[linux-l] Rechner hinter Router administrieren
Peter Ross
Peter.Ross at alumni.tu-berlin.de
Do Sep 20 02:48:41 CEST 2007
Hi Thorsten,
On Wed, 19 Sep 2007, Thorsten Stöcker wrote:
> > Ja, zu einer abgeschirmten Box, bei der ausser ssh (nicht auf Port 22,
> > damit faellt schon mal 99% des Scannens) nichts geht, mit restriktiven
> > Accounts, die keine Daten enthaelt und die auch nichts weiter rauslaesst.
>
> Ja, ich habe mir schon von Oswald ne Abreibung abgeholt.
Well.. ich wollte nur sagen, dass ich nicht ganz blauaeugig bin;-) und
eben ausfuehren, dass es Methoden gibt, die Situation zu entschaerfen. Ich
schreibe gleich mal, was wir uns beim Einrichten so gedacht haben.
Nebenbei: Auf doppelte Verschluesselung wie vorgeschlagen gebe ich
uebrigens nicht allzuviel (ssh in ssh), da, wenn ein Hack vorhanden sein
sollte, er nur zweimal benutzt werden muss.
Hier eine kurz "hingeworfene" Mitternachtssicherheitsanalyse:
Ganz sicher ist jede Sicherheit nicht 100%ig. In meinem Fall gibt es erst
einmal folgende Machinen, die Du angreifen kannst:
- den Client
- den SSH-Server
Der Client selbst ist sicher auf verschiedene Weise angreifbar, da es sich
um Windowsmaschinen handelt, ist aber der Supportverbindungsbau, der
- ueber eine man in the middle attack moeglich ist
Gegengift: 1)der public key des Servers auf dem Laptop,
2) der Support wird interaktiv betrieben [Anruf],
so dass es schnell auffaellt, wenn die Verbindung nicht zustande
kommt)
- oder aber durch Entschluesseln des ssh-Verkehrs
(well, ssh2 gilt nicht ganz unsicher..)
eindeutig nicht der schwaechste Punkt einer Windowsmaschine.
Anders gesagt, es gibt viele andere Moeglichkeiten, eine Windose zu
hacken, unser Support ist da nicht die einfachste.
Was aber, wenn der Client gehackt ist, oder ein unauthorisierter Rechner
sich mit dem Server verbindet?
Sicher, der Client hat ein Problem (wie jede gehackte Maschine eins hat),
aber es ist noch lange keines, welches das interne Netz bedroht, genauso
wie der unauthorisierte Zugriff.
Angenommen, der Key gelangt in unbefugte Haende.. Das heisst:
Verbindungsaufbau zu einem isoliert stehenden Rechner ist moeglich,
inklusive einer "Shell", die nicht interaktiv ist. Alles, was sie macht,
ist: nichts.
Die isolierte Maschine hat keinerlei Zugang zum Firmennetz, ausgehende
Verbindungen sind nicht zugelassen.
Das heisst, wennn Du dort anlangst, bist Du am Endpunkt. Du kannst
hoechstens zu einem Port dieses Rechners einen Tunnel aufbauen.
Das ist der Sinn der Sache, ueber einen zweiten sshd - nur von den
Supportmaschinen zugaenglich, nicht von aussen - wird dieser dann an die
Supportmaschine "durchgereicht", das setzt aber die Aktivitaet des
Supports voraus. es kann nicht vom Einwahlrechner geschehen.
Du kannst versuchen, aus der "Nichtshell" auszubrechen (da sie auf nichts
reagiert und keine Kommandos ausfuehrt, recht schwierig), und dann
Rootzugriff erlangen.
Oder halt direkt durch eine Schwachstelle im sshd + Root.
Das heisst: zwei Schwachstellen auf einer kurzgehaltenen
Minimalinstallation. Die musst Du erst mal finden.
Nur, was hast Du, wenn Du auf der Einwahlmaschine Root geworden bist?
Kontrolle ueber einen isolierten Rechner, der keinerlei Zugriff auf andere
Rechner hat.
D.h. Du kannst keinerlei Verbindungen aufbauen, und auch die Firewalls
nicht veraendern.
Du koenntest evt. dann den zweitren ssh durch 'Eigenkreationen' ersetzen,
um so den Supportrechnern einen Eintrittspunkt vorzutaeuschen.
Die sind aber auch nicht im Zentrum des Firmennetzes;-) und haben z.B.
keinerlei Zugriff auf die Firmenserver.
Oder halt den ersten sshd, um Clients eins "auszuwischen". Dazu.. siehe
Windowsrechner, siehe oben.. das kann man sicher einfacher..
Ich werde mich hueten, jetzt Firmenadresse und Port auszuplaudern, weil es
halt vertraulich ist. Und ganz bestimmt habe ich auch noch ein oder zwei
Kleinigkeiten vergessen;-)
Persoenlich wuerde ich das wie mein Bekannter Russell Cooker (einer der
SELinux-Entwickler) halten: stell mal solche eine Maschine ins Netz und
guck mal, was andere Leute so treiben;-)
Allerdings bezahlt mich dafuer keiner, und mir selbst fehlt ein bisschen
die Zeit, um so ein Projekt zu ueberwachen.
Aber ich denke, es gibt viele viel viel unsichere Einwahlen im Internet
als diese, und ich bin einigermassen beruhigt.
Und ausserdem war das mein Job und ist es nicht mehr;-) Deshalb jetzt
Schluss damit..
Es gruesst
Peter
Mehr Informationen über die Mailingliste linux-l