On Tue, Jul 05, 2005 at 11:28:37PM +0200, Stephan Gromer wrote:
> b) SSH-Port nicht auf dem Standardport lassen
> Dieser Vorschlag vermindert sicher einen Teil der Angriffe. Allerdings
> muss ich feststellen das die Ports inzwischen auch im hohen Bereich
> abgesucht werden.
Eben, denn ein dummes script wird eh nur eine gewisse Anzahl von
username/password Kombinationen ausprobieren, solange Du entweder ein
gutes (random) oder einen public key verwendest spielen diese scripte
sowieso keine Rolle.
Falls es sich um einen gezielten Angriff handeln sollte, dann ist dies
kein Hindernis.
> wahrscheinlilch noch verwirklicht. Problem ist aber der Urlaub, wo ich
> schon froh bin in einem Internetcafe überhaupt SSH-Zugang zu bekommen
> (meist darf man ja nicht mit dem eigenen Rechner ran)
Dies wuerde ich allerdings tuen, ich logge mich grundsaetzlich
nur von eigenen Rechnern ein wo ich sehr sicher sein kann, dass nichts
geloggt wird, sei es auf Rechner zuhause oder in der UNI.
Geht aber auch, wenn man nicht so faul ist wie ich, man sollte OTP
Passwörter für so etwas verwenden, die verfügbaren Lösungen sind aber
alle irgendwie komisch.
> e) SSH-Zugriff über IP-Tables nur von vertrauten Subnetzen zulassen.
vertraute was?
> evtl. in Kombi mit dem von mir ja schon angesprochenen Zugriffsverbot
> nach 43-4 Versuchen für 1 Stunde
Die Blacklist ist eine gute Idee, alles andere ist einfach
übertriebener Aufwand.
Rechenbeispiel: es greifen 8000 Rechner an, die koennen jeweils 1 mal
die Stunde 4 Moeglichkeiten Probieren, das sind nur 2^12*2^2*2^5 = 2^19
= 1 Millionen Kombinationen pro Tag.
Für gute Passwörter dauert das einfach zu lange, es besteht keine
Gefahr.
Ein Angreifer mit wirklich großem Interesse an den Daten würde dich
einfach zuhause Besuchen und sich eine rootshell geben lassen oder etwas
harmloser erstmal einen Keylogger/Kamera installieren.
> Eben dies machte mir Sorgen, weil die im Prinzip
> beliebig lange Zeit haben, sich meinem Rechner zu "widmen" (ein
> Rechner hat es z.B. mit über 2500 Versuchen probiert).
Schon ein 8 stelliges Passwort (random -> base64) hat 48 bit, 2500
Versuche sind 2^12 -> die Wahrscheinlichkeit für einen Treffer liegt
also bei 1/2^36.
(grob gerechnet, in der Realitaet sieht es etwas schlechter aus, da das
Passwort schliesslich gehasht ist und es dadurch Kollisionen geben wird...)
Es gibt viele Dinge die wesentlich wahrscheinlicher eintreten und viel
schlimmer sind als alles was man mit dem betreffendem Rechner anstellen
könnte.
Gruss
Christian Leber
--
http://www.nosoftwarepatents.com
Received on Wed Jul 6 02:43:25 2005