RootForum Community

Ich habe das Gefühle wir reden total aneinander vorbei:

Was bitte haben dann Dienste auf geänderten Ports mit einer erhöhten Serverlast zu tun ? Ich rede nur immer noch davon, dass Security by obscurity nicht funktioniert ...

Wer nicht herausfinden KANN auf welchem Port beispielsweise SSH liegt, der kann auch nicht versuchen es anzusprechen, vollkommen egal ob nun ein SSH-Login z.B. nur mit Schlüssel möglich und somit von vorneherein zum Scheitern verurteilt wäre oder nicht.

Was die maximal 12 stündige Blockade durch Decoy-Hosts nach/während einem DOS angeht so ist mir das ehrlich gesagt Wurscht ob von den vielen hunderten Millionen potenziellen Besuchern ein paar Hundert unser Seiten deshalb nicht mehr sehen können weil sie gedroppt sind obwohl der Server aufgrund der DOS-Attacke und des damit verbundenen Traffics sowieso nicht mehr antwortet.

Wie von vorneherein gesagt ist die von mir geschilderte Methode eine Erweiterung des Sicherheitskonzeptes und wurde von mir deshalb angesprochen, weil es eine Lösung des von L4a-Shadow angesprochenen Problems darstellt und nicht weil es die alleinseeligmachendenonplusultra Absicherung gegen alles was je auf einen Webserver zukommen könnte sein sollte. Diesen Anspruch habe ich ja nie erhoben.

Hoffe es wird verstanden was ich damit sagen wollte... :roll:

Teilweise reden wir anscheinend wirklich aneinander vorbei, aber ich versuch's noch mal :

Wer nicht herausfinden KANN auf welchem Port beispielsweise SSH liegt, der kann auch nicht versuchen es anzusprechen, vollkommen egal ob nun ein SSH-Login z.B. nur mit Schlüssel möglich und somit von vorneherein zum Scheitern verurteilt wäre oder nicht.

Woher willst du wissen, dass es nicht möglich ist, herauszubekommen, auf welch "ominösen" Port du deinen sshd lauschen lässt ? Betreibst du zuhause auch solch "gründliche" Sicherungsmaßnahmen ? Hast du dir eine dedizierte Leitung von zuhause zum Rootie legen lassen ?
Sorry, aber du wiegst dich in mächtig trügerischer Sicherheit, wer an diese Informationen ran will, und genug auf dem Kasten hat hältst du davon garantiert nicht ab. Zugegeben, das ist der ziemlich kleine Prozentsatz, aber wenn du der Meinung bist, dadurch ein "ausgefeiltes" Sicherheitkonzept zu haben, wirst du das nicht außer Acht lassen können.

Was die maximal 12 stündige Blockade durch Decoy-Hosts nach/während einem DOS angeht so ist mir das ehrlich gesagt Wurscht ob von den vielen hunderten Millionen potenziellen Besuchern ein paar Hundert unser Seiten deshalb nicht mehr sehen können weil sie gedroppt sind obwohl der Server aufgrund der DOS-Attacke und des damit verbundenen Traffics sowieso nicht mehr antwortet.

Noch mal : ein Portscan mit hunderten Decoy-Hosts hat nichts, aber auch gar nichts mit einem DOS (in dem Sinne, in dem du ihn verstehen möchtest) zu tun. Der DOS in dem Fall bezieht sich rein darauf, dass ich durch einen winzig kleinen Schritt hunderte, wenn nicht gar tausende davon abhalten könnte, deine Seiten anschauen zu können.
Jetzt mal weitergedacht (ich bring das Beispiel ja immer wieder gerne) : was machst du bitteschön, wenn ich deine momentane IP kenne, und dich mal aussperre ? Wirst du sofort misstrauisch, oder denkst du dir, dass es ohenhin nur wieder ein Problem von 1&1 ist ?
Noch weiter gedacht : wenn du ein "nennenswertes Ziel" wärest, könnte ich so weit gehen, deine Anrufe zur Hotline abzufangen, und dir das blaue vom Himmel runterzulügen, während ich mich fleißig mit deinem Server befasse. Schion mal was von "Social Enigineering" gehört ?

Wohl gemerkt, ich überzeichne die Sache ziemlich, derjenige, der meinte eine "gutes" Sicherheitskonzept zu haben bist du, oder ?
Um es noch einmal ganz klar zu sagen, um auch nicht missverstanden zu werden : das Spielchen mit der "Sicherheit" lässt sich weiter treiben als manch einer hier denkt. Erzählt mir also bitte nichts darüber, dass ihr "paranoid" seid, was das angeht ;)

Jetzt ist es eigentlich nur noch Fun!

Betreibst du zuhause auch solch "gründliche" Sicherungsmaßnahmen ? Hast du dir eine dedizierte Leitung von zuhause zum Rootie legen lassen ?

Woher kommt dieser Zynismus und was hat es mit dem Thema zu tun?

Noch mal : ein Portscan mit hunderten Decoy-Hosts hat nichts, aber auch gar nichts mit einem DOS (in dem Sinne, in dem du ihn verstehen möchtest) zu tun.

Komisch, dass die beiden unter dem Stichwort "Distributed" schon mal des öfteren auf diversen Security-List in einem Satz genannt werden, woher soll ich wissen wenn Du was Anderes meinst?

wer an diese Informationen ran will, und genug auf dem Kasten hat hältst du davon garantiert nicht ab.

Soweit ich weiss sind wir weder Ziel von Wirtschaftsspionage noch der NSA!

Erzählt mir also bitte nichts darüber, dass ihr "paranoid" seid, was das angeht

Ich bin nicht paranoid. 100%ige Sicherheit gibt es nicht und wird es wahrscheinlich nie geben. Aber was solls, wozu mache ich denn täglich Backups? Das ganze hat was mit Risikostrukturen zu tun. Ein Server der 99,9 aller bekannten exploits standhält ist dreimal so sicher wie einer bei dem es nur 99,7 sind.

Was Deine Bedenken bei der Hotline angeht, so kann es sein, dass diese berechtigt sind, aber das liegt ausserhalb meines Einflussbereichs.

Was mich wundert, und versuche ja zum zigten Mal die Kurve zu bekommen, ist dass Du nicht auf das ursprüngliche Thema des Authors dieses Beitrages eingehst. Eigentlich hat der Beitrag nämlich viel mehr mit "Reliability" als mit "Security" zu tun. Nun, in etwas mehr als einem Jahr habe ich noch nie einen "Suspicious bzw. Failed Login" gehabt. Scheint also schon irgendwie zu funktionieren.

Noch mal : ein Portscan mit hunderten Decoy-Hosts hat nichts, aber auch gar nichts mit einem DOS (in dem Sinne, in dem du ihn verstehen möchtest) zu tun.

Komisch, dass die beiden unter dem Stichwort "Distributed" schon mal des öfteren auf diversen Security-List in einem Satz genannt werden, woher soll ich wissen wenn Du was Anderes meinst?

Ã?hem... dann sollten wir uns mal eine Definition dieser Wörter (DoS und DDoS) heranmachen, und zwar schnell! - Bevor hier jetzt noch weiter aneinander vorbei geredet wird.

DoS heißt erstmal nur Denial of Service und das bedeutet, dass ein Dienst nicht mehr erbracht werden kann bzw. nicht mehr in dieser Weise (Funktion) erbringen kann, wie es erwünscht wäre. Nicht mehr und nicht weniger.

Wenn du diverse IPs per Paketfilter blockst, können deine Dienste für diese IPs nicht mehr erbracht werden, also ist das ein DoS. In diesem Fall sogar ein Self-DoS, weil du dir diese Paketfilterregeln selbst auferlegst. IMHO so ziemlich das dummste, was einem passieren kann, aber ok.

Ein DDoS ist ein Distributed (verteilter) Denial of Service und steht für eine DoS (Denial of Service) Attacke, die von mehreren (oft unzähligen) Rechnern gleichzeitig auf ein einziges (oder wenige) Ziel(e) erfolgt.

Auch hier ein Beispiel zur Veranschaulichung: Auf unzähligen gecrackten Dialup-Rechnern von DAUs sind Trojaner installiert, die sich fernbedienen lassen. Auf Knopfdruck des Bösewichts starten jetzt alle infizierten Rechner gleichzeitig so viele Anfragen auf einen Dienst (z.B. DNS, HTTP, etc.), dass dieser unter der riesigen Last einfach zusammenbricht. Es muss auch nicht unbedingt ein Dienst sein, es könnten z.B. auch nur Pings geschickt werden. Wenn die Summe der Pings der gehackten Rechner größer ist als die Bandbreite des Ziels des Angriffs, ist dessen Leitung dicht. -> Denial of Service.

Auch ich bin (wie CC) der Meinung, dass es absolut NULL für die Sicherheit bringt, wenn man Dienste auf anderen als den Default-Ports laufen lässt. Denn das ist Security through Obscurity und dass das nicht funktioniert ist unter Fachleuten unbestritten.

Woher kommt dieser Zynismus und was hat es mit dem Thema zu tun?

Ich will dir nur aufzeigen, dass es u.U. Lücken in deinem sorfältig ausgearbeiteten Konzept gibt, da du anscheinend der Meinung bist, dass du "sicher" bist, nur weil du Dienste auf anderen Ports lauschen lässt.

Soweit ich weiss sind wir weder Ziel von Wirtschaftsspionage noch der NSA!

Wenn du meinst, dass nur solche Leute in der Lage zu so etwas sind, OK ... ;)

Nun, in etwas mehr als einem Jahr habe ich noch nie einen "Suspicious bzw. Failed Login" gehabt. Scheint also schon irgendwie zu funktionieren.

Und ? Was soll mir das jetzt sagen ? Ich hatte auch noch keine Failed-Logins, und das auch auf dem Standardport ...

hmm irgendwie hab ich das gefühl wir sind im kindergarten --> "ich hab recht der andere is blöd"

ich hatte jetzt schon mehrere failed login s aber dank -> kompilzierten passwörtern -> 3 versuche und du kannst mich mal -> is mir das versuchen ziemlich wurscht das sie auf das pw kommen bzw meinen key kriegen s ehr hmm unwarscheinlich

zu Portsentry ich hatte es ne Zeitlang laufen aber irgendwann wars mir zublödich hab genau 7 Ports offen bei meinem Server für die brauch ich kein Portsentry. Wilde Ports seh ich ehr hmm als "verwirrungstaktik" tarnen täuschen verpissen oder so.

Ich meine The-Q wird wohl nicht auf sein S t O vertrauen es ist ne umstrittene möglichkeit wilde kinder davon abzuhalten mit ihrem ssh clien zu spielen ... jemand der wirklich was vorhat wird das wohl ehr wenig bringen. Dafür sollte dann ein richtiges Konzept hier sein ich glaub das meint Captain ob vorher eine "PappmascheTor" auf dem Türen Aufgezeichnet sind steht ist wurscht solang dahinter eine Stabile Stahltür steht.

so ich hoffe ich hab euch jetzt genug verwirrt das der threat zugemacht werden kann ;)

hmm irgendwie hab ich das gefühl wir sind im kindergarten --> "ich hab recht der andere is blöd"

Da hast du gar nicht mal so unrecht ... ich hab kich wohl mal wieder zur x+1ten Diskussion hinreißen lassen.

Dafür sollte dann ein richtiges Konzept hier sein ich glaub das meint Captain ob vorher eine "PappmascheTor" auf dem Türen Aufgezeichnet sind steht ist wurscht solang dahinter eine Stabile Stahltür steht.

Danke. Genau das meinte ich.

Moin,

ich sag jetzt nix mehr. Für mich ist es halt das i-Tüpfelchen und ich bin davon überzeugt, aber jedem sein Spielzeug....

Trotzdem nochmal die Frage, ob jemand eine Idee hat wie man das von L4a-Shadow angesprochene Problem auch anders lösen kann (ohne die betroffenen Dienste einfach abzuschalten)?

IMHO immer noch am einfachsten über eine entsprechende IPChains/IPTables Rule.

Allerdings sollte diese Regel so bald wie möglich wieder entfernt werden, denn es dürfte schwer sein, die passende Rate bzw. den Knackpunkt zu finden an dem sich ein regulärer Zugriff von einem DoS-Angriff unterscheidet.

Zusätzlich lässt sich sicherlich auch noch die Konfiguration des Indianers optimieren. Allerdings ist das geraten, da ich mich mit dem Indianer nicht wirklich gut auskenne (mir schwirrt aber was in Richtung Anzahl der Prozesse und Childs durch den Kopf).

Wie leicht und wo sich das Verhalten des IP-Stacks beeinflussen lässt weiß ich leider auch nicht, aber ich denke, das wäre auch eine Idee (Timeouts des Handshakes heruntersetzen und so unvollständige Verbindungen früher terminieren) - wenn auch eine etwas hilflose ;)

The-Q wrote:Moin,

ich sag jetzt nix mehr. Für mich ist es halt das i-Tüpfelchen und ich bin davon überzeugt, aber jedem sein Spielzeug....

Trotzdem nochmal die Frage, ob jemand eine Idee hat wie man das von L4a-Shadow angesprochene Problem auch anders lösen kann (ohne die betroffenen Dienste einfach abzuschalten)?

hm The-Q ich will dich absolut nicht kritisieren, aber meinst du ein sicherheitskonzept was auf glauben und überzeugung basiert ist die richtige lösung? Ich würde sowas lieber auf allgemein anerkannten prinzipien aufbauen. Für mich geht so ein server halt schon über ein bischen spielerei hinaus, aber wie du sagtest jedem sein ding ....


zu dem problem:
halte es für sinnlos da selber rumzubasteln.
eigenen provider anrufen, die attack erstmal am switch sperren lassen. abuse an den provider des attackers.
halte ich für die effektivste lösung.

aber meinst du ein sicherheitskonzept was auf glauben und überzeugung basiert ist die richtige lösung?

@mutombo
Sag mal, liest Du Dir eigentlich die Beiträge durch bevor Du darauf antwortest???

mir is bewusst das die antwort schonmal da war, soweit wie ich das sehe isses aber die einzige effektive möglichkeit. mehr als kurzfristig die attacke verlangsamen wird mit normalen mitteln nicht möglich sein. lass mich da natürlich gerne vom gegenteil überzeugen.