Sichere Fernwartung

Wohnzimmeradmin

Remote-Zugänge zu Rechenzentren und Cloudservern stellen immer auch ein Sicherheitsrisiko dar. Das wichtigste Kriterium für Zugänge aus der Ferne muss daher die Sicherheit sein, auch wenn darunter der Komfort für den Administrator etwas leidet. In diesem Workshop stellen wir verschiedene Protokolle und Zugänge zu Linux-Systemen vor, die sich dann auch als Tunnel zu anderen Systemen wie Windows, Switches oder Storage nutzen lassen. Natürlich immer mit dem Fokus auf die Sicherheit.
Längst stehen Firmen mit einem Fuß in der Cloud. Um den Übergang in die Wolke möglichst reibungslos zu gestalten, dreht sich der Schwerpunkt im Juni-Heft um ... (mehr)

Das wichtigste Protokoll für Remote-Zugänge ist die Secure Shell (SSH) [1]. Abgesehen von dem 2014 entdeckten Heartbleed-Bug gilt das Protokoll als sehr sicher und wird auf fast allen Linux-Servern verwendet – zumindest für Zugänge aus dem LAN. Auch Microsoft offeriert für Windows 10 und aktuelle Servervarianten einen SSH-Server-Dienst.

Aber nicht nur Administratoren, sondern auch Hacker kennen sich mit SSH aus. Im großen Stil versuchen Angreifer, mit schwachen Passwörtern in Systeme einzudringen und diese dann ihrem Bot-Netzwerk hinzuzufügen. Startet ein Anwender heute einen virtuellen Server auf einer beliebigen Cloudplattform, dauert es nur wenige Minuten, bis im Audit-Log die ersten gescheiterten Versuche von SSH-Logins auf Port 22 auftauchen.

Sicheres SSH

Für SSH-Installationen, die aus dem Internet heraus erreichbar sind, gelten daher strengere Sicherheitsvorkehrungen als für SSH-Zugänge aus dem Intranet. SSH arbeitet auf Port 22 und genau diesen versuchen Angreifer zu penetrieren. Sucht sich der Anwender einen anderen Port für seinen Zugang aus, verschont ihn das von 99 Prozent der Massenattacken. Nicht, dass der Zugang an sich dadurch sicherer würde, aber den Angreifern geht es in erster Linie darum, möglichst schnell möglichst viele Systeme zu infiltrieren. Sie haben schlicht und ergreifend keine Zeit für langwierige Portscans, die über 10.000 Ports des Zielsystems absuchen, um eventuell einen versteckten SSH-Zugang zu finden – was dann immer noch nicht bedeutet, dass sie da auch hereinkommen. Zudem erkennen Firewalls Portscans und auch etliche Internetprovider offerieren Port-Scan-Detection als Service.

Alle Attacken auf den SSH-Dienst versuchen mit bekannten Kombinationen von Benutzernamen und Passwörtern in das System einzudringen. Die simple Antwort darauf: Erlauben Sie einfach keine Passwort-Logins, sondern arbeiten Sie ausschließlich mit

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021