[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Danke f
[Thread Prev] | [Thread Next]
- Subject: Re: Danke f
- From: Christian Leber <christian@xxxxxxxx>
- Date: Wed, 6 Jul 2005 02:42:53 +0200
- To: uugrn@xxxxxxxxxxxxxxx
On Tue, Jul 05, 2005 at 11:28:37PM +0200, Stephan Gromer wrote: > b) SSH-Port nicht auf dem Standardport lassen > Dieser Vorschlag vermindert sicher einen Teil der Angriffe. Allerdings > muss ich feststellen das die Ports inzwischen auch im hohen Bereich > abgesucht werden. Eben, denn ein dummes script wird eh nur eine gewisse Anzahl von username/password Kombinationen ausprobieren, solange Du entweder ein gutes (random) oder einen public key verwendest spielen diese scripte sowieso keine Rolle. Falls es sich um einen gezielten Angriff handeln sollte, dann ist dies kein Hindernis. > wahrscheinlilch noch verwirklicht. Problem ist aber der Urlaub, wo ich > schon froh bin in einem Internetcafe ueberhaupt SSH-Zugang zu bekommen > (meist darf man ja nicht mit dem eigenen Rechner ran) Dies wuerde ich allerdings tuen, ich logge mich grundsaetzlich nur von eigenen Rechnern ein wo ich sehr sicher sein kann, dass nichts geloggt wird, sei es auf Rechner zuhause oder in der UNI. Geht aber auch, wenn man nicht so faul ist wie ich, man sollte OTP Passwoerter fuer so etwas verwenden, die verfuegbaren Loesungen sind aber alle irgendwie komisch. > e) SSH-Zugriff ueber IP-Tables nur von vertrauten Subnetzen zulassen. vertraute was? > evtl. in Kombi mit dem von mir ja schon angesprochenen Zugriffsverbot > nach 43-4 Versuchen fuer 1 Stunde Die Blacklist ist eine gute Idee, alles andere ist einfach uebertriebener Aufwand. Rechenbeispiel: es greifen 8000 Rechner an, die koennen jeweils 1 mal die Stunde 4 Moeglichkeiten Probieren, das sind nur 2^12*2^2*2^5 = 2^19 = 1 Millionen Kombinationen pro Tag. Fuer gute Passwoerter dauert das einfach zu lange, es besteht keine Gefahr. Ein Angreifer mit wirklich grossem Interesse an den Daten wuerde dich einfach zuhause Besuchen und sich eine rootshell geben lassen oder etwas harmloser erstmal einen Keylogger/Kamera installieren. > Eben dies machte mir Sorgen, weil die im Prinzip > beliebig lange Zeit haben, sich meinem Rechner zu "widmen" (ein > Rechner hat es z.B. mit ueber 2500 Versuchen probiert). Schon ein 8 stelliges Passwort (random -> base64) hat 48 bit, 2500 Versuche sind 2^12 -> die Wahrscheinlichkeit fuer einen Treffer liegt also bei 1/2^36. (grob gerechnet, in der Realitaet sieht es etwas schlechter aus, da das Passwort schliesslich gehasht ist und es dadurch Kollisionen geben wird...) Es gibt viele Dinge die wesentlich wahrscheinlicher eintreten und viel schlimmer sind als alles was man mit dem betreffendem Rechner anstellen koennte. Gruss Christian Leber -- http://www.nosoftwarepatents.com