SSH Versionsnummer verbergen

Lesenswerte Artikel, Anleitungen und Diskussionen
User avatar
nyxus
Posts: 626
Joined: 2002-09-13 08:41
Location: Lübeck

Re: SSH Versionsnummer verbergen

Post by nyxus » 2004-07-11 20:03

dodolin wrote:
Aber was hat es mit diesem Fall zu tun?
IMHO sehr viel. Wenn du den Zusammenhang nicht siehst, kann ich dir auch nicht helfen...
Macht nichts, auch ich denke manchmal, daß mir nicht mehr zu helfen ist ...

Zurück zum Fall:
Aus (ca.) zwei Gründen sehe ich den Zusammenhang nicht:

1) Wir sind eigentlich nicht (mehr) dabei zu diskutieren ob das Verbergen der Versionsnummer die Sicherheit erhöht.

1a) Wenn jetzt kein Türschild da ist, ist dann die Wahrscheinlichkeit höher oder niedriger ob der Einbrecher einsteigt? Noch steht die Aussage im Raum sie wäre höher.

2) Das Türschild hat nun überhaupt nichts mit dem Fenster zu tun. Genauso gut hätte die Aussage auch lauten können "... ziemlich egal ob der Bewohner als letztes Pommes oder Reis aus einem umgefallenen Sack gegessen hat".

User avatar
Joe User
Project Manager
Project Manager
Posts: 11138
Joined: 2003-02-27 01:00
Location: Hamburg

Re: SSH Versionsnummer verbergen

Post by Joe User » 2004-07-11 21:06

Wenn ein Auftragseinbrecher im Mehrfamilienhaus keine Türschilder findet, dann bricht er halt in jede Wohnung ein, um seinen Auftraggeber nicht zu verärgern. Und um sich so wenig Arbeit wie möglich zu machen und nicht unnötigerweise aufzufallen, sucht er zuerst nach offenen Türen, bevor er sich nach ihm bereits bekannten und leicht zu knackenden Türschlössern umschaut, wodurch ihm das Try&Error an den ihm noch unbekannten Türschlössern erspart bleiben würde...

Verständlicher?
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

User avatar
nyxus
Posts: 626
Joined: 2002-09-13 08:41
Location: Lübeck

Re: SSH Versionsnummer verbergen

Post by nyxus » 2004-07-12 00:42

Joe User wrote:Wenn ein Auftragseinbrecher im Mehrfamilienhaus keine Türschilder findet, dann bricht er halt in jede Wohnung ein, um seinen Auftraggeber nicht zu verärgern.
Ich würde schon noch in Betracht ziehen, daß er sich in dem Fall doch erstmal weiter informieren würde wie ein sinnvolles Vorgehen wäre.
Verständlicher?
Vielleicht sollte man von diesen Vergleichen doch mal wieder zu realen Netzen zurück kommen. Und nein, verständlicher wird es nicht wenn man sich immer weiter entfernt.

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: SSH Versionsnummer verbergen

Post by dodolin » 2004-07-12 01:13

1) Wir sind eigentlich nicht (mehr) dabei zu diskutieren ob das Verbergen der Versionsnummer die Sicherheit erhöht.
Doch. Genau diesen Aspekt hat olfi mit seinem Vergleich versucht zu verdeutlichen.

User avatar
nyxus
Posts: 626
Joined: 2002-09-13 08:41
Location: Lübeck

Re: SSH Versionsnummer verbergen

Post by nyxus » 2004-07-12 01:50

dodolin wrote:
1) Wir sind eigentlich nicht (mehr) dabei zu diskutieren ob das Verbergen der Versionsnummer die Sicherheit erhöht.
Doch. Genau diesen Aspekt hat olfi mit seinem Vergleich versucht zu verdeutlichen.
ok, und was lernen wir daraus? Wenn wir vor dem Verlassen des Hauses die Fenster offen lassen sollten wir wenigstens ein Türschild anbringen um sicherer zu sein?

Aber ich gebe ja die Hoffnung nicht auf, daß auch dieser Thread doch noch ein paar technische Hintergründe bekommt. Mit diesen Vergleichen, die eher an einen bestimmten Ritter im "Ritter der Kokusnuss" erinnern (der hat auch ein wenig gehinkt) bringt die Sache nicht wirklich was.

dodolin
Posts: 3840
Joined: 2003-01-21 01:59
Location: Sinsheim/Karlsruhe

Re: SSH Versionsnummer verbergen

Post by dodolin » 2004-07-12 02:20

ok, und was lernen wir daraus? Wenn wir vor dem Verlassen des Hauses die Fenster offen lassen sollten wir wenigstens ein Türschild anbringen um sicherer zu sein?
Nein, eben nicht!
Olfi schrieb, wenn man die Fenster offen stehen lässt, dann ist es sch.eißegal, ob man jetzt ein Türschild hat oder nicht oder ob man gar ein gefälschtes hat. Denn wenn man die Tür offen stehen hat, dann helfen auch gefälschte Türschilder nix mehr.
Aber ich gebe ja die Hoffnung nicht auf, daß auch dieser Thread doch noch ein paar technische Hintergründe bekommt.
Die hat er schon. Du siehst sie nur nicht oder willst sie nicht sehen. Aber andernfalls könntest du ja nicht so schön rumnölen:
Mit diesen Vergleichen, die eher an einen bestimmten Ritter im "Ritter der Kokusnuss" erinnern (der hat auch ein wenig gehinkt) bringt die Sache nicht wirklich was.
Ich möchte nur dran erinnern: Wenn dir ein Thread nicht passt, musst du ihn ja nicht lesen (geschweige denn, kommentieren)...

jlinker
Posts: 248
Joined: 2002-07-08 20:07

Re: SSH Versionsnummer verbergen

Post by jlinker » 2004-07-12 10:47

Schon interessant wie man sich hier - und das mit Unterstützung der Moderatoren - die "Köppe einschlägt" über Einbrecher und Türschilder.

Eine einfache Frage war gestellt nach dem Verbergen der Versionsnummer und daraus wird eine Diskussion über Einbrecher und Häuser.

Mit der eigentlichen Frage hat das nix mehr zu tun und eigentlich gehört dieser Thread geschlossen - ist meine Meinung :wink:

roi
Posts: 145
Joined: 2003-04-07 09:05
Location: Esslingen am Neckar

Re: SSH Versionsnummer verbergen

Post by roi » 2004-07-12 10:58

Vielleicht waere ein Nicht-Standard-Port fuer den SSH eine Alternativloesung zum Aendern der Versionsnummer desselben? So praktiziere ich das momentan. Bringt natuerlich auch nicht die absolute Sicherheit, aber immerhin.

Noch ne Moeglichkeit: Portknocking.

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: SSH Versionsnummer verbergen

Post by captaincrunch » 2004-07-12 11:48

Vielleicht waere ein Nicht-Standard-Port fuer den SSH eine Alternativloesung zum Aendern der Versionsnummer desselben?
Ist genau so (wenn nicht noch mehr) security by obscurity wie die Ã?nderung der Versionsnummer. ;)
Noch ne Moeglichkeit: Portknocking.
Portknocking ist eine nette Spielerei, aber so lange die Möglichkeit des Sniffing besteht genau wie oben security by obscurity.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

roi
Posts: 145
Joined: 2003-04-07 09:05
Location: Esslingen am Neckar

Re: SSH Versionsnummer verbergen

Post by roi » 2004-07-12 12:06

Vielleicht waere ein Nicht-Standard-Port fuer den SSH eine Alternativloesung zum Aendern der Versionsnummer desselben?
CaptainCrunch wrote:Ist genau so (wenn nicht noch mehr) security by obscurity wie die Ã?nderung der Versionsnummer. ;)
findest? sicherer ist es imho allemal. scriptkiddies nageln vielleicht alle ssh-server mit allen bekannten exploits zu, aber ich kann mir nicht vorstellen, dass viele von diesen leuten alle 65535 ports durchscannen auf der suche nach einem ssh-server.

genau wie port-knocking: halte ich fuer ne sichere alternative. man muss sich einfach ueberlegen, wen man abhalten kann mit welchem aufwand. und mit dem sshd auf nem anderen port oder portknocking halte ich mir mit recht geringem aufwand 99,9% der leute vom hals und kann in aller ruhe, nicht total ueberhastet etc pp, updates machen.

ne andere nette moeglichkeit ist es, per iptables und nem script im geschuetzten bereich des webservers immer nur kurz NEW pakete fuer den sshd zuzulassen fuer eine bestimmte ip.

duergner
Posts: 923
Joined: 2003-08-20 11:30
Location: Pittsburgh, PA, USA

Re: SSH Versionsnummer verbergen

Post by duergner » 2004-07-12 12:15

Was spricht denn dagegen einfach den SSHd sicher zu halten? Is wohl zu einfach, oder? Und wenn es den Exploit nun mal eher gibt als den Fix dafür, dann hilft eigentlich nur den Dienst in der Zwischenzeit abzustellen. Alles andere ist und bleibt Russisches Roulette.

outofbound
Posts: 470
Joined: 2002-05-14 13:02
Location: Karlsruhe City

Re: SSH Versionsnummer verbergen

Post by outofbound » 2004-07-12 12:31

Hi,

was spricht dagegen einfach allen Traffic ausser von der eigenen IP
zu verbieten? Richtig, macht nicht viel Sinn, ist aber sicherer als das
verbergen von Versionsnummern. Das abschalten von SSH übrigens auch.

Man sollte sich auch überlegen, dasss man diese Ã?nderung nach
jedem Versionsupgrade "noch mal" machen muss... ;)

Wie schon gesagt, es steht bei mir drin, aber der Nutzen / Zeitaufwand
lohnt imho nicht und die Idee birgt diverse andere Gefahren in sich. ;)

"Och, ne neue SSH Version... wenn ich da updaten will muss ich die
Ver. Nummer wieder von Hand einkompilieren... so ein Scheiss, mach
ich nächste Woche... *peng*"

Gruss,

Out

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: SSH Versionsnummer verbergen

Post by captaincrunch » 2004-07-12 12:36

findest? sicherer ist es imho allemal. scriptkiddies nageln vielleicht alle ssh-server mit allen bekannten exploits zu, aber ich kann mir nicht vorstellen, dass viele von diesen leuten alle 65535 ports durchscannen auf der suche nach einem ssh-server.
Sorry, aber wer schon solche Panik vor Scriptkiddie-Scripts hat, sollte sich IMHO überlegen, ob ein Rechner im Internet das Richtige für ihn ist.
Mal ganz nebenbei bemerkt: das gemeine Scriptkiddie versucht's eher bei Diensten, die bekanntermaßen anfällig für Fehlkonfigurationen Sind, wie z.B. dem MTA oder dem Apachen, da es darauf aus ist, leichte Beute zu finden.
Echte 0-Days, besonders für den sshd sind äußerst selten.
genau wie port-knocking: halte ich fuer ne sichere alternative. man muss sich einfach ueberlegen, wen man abhalten kann mit welchem aufwand.
So? Und du glaubst wirklich, dass du dir diejenigen, die auch nur etwas mehr im Kopf haben als die ganzen Kiddies durch security by obscurity vom Hals hältst? Wie wär's denn, wenn du dich hingegen erst mal mit echter Security befasst?
ne andere nette moeglichkeit ist es, per iptables und nem script im geschuetzten bereich des webservers immer nur kurz NEW pakete fuer den sshd zuzulassen fuer eine bestimmte ip.
Was spricht denn dagegen einfach den SSHd sicher zu halten? Is wohl zu einfach, oder? Und wenn es den Exploit nun mal eher gibt als den Fix dafür, dann hilft eigentlich nur den Dienst in der Zwischenzeit abzustellen. Alles andere ist und bleibt Russisches Roulette.
Sofern es nicht gerade einen richtig dicken Bug im sshd gibt, erhöht alleine schon die ganz simple Konfiguration "PermitRootLogin no" und nur PubKey-Auth die Sicherheit schon um ein zigfaches wie sämtliche hier genannten security by obscurity-Lösungen...und solch kapitale Bugs in diesem Dienst werden zum Glück immer seltener.
Wenn euch das ganze aber natürlich ein flauschig-warmes gefühl vermittelt: go ahead, ich kann nur hoffen, dass diese Maßnahmen nicht eure einzige Mauer gegen echte Angreifer sind. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

User avatar
nyxus
Posts: 626
Joined: 2002-09-13 08:41
Location: Lübeck

Re: SSH Versionsnummer verbergen

Post by nyxus » 2004-07-12 12:36

dodolin wrote:
ok, und was lernen wir daraus? Wenn wir vor dem Verlassen des Hauses die Fenster offen lassen sollten wir wenigstens ein Türschild anbringen um sicherer zu sein?
Nein, eben nicht!
Olfi schrieb, wenn man die Fenster offen stehen lässt, dann ist es sch.eißegal, ob man jetzt ein Türschild hat oder nicht oder ob man gar ein gefälschtes hat. Denn wenn man die Tür offen stehen hat, dann helfen auch gefälschte Türschilder nix mehr.
Aber wozu dann der Vergleich wenn zwischen Fenster und Türschild kein Zusammenhang besteht? Bei Fehlern im SSH-Server und der SSH-Versionsnummer besteht aber auf jeden Fall ein Zusammenhang.
Aber ich gebe ja die Hoffnung nicht auf, daß auch dieser Thread doch noch ein paar technische Hintergründe bekommt.
Die hat er schon. Du siehst sie nur nicht oder willst sie nicht sehen. Aber andernfalls könntest du ja nicht so schön rumnölen:
Was kann ich dafür wenn Du nichtmal ein Mindestmaß an Spaß verstehst. Anders als mit Spaß kann man diese Vergleiche wirklich nicht nehmen. Aber die Person anzugreifen, man nöle nur rum, wenn die Argumente ausgehen ist natürlich schön einfach.
Mit diesen Vergleichen, die eher an einen bestimmten Ritter im "Ritter der Kokusnuss" erinnern (der hat auch ein wenig gehinkt) bringt die Sache nicht wirklich was.
Ich möchte nur dran erinnern: Wenn dir ein Thread nicht passt, musst du ihn ja nicht lesen (geschweige denn, kommentieren)...
War das jetzt eine offizielle Moderatoren-Schelte weil ich es gewagt habe die Aussage eines Mods zu hinterfragen (das war die Sache ob das Abschalten der Versionsnummer die Sicherheit sogar verreingert)? Denn damit kam diese Lawine ja zum Ausbruch. Eine echte Antwort gab es allerdings nicht.
Aber auch ich klinke mich aus diesem Thread jetzt aus. Irgendwann macht es halt doch keinen Spaß mehr. Ã?ber echte Argumente würde ich mich natürlich weiterhin freuen (gerne per PN).

outofbound
Posts: 470
Joined: 2002-05-14 13:02
Location: Karlsruhe City

Re: SSH Versionsnummer verbergen

Post by outofbound » 2004-07-12 12:39

Was kann ich dafür wenn Du nichtmal ein Mindestmaß an Spaß verstehst. Anders als mit Spaß kann man diese Vergleiche wirklich nicht nehmen. Aber die Person anzugreifen, man nöle nur rum, wenn die Argumente ausgehen ist natürlich schön einfach. "
Sicherheit hat niemals etwas mit Spass zu tun.

Und aus jahrelanger Erfahrung weiss ich dass die Fenster / Türschild Nummer passt.


Und zum SSH- Vernummer verbergen:

Ein Fingerprinting- Scan wird meistens auf die verwendete SSH- Version schliessen lassen,
auch wenn du diese abschaltest.

Gruss,

Out

kase
Posts: 1031
Joined: 2002-10-14 22:56

Re: SSH Versionsnummer verbergen

Post by kase » 2004-07-12 13:28

Also den SSH Dienst auf einen anderen Port zu legen, halte ich durchaus für sinnvoll.

Ich schätze, dass mindestens 99% aller Scanner NICHT die SSH version vorher prüfen, sondern direkt den Exploit versuchen.

Aber ich schätze auch, dass maximal 1% aller Scanner den SSH Exploit auf sämtlichen (65k+) Ports testet.

=> Umlegen des Ports macht auf jeden Fall eindeutig mehr Sinn, als die Versionsnummer verbergen/verändern

Bitte verbessert mich, wenn ich mit meinen Schätzungen falsch liege.

PS: Ich selbst halte trotzalledem von dem ganzen nix. Mein SSH läuft auf dem Standard-Port und wird auf Abfrage hin auch die "richtige" Version ausgeben. Trotzdem denke ich, dass der SSHd einer der sichersten Dienste auf meinem Server ist ;)

captaincrunch
Userprojekt
Userprojekt
Posts: 7066
Joined: 2002-10-09 14:30
Location: Dorsten

Re: SSH Versionsnummer verbergen

Post by captaincrunch » 2004-07-12 13:33

Ich schätze, dass mindestens 99% aller Scanner NICHT die SSH version vorher prüfen, sondern direkt den Exploit versuchen.
1. Scanner != automatisiertes Exploit-Tool
2. Im Falle eines solchen Tools wäre es selbst für Scriptkiddies ein einfaches, das Ding auf einen anderen Port losgehen zu lassen.
3. Kennt jemand ein aktuelles "Exploit-Tool", das ganz normal gepatchten SSH-Versionen irgend etwas anhaben könnte?

Whatever: für mich ist hier EOD, wer meint, durch solche Maßnahmen auf der sicheren Seite zu sein, soll einfach damit glücklich werden...oder halt auch nicht. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

rootmaster
Posts: 483
Joined: 2002-04-28 13:30
Location: Hannover

Re: SSH Versionsnummer verbergen

Post by rootmaster » 2004-07-12 13:36

OutOfBound wrote: Sicherheit hat niemals etwas mit Spass zu tun.
aber mit philosophie 8)

generell kann an zum "version hiding" 3 positionen beziehen:

i. es ist nützlich
ii. es schadet nichts
iii. es bringt (sicherheitstechnisch) nachteile

generell beziehe ich position ii. (solange man selbst weiss, welche versionen man fährt ;))

position iii. halte ich nicht für "realexistierend", auch wenn man von einem gewissen administrativen "mehraufwand" mal absieht (das war imho eigentlich nyxus letzte frage).

position i. halte ich allerdings für eine notwendigkeit, wenn man ein hids fährt; denn probieren kostet zeit und hinterlässt spuren... ein wichtiger warnfaktor !

olfis vergleich ist generell richtig, aber liegt hier imho etwas schief... um in ein haus (~server) zu kommen gibt es sicherlich mehrere wege, aber das soll wohl nicht das thema dieses threads sein ;)

aber um bei der metapher mit dem einbrecher zu bleiben:
wenn ein einbrecher mehrere generalschlüssel für schlösser hat, so wird er wohl eher bemerkt werden, wenn er länger an der haustür rumprobiert, als wenn er gleich den richtigen schlüssel zu verwenden wüsste.
es ist wenn papa nach hause kommt und seine 1000 schlüssel durchprobiert (so viel sinds ca. ;)) und das kleine töchterlein dann schon lauthals hinter der tür ruft: "juchu, papa kommt" :)
und nun auf den haustürschlüssel strasse, hausnummer und türschlüssel draufzuschreiben will ich nun auch nicht gerade ;)

ps: aber sich hauptsächlich auf solche "sicherheitsmassnahmen" zu verlassen ist natürlich schwachfug, da hat CC schon recht 8)

"back to the roots"

roi
Posts: 145
Joined: 2003-04-07 09:05
Location: Esslingen am Neckar

Re: SSH Versionsnummer verbergen

Post by roi » 2004-07-12 13:43

Ich halte Massnahmen wie Port aendern und Portknocking etc pp fuer durchaus sinnvoll. Ich ueberlege mir bei so etwas eben immer, wie lange ich dafuer brauche und was es fuer einen Nutzen hat. Den Port des SSH von 22 auf was anderes zu aendern dauert genau so lange wie den direkten Rootlogin zu verhindern und kann in einem Aufwasch erledigt werden.

Nehmen wir mal ein Szenario an: Eine heftige Sicherheitsluecke wird bekannt. Waehrend CaptainCrunch auf der Toilette sitzend von einem Kumpel verstaendigt wird und nur halb angezogen ins Arbeitszimmer hetzt um den Patch aufzuspielen, pinkelt Roi noch in aller Ruhe zuende, geht ins Arbeitszimmer, schaltet sich den Port zum Einloggen frei und spielt in aller Ruhe den Patch auf.
CaptainCrunch wrote:Whatever: für mich ist hier EOD, wer meint, durch solche Maßnahmen auf der sicheren Seite zu sein, soll einfach damit glücklich werden...oder halt auch nicht. ;)
Dann lass doch mal den Link zu CaptainCrunch's Security Leitfaden sehen!

Zu Deiner Frage von oben: Natuerlich sind so Aktionen wie Portaenderung SSH nur ein Teil der Sachen, die wir unternehmen, um den Server sicher zu machen, fast jeder Gedanke zum Rootserver dreht sich um das Thema Sicherheit. Trotzdem wuerde mich interessieren, was Du denn da so machst.

Und natuerlich bin ich auch nicht absolut panisch, sonst haette ich natuerlich keinen Server im Internet stehen sondern wuerde im brasilianischen Urwald leben, ohne Telefon und Internet. ;-)

beorn
Posts: 4
Joined: 2003-09-25 09:06
Location: Aachen

Re: SSH Versionsnummer verbergen

Post by beorn » 2004-07-12 13:57

CaptainCrunch wrote:
genau wie port-knocking: halte ich fuer ne sichere alternative. man muss sich einfach ueberlegen, wen man abhalten kann mit welchem aufwand.
So? Und du glaubst wirklich, dass du dir diejenigen, die auch nur etwas mehr im Kopf haben als die ganzen Kiddies durch security by obscurity vom Hals hältst? Wie wär's denn, wenn du dich hingegen erst mal mit echter Security befasst?
Ich will mich nur ganz kurz einmischen. Mir erklaere mal bitte einer (am liebsten natuerlich der Autor, den ich hier direkt zitiere ;) ), wo im Falle von Portknocking die obscurity liegt?

Wir gehen hier von dem Fall aus, dass ein Dienst eine Sicherheitsluecke aufweist, die angegriffen werden soll.
Dazu muss der Angreifer wissen, wie er an den Dienst rankommt. Eine verborgene Versionsnummer muss ihn ueberhaupt nicht stoeren, ein geaenderter Port kann schon mehr bringen, ist aber wieder nur eine Verschiebung.
Portknocking hingegen geht ja gaenzlich anders vor.
Hier schalte ich die Firewall von Haus aus erstmal so, dass der Dienst nach aussen hin nicht sichtbar ist.
Um mein Haus mit den offenen Fenstern (ich liebe diese Art von Vergleichen ;) ) ziehe ich eine 9m hohe Mauer mit keiner sichtbaren Tuer.
Erst bei richtigem "Klopfen" an genau den richtigen Stellen verschwindet diese Mauer und oeffnet den Zugang zum Haus (==Dienst).
Da bringt auch ein Sniffer nix, da er ja auf die einzelnen Klopfzeichen keinerlei Antwort bekommt, er also niemals wissen kann, wann er an der richtigen Stelle klopft.
Woertlich uebersetzt kann man hier Verschleiern vielleicht noch durchgehen lassen, aber ein durch portknocking geschuetzter Dienst kann nicht ohne die richtige "Klopf"folge gefunden werden.

Aber ich lasse mich auch gerne auf Denkfehler hinweisen. Man will ja lernfaehig bleiben :)
CaptainCrunch wrote:
ne andere nette moeglichkeit ist es, per iptables und nem script im geschuetzten bereich des webservers immer nur kurz NEW pakete fuer den sshd zuzulassen fuer eine bestimmte ip.
Was spricht denn dagegen einfach den SSHd sicher zu halten? Is wohl zu einfach, oder? Und wenn es den Exploit nun mal eher gibt als den Fix dafür, dann hilft eigentlich nur den Dienst in der Zwischenzeit abzustellen. Alles andere ist und bleibt Russisches Roulette.
Warum wird immer direkt so polarisiert? Einerseits ueber Leute aufregen, die _scheinbar_ irgendeinen coolen Begriff irgendwo aufgeschnappt haben (wie zur Zeit "Portknocking" oder schon sehr lange Zeit "version hiding"), aber andererseits dann mit der Verallgemeinerungskeule zuschlagen.

Dass man hier niemals eines dieser in vielen Sicherheits-HOWTOs angebrachten Tips und Tricks als alleiniges Allheilmittel ansehen darf, muss jedem klar sein!
Und es gibt wohl mehr Leute, die wirklich auf einer langen Liste eben an einem solchen Punkt ankommen. Die sehen dann "ok, jetzt koentne ich noch die Versionsnummer verstecken, dann hab ich langsam alles" und fragen nach, wie das wohl denn geht.
Diese Leute dann direkt ueber einen Kamm zu scheren mit Leuten, die eben nur mal kurz was aufgeschnappt haben, ist unangebracht.

Also sachlich bleiben.
Das waere doch in Etwa auch die ideale Antwort auf die Frage des Threaderoeffners gewesen.

Erklaeren, wie es geht und noch nett drauf hinweisen, dass sowas alleine keinen sicheren Server macht sondern im Gegenteil, vorher noch viele andere Massnahmen stehen muessen, um einen einigermassen sicheren Stand hinzubekommen.


Ausserdem ist es doch zumeist so, dass man keine als unsicher bekannten Versionen installiert. Man installiert ja was sicheres, irgendwann kommt aber ne Luecke ans Licht und dann kommt es darauf an, wer schneller ist. Ich mit patchen oder irgendein anderer, der diesen exploit ausnutzt. Gehe ich vom worst case aus, bin ich zu langsam. Dann will ich mir aber doch bitteschoen sicher sein koennen, alles in meiner Macht Stehende getan zu haben, um soviel Zeit wie moeglich zu gewinnen.

outofbound
Posts: 470
Joined: 2002-05-14 13:02
Location: Karlsruhe City

Re: SSH Versionsnummer verbergen

Post by outofbound » 2004-07-12 14:07

Du obliegst dem Trugschluss, dass sich hier grösstenteils
erfahrene Professionelle Admins tummeln, die ein ausgelklügeltes
Tried and Tested Sicherheitsverfahren entwickelt haben und
sich tagtäglich damit ausseinander setzen.

Ich postuliere einfach mal, dass 90 % der Rootserver- Besitzer
keine Ahnung von der "Arbeitsweise Security" haben und sich
mit solchen Methoden (!) vermeintlich schützen wollen, um sich
mit der alten Weisheit "Aus den Augen, aus dem Sinn" zu schützen.
(Oder auch: KopfInDenSand) Natürlich kann man das nicht allen
Unterstellen, das will auch ich nicht. Aber ich beschäftige mich
seit Jahren mit solchen Sachen und weiss eines: Ich lerne jeden
Tag dazu und der Faktor Mensch ist das schwächste Glied der Kette,
hauptsächlich durch seine Faulheit. (Ist auch mir schon passiert)

Wenn jemand sein System so weit absichern kann, dass er mal beim
Punkt "Version Hiding" angekommen ist, wird er sicherlich
NICHT fragen, wie das geht... die tatsächliche Implementierung
ist ja wohl peanuts. Und beim nächsten Update muss man es wieder
machen... und wieder, und wieder, und wieder. Und irgendwann ist
man der Meinung man lässt einfach mal das updaten, um sich
Arbeit zu sparen...

Gruss,

Out

PS: Security Isn't

kase
Posts: 1031
Joined: 2002-10-14 22:56

Re: SSH Versionsnummer verbergen

Post by kase » 2004-07-12 14:14

Roi wrote: Nehmen wir mal ein Szenario an: Eine heftige Sicherheitsluecke wird bekannt. Waehrend CaptainCrunch auf der Toilette sitzend von einem Kumpel verstaendigt wird und nur halb angezogen ins Arbeitszimmer hetzt um den Patch aufzuspielen, pinkelt Roi noch in aller Ruhe zuende, geht ins Arbeitszimmer, schaltet sich den Port zum Einloggen frei und spielt in aller Ruhe den Patch auf.
Danke!
Ein besseres Beispiel, warum man das Ã?ndern von Ports sowie das Ã?ndern von Version lieber lassen sollte, hätte ich nicht geben können.

Hint: "falsches" "Sicherheitsgefühl" von nicht existierender Sicherheit
Last edited by kase on 2004-07-12 14:50, edited 1 time in total.

outofbound
Posts: 470
Joined: 2002-05-14 13:02
Location: Karlsruhe City

Re: SSH Versionsnummer verbergen

Post by outofbound » 2004-07-12 14:18

Und um es nochmal zu sagen:

Mit heutigen Fingerprintig- Techniken kann man teilweise ziemlich gut das System und
somit auch die Std- SSH- Version "erraten" ;)

rootmaster
Posts: 483
Joined: 2002-04-28 13:30
Location: Hannover

Re: SSH Versionsnummer verbergen

Post by rootmaster » 2004-07-12 14:38

OutOfBound wrote:Und um es nochmal zu sagen:

Mit heutigen Fingerprintig- Techniken kann man teilweise ziemlich gut das System und
somit auch die Std- SSH- Version "erraten" ;)
fairerweise sollte man aber auch bemerken, dass ein fingerprint-scan eher auffällt als ein normaler connect ;)... warnglocken!
i.a. ist es auch so, dass scans und "information grabbing" oftmals einem eigentlichen einbruch weit vorausgehen... einfach deshalb, um weniger aufsehen zu erregen ;)

"back to the roots"

roi
Posts: 145
Joined: 2003-04-07 09:05
Location: Esslingen am Neckar

Re: SSH Versionsnummer verbergen

Post by roi » 2004-07-12 14:51

Roi wrote:Nehmen wir mal ein Szenario an: Eine heftige Sicherheitsluecke wird bekannt. Waehrend CaptainCrunch auf der Toilette sitzend von einem Kumpel verstaendigt wird und nur halb angezogen ins Arbeitszimmer hetzt um den Patch aufzuspielen, pinkelt Roi noch in aller Ruhe zuende, geht ins Arbeitszimmer, schaltet sich den Port zum Einloggen frei und spielt in aller Ruhe den Patch auf.
kase wrote:Danke!
Ein besseres Beispiel, warum man das Ã?ndern von Ports sowie das Ã?ndern von Version lieber lassen sollte, hätte ich nicht geben können.

Hint: "falsches", nicht existierendes "Sicherheitsgefühl"
Ok, dabei koennen Zweideutigkeiten entstehen. Lass mich das Beispiel umformulieren:

CC und Roi schlafen. Beide wachen zur gleichen Zeit auf, nur ist es in einem Fall eventuell schon zu spaet.

Nicht falsch verstehen was ich hier sage. Den Server haelt man beileibe nicht ausschliesslich mit Methoden a la Portaenderung sicher, mit Sicherheit nicht. Aber ich halte das fuer ein zusaetzliche und gute Moeglichkeit, das System ohne viel Aufwand sicherer zu machen.

Vom version hiding, wie das so schoen heisst, halt ich uebrigens auch nicht. Im uebrigen sehe ich das mit dem Portknocking genau wie Beorn. Das hat nichts mit obscurity zu tun. Der Dienst ist einfach nicht da, punktum. Nichts wird also diesen Dienst angreifen koennen, wenn nicht ein (Sicherheits-)Problem mit der Firewall besteht. Natuerlich wuerde ich auch in so einem Fall darauf achten, dass der SSH optimal konfiguriert ist.