Sicherer Zugriff auf Server mit Secure Shell (SSH)

Dr. W.A. Slaby

Ein erfolgreicher Hacker-Einbruch in einen unserer Unix-Server hat es wieder einmal deutlich vor Augen geführt: Der IT-Sicherheit muss in unserer Universität ein wesentlich höherer Stellenwert eingeräumt werden. Dazu müssen die längst überfällige Etablierung eines IT-Sicherheitsmanagement-Teams sowie die Erstellung eines IT-Sicherheitskonzepts zielstrebig vorangetrieben werden.

Als Sofortmaßnahme zur signifikanten Erhöhung der IT-Sicherheit werden auf den Unix-Rechnern des Universitätsrechenzentrums die Server für telnet und die Berkeley-Remote-Dienste rlogin, rsh, rcp ab sofort nicht mehr zur Verfügung stehen. Auch die Benutzung von ftp muss aus denselben Gründen eingeschränkt werden. Allerdings werden diese Dienste auch weiterhin von Arbeitsplatzrechnern unserer Universität aus auf externen Rechnern nutzbar sein, sofern sie dort angeboten werden. Als Ersatz für diese Dienste steht am Universitätsrechenzentrum das Software-Paket Secure Shell (SSH) zur Verfügung.

Mit freundlicher Genehmigung des Leibniz-Rechenzentrums München drucken wir nachstehend einen (auf unsere lokalen Gegebenheiten leicht angepassten) Beitrag zu diesem Thema von Ernst Bötsch und Petra Eilfeld in den LRZ-Mitteilungen August 2000 ab.

Warum gibt es überhaupt ein Problem?

Bei der Nutzung von entfernten Rechnern ("Remote-Rechner") haben sich in der Vergangenheit folgende Kommandos weitgehend durchgesetzt:

• telnet und rlogin :
  interaktive Dialogsitzungen auf einem Remote-Rechner



• rsh :
  Ausführung von Kommandos auf einem Remote-Rechner (interaktiv oder im Batch-Betrieb)



• rcp und ftp : Kopieren von Dateien von einem Rechner auf einen anderen

Alle diese Kommandos weisen jedoch gravierende Sicherheitsmängel auf, die auf gar keinen Fall mehr ignoriert werden sollten:

• Beim Verbindungsaufbau erforderliche Kennungen und Passwörter werden im Klartext übertragen! Deshalb sind diese Passwörter natürlich eine leichte Beute für jeden, der den Netzverkehr abhört. Dabei ist das Hauptproblem i.a. nicht der aus Agentenfilmen bekannte "Spion mit Stethoskop", der Leitungen anzapft, sondern vor allem das Abhören von Rechnern, die am Verbindungsaufbau beteiligt sind. Theoretisch könnte man dieses Sicherheitsproblem dadurch umgehen, dass man "Einmal-Passwörter"verwendet. Dies ist aber so aufwändig und unbequem, dass derartige Systeme nur selten installiert werden.



• Während einer bestehenden Verbindung werden alle Daten ebenfalls im Klartext übertragen! Das ist vor allem dann gefährlich, wenn während einer Sitzung vertrauliche Informationen (z.B. Passwörter, Personalinformationen) ausgetauscht werden. Außerdem hilft gegen das Abhören einer bestehenden Verbindung auch kein Einmal-Passwort.



• Beim Verbindungsaufbau findet keine Authentifizierung, d.h. keine Identitätsüberprüfung der beteiligten Rechner statt. Beide Seiten können sich also nicht sicher sein, dass der Kommunikationspartner nicht ein Angreifer ist, der eine falsche Identität vorspiegelt. Selbst wenn Ihr Kommunikationspartner Ihnen Antworten gibt, die Ihnen vernünftig erscheinen und die außer ihm und Ihnen selbst eigentlich keiner kennen sollte, beweist dies leider noch gar nichts. Häufig werden nämlich "Man-in-the-Middle-Attacks" eingesetzt, die folgendermaßen funktionieren:



• Sie loggen sich an einem Rechner ein, den Sie z.B. für den Mail-Server mail des URZ halten. In Wirklichkeit handelt es sich aber um den Rechner eines Angreifers, der vorgibt, der Mail-Server mail des URZ zu sein.



• Das darf Ihnen natürlich nicht auf fallen, weil Sie als sicherheitsbewusste(r) Benutzer(in) sonst sofort Ihr Passwort ändern und Ihre(n) Administrator(in) verständigen würden. Also leitet der Angreifer-Rechner Ihre abgefangenen Eingaben an die richtige mail weiter und deren Ausgaben wiederum an Sie zurück, damit Sie Ihre vertraute Arbeitsumgebung unverändert und somit unverdächtig vorfinden.



• Der Angreifer hat also nicht nur problemlos Ihre Kennung und Ihr Passwort abgefangen, sondern kann nun auch beliebige Spionage- und Sabotage-Tools an geeigneter Stelle platzieren.



• Mit geeigneter Software können sich Angreifer sogar in bestehende Verbindungen "einklinken" und dann den Datenstrom verändern. Angreifer nutzen diese Methode im Allgemeinen, um sich Zugang zu einer Kennung auf dem Remote-Rechner zu verschaffen.

Was kann ein Angreifer mit Ihrer Kennung und Ihrem Passwort anfangen?

Wenn ein Angreifer Ihre Kennung und Ihr Passwort abgefangen hat, kann er sich für Sie ausgeben ! Das bedeutet, dass nicht nur Rechner sondern auch andere Personen glauben, dass sie mit Ihnen kommunizieren. Folgende Fälle sind z.B. in der Praxis schon öfter aufgetreten:

• Der Angreifer verändert Ihre Daten oder löscht ganze Dateien.



• Der Angreifer entwendet Daten (z.B. Ihre Diplom- oder Semesterarbeit).



• Der Angreifer platziert Tools auf Ihrem Rechner, die ihrerseits weitere Rechner ausspionieren. Sollte dies entdeckt werden, wird man zuerst Sie als Angreifer verdächtigen. Der Angreifer abonniert auf Ihren Namen eine Zeitung. Der Angreifer verschickt E-Mails oder News-Beiträge unter Ihrem Namen. Der Angreifer surft auf Ihre Kosten im Internet.

Schützen Sie also Ihre Kennung und Ihr Passwort im eigenen Interesse so gut wie möglich, d.h. gehen Sie damit so sorgfältig um wie z.B. mit Ihrer Scheckkarte.

Wie können Sie auf sichere Weise kommunizieren?

Als Ersatz für telnet und die Berkeley-Remote-Dienste bietet das Universitätsrechenzentrum das Software-Paket "Secure Shell"(SSH) an, das ab sofort ausschließlich zur Verfügung stehen wird.

Die SSH-Kommandos ermöglichen einen (nahezu) transparenten Ersatz der entsprechenden unsicheren Kommandos. Sie müssen also kaum umdenken und nur unwesentlich dazu lernen. Auch in Skripten können die entsprechenden Kommandos i.a. mit wenig Aufwand problemlos ersetzt werden. Dabei werden alle oben aufgeführten gravierenden Sicherheitsprobleme beseitigt:

• Alle Daten (also auch Passwörter) werden nur noch verschlüsselt übertragen. Es nützt also nichts mehr, den Netzverkehr einfach abzuhören.



• Es findet eine strenge Authentifizierung beider Parteien statt, d.h. die Identität beider kommunizierender Rechner wird auf sichere Weise überprüft. Falls Sie sich für technische Details interessieren, finden Sie eine kurze Beschreibung unter
  http://www.lrz-muenchen.de/services/security/ssh/

Die Deaktivierung von 'telnet' und den Berkeley-Remote-Diensten ist aber nur der erste Schritt. Vergleichbare Sicherheitsprobleme gibt es nämlich auch bei ftp und den E-Mail-Protokollen POP und IMAP. Um auf diese Dienste verzichten zu können, müssen allerdings noch umfangreiche Voraussetzungen geschaffen werden. Wir werden Sie rechtzeitig informieren, sobald dies geschehen soll.

Was werden wir konkret tun?

Ab sofort wird sich für Sie Folgendes ändern:

• telnet wird an allen Unix-Rechnern des Universitätsrechenzentrums komplett deaktiviert. Interaktiver Zugang von außen ist dann nur noch über ssh möglich.

Woher bekommen Sie SSH?

Das Universitätsrechenzentrum setzt zur Zeit auf seinen Unix-Servern OpenSSH in der Version 2.9p2 ein. Während bei der aktuellen SuSE-Distribution von Linux ein SSH2-Client enthalten ist, müssen Sie unter WindowsNT oder Windows2000 den SSH2-Client gesondert installieren. Durch Vermittlung des DFN-Vereins können wir Ihnen einen für den Einsatz in der Universität kostenfreien SSH2-Client der Firma F-Secure anbieten, der auf unseren NetWare-Servern im Verzeichnis i:\archiv\winnt\ssh bereitsteht. Eine ausführliche Installations- und Konfigurationsanleitung steht auf unserer Website www.ku-eichstaett.de/urz/install/ zur Verfügung.

Damit Sie bei der ersten Kontaktaufnahme zum Compute-Server, Mail-Server oder WWW-Server sicher sein können, dass Ihnen dabei kein fremder Rechner eine falsche Identität vorgaukelt und sich als unser Compute-, Mail- oder WWW-Server ausgibt, veröffentlichen wir nachstehend die Fingerprints dieser Server:

• Compute-Server compute.ku-eichstaett.de Fingerprint:
  xulal-sutin-nofyn-pesyv-mylyl-dibic-fuhiz-bosyl-kylur-kihal-tuxax



• Mail-Server mail.ku-eichstaett.de Fingerprint:
  xifah-pyduh-nyhup-viros-dogar-zivim-ludeg-fizyt-zotub-lyleb-pyxox



• WWW-Server www.ku-eichstaett.de Fingerprint:
  xifes-tival-zokec-bekun-dorof-zylat-petop-lapiz-pegoc-dudyt-hixox

Weiterführende Informationen

Auf der Webseite des Leibniz-Rechenzentrums München    http://www.lrz-muenchen.de/services/security/ finden Sie u.a. Informationen zu folgenden Themen:

• SSH für Benutzer (Grundlagen und Beispiele für Unix-Systeme),



• SSH für Windows-Benutzer,



• weitere Links zu SSH-relevanten Themen.