[linux-l] Rechner hinter Router administrieren

Thorsten Stöcker tstoecker at baerensoftware.de
Do Sep 20 01:21:00 CEST 2007 

Hi Peter,

>
> Well.. ich wollte nur sagen, dass ich nicht ganz blauaeugig bin;-) und
> eben ausfuehren, dass es Methoden gibt, die Situation zu entschaerfen. Ich
> schreibe gleich mal, was wir uns beim Einrichten so gedacht haben.
>

Da fängt es in den meisten Fällen leider schon an. Nichts gedacht, oder besser 
kenn ich nicht, gibts nicht. :-)

> Nebenbei: Auf doppelte Verschluesselung wie vorgeschlagen gebe ich
> uebrigens nicht allzuviel (ssh in ssh), da, wenn ein Hack vorhanden sein
> sollte, er nur zweimal benutzt werden muss.
>

Naja, macht wohl auch nur Sinn, mit unterschiedlichen Schlüsseln.

>
> Ganz sicher ist jede Sicherheit nicht 100%ig. In meinem Fall gibt es erst
> einmal folgende Machinen, die Du angreifen kannst:
>
> - den Client
> - den SSH-Server
>
> Der Client selbst ist sicher auf verschiedene Weise angreifbar, da es sich
> um Windowsmaschinen handelt, ist aber der Supportverbindungsbau, der
> - ueber eine man in the middle attack moeglich ist
>   Gegengift: 1)der public key des Servers auf dem Laptop,
>   2) der Support wird interaktiv betrieben [Anruf],
>      so dass es schnell auffaellt, wenn die Verbindung nicht zustande
>      kommt)

--> Das war mein Einwand, unkontrollierter Verbindungsaufbau, genau danach 
hörte sich das an.

> - oder aber durch Entschluesseln des ssh-Verkehrs
>   (well, ssh2 gilt nicht ganz unsicher..)
>

Wovon einige glauben es geht nicht. Ich bin mir sicher das es geht, mit dem 
notwendigen Einsatz.

> eindeutig nicht der schwaechste Punkt einer Windowsmaschine.
>

Nun ja, wenn an einem Ende solche hängt, würde ich auch eher versuchen diese 
anzugreifen, sehr viel erfolgversprechender als alles andere.

> Anders gesagt, es gibt viele andere Moeglichkeiten, eine Windose zu
> hacken, unser Support ist da nicht die einfachste.
>

Das mag sein, aber es gibt halt auch genügend Leute, die einfach nur beweisen 
wollen das es geht, die werden dann nicht die Windows-Kiste nehmen.

> Was aber, wenn der Client gehackt ist, oder ein unauthorisierter Rechner
> sich mit dem Server verbindet?
>
> Sicher, der Client hat ein Problem (wie jede gehackte Maschine eins hat),
> aber es ist noch lange keines, welches das interne Netz bedroht, genauso
> wie der unauthorisierte Zugriff.
>
> Angenommen, der Key gelangt in unbefugte Haende.. Das heisst:
> Verbindungsaufbau zu einem isoliert stehenden Rechner ist moeglich,
> inklusive einer "Shell", die nicht interaktiv ist. Alles, was sie macht,
> ist: nichts.
>

Ja, das Konzept hat natürlich was für sich!

> Die isolierte Maschine hat keinerlei Zugang zum Firmennetz, ausgehende
> Verbindungen sind nicht zugelassen.
>
> Das heisst, wennn Du dort anlangst, bist Du am Endpunkt. Du kannst
> hoechstens zu einem Port dieses Rechners einen Tunnel aufbauen.
>
> Das ist der Sinn der Sache, ueber einen zweiten sshd - nur von den
> Supportmaschinen zugaenglich, nicht von aussen - wird dieser dann an die
> Supportmaschine "durchgereicht", das setzt aber die Aktivitaet des
> Supports voraus. es kann nicht vom Einwahlrechner geschehen.
>

So macht das natürlich Sinn.

> Du kannst versuchen, aus der "Nichtshell" auszubrechen (da sie auf nichts
> reagiert und keine Kommandos ausfuehrt, recht schwierig), und dann
> Rootzugriff erlangen.
>

Naja, bleibt der theortische Schwachpunkt shell. Ich habe mich noch nicht 
damit beschäftigt, welche Manipulationsmöglichkeiten es beim Start einer 
shell gibt, kann alsio keine Aussage dazu treffen.

> Oder halt direkt durch eine Schwachstelle im sshd + Root.
>
> Das heisst: zwei Schwachstellen auf einer kurzgehaltenen
> Minimalinstallation. Die musst Du erst mal finden.
>

Wie gesagt, es ist sicher eine Frage des Aufwands, den man bereit ist zu 
betreiben.

> Nur, was hast Du, wenn Du auf der Einwahlmaschine Root geworden bist?
> Kontrolle ueber einen isolierten Rechner, der keinerlei Zugriff auf andere
> Rechner hat.
>

Die Kontrolle über Deine Einwahlmaschine, es wird sich, sofern man dieses Ziel 
erreicht sicher ein Möglichkeit finden, Schaden anzurichten, oder zumindest 
Dinge zu unternehmen, die man früher "groben Unfug" nannte.

> D.h. Du kannst keinerlei Verbindungen aufbauen, und auch die Firewalls
> nicht veraendern.
>
> Du koenntest evt. dann den zweitren ssh durch 'Eigenkreationen' ersetzen,
> um so den Supportrechnern einen Eintrittspunkt vorzutaeuschen.
>

:-), z.B.

> Die sind aber auch nicht im Zentrum des Firmennetzes;-) und haben z.B.
> keinerlei Zugriff auf die Firmenserver.
>

Weißt Du, es muß nicht mal ein geldwerter Schaden entstehen, alleine die 
Information, ein Firmenrechner wurde gehackt, könnte schon erhebliche 
Kolateralschäden verursachen. Es ist ein Unterschied ob den Support-Rechner 
(ssh-Server) bei Autohaus Hinz&Kunz oder den der Entwicklungsabteilung von 
Mercedes hackst, obwohl die Arbeit die gleiche wäre.

> Oder halt den ersten sshd, um Clients eins "auszuwischen". Dazu.. siehe
> Windowsrechner, siehe oben.. das kann man sicher einfacher..
>
> Ich werde mich hueten, jetzt Firmenadresse und Port auszuplaudern, weil es
> halt vertraulich ist. Und ganz bestimmt habe ich auch noch ein oder zwei
> Kleinigkeiten vergessen;-)
>

Wäre sicher auch sehr sinnvoll, dies auf einer Mailingliste zu tun. :-)

> Persoenlich wuerde ich das wie mein Bekannter Russell Cooker (einer der
> SELinux-Entwickler) halten: stell mal solche eine Maschine ins Netz und
> guck mal, was andere Leute so treiben;-)
>

Ja. Logs von Firewalls können da auch sehr interessant sein. Wenn Du dann mal 
auf dem externen Interface Anfragen für 137-139 findest :-)  Oder auf der 
zweiten Firewall der DMZ Verbindungsaufbau-Anfragen Deiner DMZ-Server , die 
so gleich mal auf 8080 fragen oder versuchen eine DEC-Net-Verbindung zu 
etablieren oder das jemand versucht über ntp etwas zu werden.

Vielleicht bin ich ja paranoid (was ich ob meiner eigenen Installation 
eigentlich nicht behaupten würde) aber bei meinen Kunden sieht das etwas 
anders aus. Abgesehen davon, das auf den Firewalls nichts läuft, was nicht 
unbedingt benötigt wird, sind auch die internen Netze keineswegs trusted. Und 
ich bin manchesmal quer durch Berlin gefahren, um EINEM Client auf EINEM Port 
einen  Verbindungsaufvau zu erlauben. SSH Zugriff von extern? Nicht bei mir.



-- 
Bären-Software
Thorsten Stöcker
Wichernstr. 40
13587 Berlin-Spandau
T: +49 (0)30 / 333 098 12
F: +49 (0)30 / 333 098 13
M: +49 (0)160 / 973 101 68
W: http://www.baerensoftware.de

Mehr Informationen über die Mailingliste linux-l