[linux-l] Rechner hinter Router administrieren

Peter Ross Peter.Ross at alumni.tu-berlin.de
Do Sep 20 02:48:41 CEST 2007 

Hi Thorsten,

On Wed, 19 Sep 2007, Thorsten Stöcker wrote:

> > Ja, zu einer abgeschirmten Box, bei der ausser ssh (nicht auf Port 22,
> > damit faellt schon mal 99% des Scannens) nichts geht, mit restriktiven
> > Accounts, die keine Daten enthaelt und die auch nichts weiter rauslaesst.
> 
> Ja, ich habe mir schon von Oswald ne Abreibung abgeholt. 

Well.. ich wollte nur sagen, dass ich nicht ganz blauaeugig bin;-) und 
eben ausfuehren, dass es Methoden gibt, die Situation zu entschaerfen. Ich 
schreibe gleich mal, was wir uns beim Einrichten so gedacht haben.

Nebenbei: Auf doppelte Verschluesselung wie vorgeschlagen gebe ich 
uebrigens nicht allzuviel (ssh in ssh), da, wenn ein Hack vorhanden sein 
sollte, er nur zweimal benutzt werden muss.

Hier eine kurz "hingeworfene" Mitternachtssicherheitsanalyse:

Ganz sicher ist jede Sicherheit nicht 100%ig. In meinem Fall gibt es erst 
einmal folgende Machinen, die Du angreifen kannst:

- den Client
- den SSH-Server

Der Client selbst ist sicher auf verschiedene Weise angreifbar, da es sich 
um Windowsmaschinen handelt, ist aber der Supportverbindungsbau, der 
- ueber eine man in the middle attack moeglich ist
  Gegengift: 1)der public key des Servers auf dem Laptop,
  2) der Support wird interaktiv betrieben [Anruf],
     so dass es schnell auffaellt, wenn die Verbindung nicht zustande 
     kommt)  
- oder aber durch Entschluesseln des ssh-Verkehrs
  (well, ssh2 gilt nicht ganz unsicher..)

eindeutig nicht der schwaechste Punkt einer Windowsmaschine.

Anders gesagt, es gibt viele andere Moeglichkeiten, eine Windose zu 
hacken, unser Support ist da nicht die einfachste.

Was aber, wenn der Client gehackt ist, oder ein unauthorisierter Rechner 
sich mit dem Server verbindet?

Sicher, der Client hat ein Problem (wie jede gehackte Maschine eins hat), 
aber es ist noch lange keines, welches das interne Netz bedroht, genauso 
wie der unauthorisierte Zugriff.

Angenommen, der Key gelangt in unbefugte Haende.. Das heisst: 
Verbindungsaufbau zu einem isoliert stehenden Rechner ist moeglich, 
inklusive einer "Shell", die nicht interaktiv ist. Alles, was sie macht, 
ist: nichts.

Die isolierte Maschine hat keinerlei Zugang zum Firmennetz, ausgehende 
Verbindungen sind nicht zugelassen.

Das heisst, wennn Du dort anlangst, bist Du am Endpunkt. Du kannst 
hoechstens zu einem Port dieses Rechners einen Tunnel aufbauen.

Das ist der Sinn der Sache, ueber einen zweiten sshd - nur von den 
Supportmaschinen zugaenglich, nicht von aussen - wird dieser dann an die 
Supportmaschine "durchgereicht", das setzt aber die Aktivitaet des 
Supports voraus. es kann nicht vom Einwahlrechner geschehen.

Du kannst versuchen, aus der "Nichtshell" auszubrechen (da sie auf nichts 
reagiert und keine Kommandos ausfuehrt, recht schwierig), und dann 
Rootzugriff erlangen.

Oder halt direkt durch eine Schwachstelle im sshd + Root.

Das heisst: zwei Schwachstellen auf einer kurzgehaltenen 
Minimalinstallation. Die musst Du erst mal finden.

Nur, was hast Du, wenn Du auf der Einwahlmaschine Root geworden bist? 
Kontrolle ueber einen isolierten Rechner, der keinerlei Zugriff auf andere 
Rechner hat.

D.h. Du kannst keinerlei Verbindungen aufbauen, und auch die Firewalls 
nicht veraendern.

Du koenntest evt. dann den zweitren ssh durch 'Eigenkreationen' ersetzen, 
um so den Supportrechnern einen Eintrittspunkt vorzutaeuschen.

Die sind aber auch nicht im Zentrum des Firmennetzes;-) und haben z.B. 
keinerlei Zugriff auf die Firmenserver.

Oder halt den ersten sshd, um Clients eins "auszuwischen". Dazu.. siehe 
Windowsrechner, siehe oben.. das kann man sicher einfacher..

Ich werde mich hueten, jetzt Firmenadresse und Port auszuplaudern, weil es 
halt vertraulich ist. Und ganz bestimmt habe ich auch noch ein oder zwei 
Kleinigkeiten vergessen;-)

Persoenlich wuerde ich das wie mein Bekannter Russell Cooker (einer der 
SELinux-Entwickler) halten: stell mal solche eine Maschine ins Netz und 
guck mal, was andere Leute so treiben;-)

Allerdings bezahlt mich dafuer keiner, und mir selbst fehlt ein bisschen 
die Zeit, um so ein Projekt zu ueberwachen.

Aber ich denke, es gibt viele viel viel unsichere Einwahlen im Internet 
als diese, und ich bin einigermassen beruhigt.

Und ausserdem war das mein Job und ist es nicht mehr;-) Deshalb jetzt 
Schluss damit..

Es gruesst
Peter

Mehr Informationen über die Mailingliste linux-l