Vergleich mit den Passwörtern ganz gewaltig.
Andererseits würde ich deiner "aggressiven" Frage wiederum zustimmen: wer zu blöd ist das zu tun, sollte besser wieder zum Gameboy greifen.
Hmmm,
irgendwie wüßte ich jetzt nicht, wie ich mit nmap einen SSH-Port (oder Port eines bestimmten Dienstes allg.) finden sollte, wenn:
- Der Port durch PortKnocking versteckt ist
- Der Defaultport geändert ist
Klar.. Per Bruteforce mit Rotation..
Nur das dauert ewig und 3 Tage und fällt schnell auf. Außerdem kann man dem schnell einen Riegel vorschrieben. (Zumindest wenn der Verkehr von einer IP kommt - sich Muster erkennen lassen.)
Wie würdest du das den machen??
irgendwie wüßte ich jetzt nicht, wie ich mit nmap einen SSH-Port (oder Port eines bestimmten Dienstes allg.) finden sollte, wenn:
- Der Port durch PortKnocking versteckt ist
- Der Defaultport geändert ist
Klar.. Per Bruteforce mit Rotation..
Nur das dauert ewig und 3 Tage und fällt schnell auf. Außerdem kann man dem schnell einen Riegel vorschrieben. (Zumindest wenn der Verkehr von einer IP kommt - sich Muster erkennen lassen.)
Wie würdest du das den machen??
OK, touché. Ich hatte das Portknocking außer Acht gelassen.
Trotz allem wäre es mir persönlich zu blöd, zusätzlich noch den Port zu ändern, selbst wenn ich dazu nicht einen Buchstaben mehr eintippen müsste.
Trotz allem wäre es mir persönlich zu blöd, zusätzlich noch den Port zu ändern, selbst wenn ich dazu nicht einen Buchstaben mehr eintippen müsste.
*in alten beiträgen wühl* Hach, ich liebe dieses leidige Thema von Security by obscurity, da kann man sich stundenlang im Kreis drehen und kommt trotzdem nicht auf einen gemeinsamen Nenner. Aber wenn ich ehrlich bin, würde ich rein theoretisch eher den Port umstellen als mir die Pest von Anti-SSH-Dies und Anti-SSH-Das zusätzlich als möglichen Schadcode ins System pflanzen. Ansonsten vertrete ich die selbe Meinung wie Mr. CaptainCrunch was Security by obscurity betrifft.
btw. Hab mir bisher aus zeitlichen Gründen nur knockd angeschaut und bin bisher von der soliden Konfiguration begeistert. Mich würde aber vielmehr deine Auswahl mit Wertung interessieren (ist ja immerhin ein Blog, wo man alles frei nach Schnutte nieder macht oder wie war das nochmal?).
btw. Hab mir bisher aus zeitlichen Gründen nur knockd angeschaut und bin bisher von der soliden Konfiguration begeistert. Mich würde aber vielmehr deine Auswahl mit Wertung interessieren (ist ja immerhin ein Blog, wo man alles frei nach Schnutte nieder macht oder wie war das nochmal?).
Klar, eine kleine Testauswahl kann ich hier gerne zum Besten geben. Da ich aber gerade mal angefangen habe, kann das wohl noch ein paar Tage dauern...
Ich find's allerdings auch lustig, dass gerade dieses Thema so großen Anklang findet, da ich das Thema eigentlich eher langweilig finde.
Na ja, Geschmäcker sind halt verschieden.
Ich find's allerdings auch lustig, dass gerade dieses Thema so großen Anklang findet, da ich das Thema eigentlich eher langweilig finde.
Na ja, Geschmäcker sind halt verschieden.
Also auf die Vorstellung der Tools bin ich auch gespannt. Könnte dafür auch einen Rootserver zur Verfügung stellen.
(Da läuft aber z.Z. noch das vorinstallierte SuSE Linux 9.1 drauf.)
P.S: Langsam werden mir das hier zuviele Christians. Ich bleib daher mal bei Khark
(Da läuft aber z.Z. noch das vorinstallierte SuSE Linux 9.1 drauf.)
P.S: Langsam werden mir das hier zuviele Christians. Ich bleib daher mal bei Khark
An einer Testkiste soll's aktuell nicht scheitern, da ich meinen alten, schon gekündigten Rootie noch als Spielwiese nutzen kann. Was viel eher fehlt ist Zeit, aber immerhin habe ich ja nächste Woche urlaub. 
Kommentar schreiben
Links des Artikels
Suche
Kalender
|
July '09 | |||||
| Mon | Tue | Wed | Thu | Fri | Sat | Sun |
| 1 | 2 | 3 | 4 | 5 | ||
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 | ||
Powered by
Sonstiges
