CaptainCrunch wrote:genau wie port-knocking: halte ich fuer ne sichere alternative. man muss sich einfach ueberlegen, wen man abhalten kann mit welchem aufwand.
So? Und du glaubst wirklich, dass du dir diejenigen, die auch nur etwas mehr im Kopf haben als die ganzen Kiddies durch security by obscurity vom Hals hältst? Wie wär's denn, wenn du dich hingegen erst mal mit
echter Security befasst?
Ich will mich nur ganz kurz einmischen. Mir erklaere mal bitte einer (am liebsten natuerlich der Autor, den ich hier direkt zitiere ;) ), wo im Falle von Portknocking die obscurity liegt?
Wir gehen hier von dem Fall aus, dass ein Dienst eine Sicherheitsluecke aufweist, die angegriffen werden soll.
Dazu muss der Angreifer wissen, wie er an den Dienst rankommt. Eine verborgene Versionsnummer muss ihn ueberhaupt nicht stoeren, ein geaenderter Port kann schon mehr bringen, ist aber wieder nur eine Verschiebung.
Portknocking hingegen geht ja gaenzlich anders vor.
Hier schalte ich die Firewall von Haus aus erstmal so, dass der Dienst nach aussen hin nicht sichtbar ist.
Um mein Haus mit den offenen Fenstern (ich liebe diese Art von Vergleichen ;) ) ziehe ich eine 9m hohe Mauer mit keiner sichtbaren Tuer.
Erst bei richtigem "Klopfen" an genau den richtigen Stellen verschwindet diese Mauer und oeffnet den Zugang zum Haus (==Dienst).
Da bringt auch ein Sniffer nix, da er ja auf die einzelnen Klopfzeichen keinerlei Antwort bekommt, er also niemals wissen kann, wann er an der richtigen Stelle klopft.
Woertlich uebersetzt kann man hier Verschleiern vielleicht noch durchgehen lassen, aber ein durch portknocking geschuetzter Dienst kann nicht ohne die richtige "Klopf"folge gefunden werden.
Aber ich lasse mich auch gerne auf Denkfehler hinweisen. Man will ja lernfaehig bleiben :)
CaptainCrunch wrote:ne andere nette moeglichkeit ist es, per iptables und nem script im geschuetzten bereich des webservers immer nur kurz NEW pakete fuer den sshd zuzulassen fuer eine bestimmte ip.
Was spricht denn dagegen einfach den SSHd sicher zu halten? Is wohl zu einfach, oder? Und wenn es den Exploit nun mal eher gibt als den Fix dafür, dann hilft eigentlich nur den Dienst in der Zwischenzeit abzustellen. Alles andere ist und bleibt Russisches Roulette.
Warum wird immer direkt so polarisiert? Einerseits ueber Leute aufregen, die _scheinbar_ irgendeinen coolen Begriff irgendwo aufgeschnappt haben (wie zur Zeit "Portknocking" oder schon sehr lange Zeit "version hiding"), aber andererseits dann mit der Verallgemeinerungskeule zuschlagen.
Dass man hier niemals eines dieser in vielen Sicherheits-HOWTOs angebrachten Tips und Tricks als alleiniges Allheilmittel ansehen darf, muss jedem klar sein!
Und es gibt wohl mehr Leute, die wirklich auf einer langen Liste eben an einem solchen Punkt ankommen. Die sehen dann "ok, jetzt koentne ich noch die Versionsnummer verstecken, dann hab ich langsam alles" und fragen nach, wie das wohl denn geht.
Diese Leute dann direkt ueber einen Kamm zu scheren mit Leuten, die eben nur mal kurz was aufgeschnappt haben, ist unangebracht.
Also sachlich bleiben.
Das waere doch in Etwa auch die ideale Antwort auf die Frage des Threaderoeffners gewesen.
Erklaeren, wie es geht und noch nett drauf hinweisen, dass sowas alleine keinen sicheren Server macht sondern im Gegenteil, vorher noch viele andere Massnahmen stehen muessen, um einen einigermassen sicheren Stand hinzubekommen.
Ausserdem ist es doch zumeist so, dass man keine als unsicher bekannten Versionen installiert. Man installiert ja was sicheres, irgendwann kommt aber ne Luecke ans Licht und dann kommt es darauf an, wer schneller ist. Ich mit patchen oder irgendein anderer, der diesen exploit ausnutzt. Gehe ich vom worst case aus, bin ich zu langsam. Dann will ich mir aber doch bitteschoen sicher sein koennen, alles in meiner Macht Stehende getan zu haben, um soviel Zeit wie moeglich zu gewinnen.
