Sicherer Zugriff auf Server mit Secure Shell (SSH)
Dr. W.A. Slaby
Ein erfolgreicher Hacker-Einbruch in einen unserer Unix-Server
hat es wieder einmal deutlich vor Augen geführt: Der IT-Sicherheit muss in unserer Universität
ein wesentlich höherer Stellenwert eingeräumt werden. Dazu müssen die längst überfällige
Etablierung eines IT-Sicherheitsmanagement-Teams sowie die Erstellung eines IT-Sicherheitskonzepts
zielstrebig vorangetrieben werden.
Als Sofortmaßnahme zur signifikanten Erhöhung der IT-Sicherheit werden auf den Unix-Rechnern
des Universitätsrechenzentrums die Server für telnet und die Berkeley-Remote-Dienste
rlogin, rsh, rcp ab sofort nicht mehr zur Verfügung stehen. Auch die Benutzung von
ftp muss aus denselben Gründen eingeschränkt werden. Allerdings werden diese Dienste auch weiterhin von Arbeitsplatzrechnern unserer Universität aus auf externen Rechnern nutzbar sein, sofern sie dort angeboten werden. Als Ersatz für diese Dienste steht am Universitätsrechenzentrum das Software-Paket Secure Shell (SSH) zur Verfügung.
Mit freundlicher Genehmigung des Leibniz-Rechenzentrums München drucken wir nachstehend einen (auf unsere lokalen Gegebenheiten leicht angepassten) Beitrag zu diesem Thema von Ernst Bötsch und Petra Eilfeld in den LRZ-Mitteilungen August 2000 ab.
Warum gibt es überhaupt ein Problem?
Bei der Nutzung von entfernten Rechnern ("Remote-Rechner") haben sich in der
Vergangenheit folgende Kommandos weitgehend durchgesetzt:
- telnet und rlogin :
interaktive Dialogsitzungen auf einem Remote-Rechner
- rsh :
Ausführung von Kommandos auf einem Remote-Rechner (interaktiv oder im Batch-Betrieb)
- rcp und ftp :
Kopieren von Dateien von einem Rechner auf einen anderen
Alle diese Kommandos weisen jedoch gravierende Sicherheitsmängel auf, die auf gar
keinen Fall mehr ignoriert werden sollten:
- Beim Verbindungsaufbau erforderliche Kennungen und Passwörter werden im Klartext
übertragen! Deshalb sind diese Passwörter natürlich eine leichte Beute für jeden, der den
Netzverkehr abhört. Dabei ist das Hauptproblem i.a. nicht der aus Agentenfilmen bekannte
"Spion mit Stethoskop", der Leitungen anzapft, sondern vor allem das Abhören von
Rechnern, die am Verbindungsaufbau beteiligt sind. Theoretisch könnte man dieses Sicherheitsproblem
dadurch umgehen, dass man "Einmal-Passwörter"verwendet. Dies ist aber so aufwändig und
unbequem, dass derartige Systeme nur selten installiert werden.
- Während einer bestehenden Verbindung werden alle Daten ebenfalls im Klartext übertragen!
Das ist vor allem dann gefährlich, wenn während einer Sitzung vertrauliche Informationen
(z.B. Passwörter, Personalinformationen) ausgetauscht werden. Außerdem hilft gegen das
Abhören einer bestehenden Verbindung auch kein Einmal-Passwort.
- Beim Verbindungsaufbau findet keine Authentifizierung, d.h. keine Identitätsüberprüfung
der beteiligten Rechner statt. Beide Seiten können sich also nicht sicher sein, dass der
Kommunikationspartner nicht ein Angreifer ist, der eine falsche Identität vorspiegelt.
Selbst wenn Ihr Kommunikationspartner Ihnen Antworten gibt, die Ihnen vernünftig
erscheinen und die außer ihm und Ihnen selbst eigentlich keiner kennen sollte, beweist dies leider noch
gar nichts. Häufig werden nämlich "Man-in-the-Middle-Attacks" eingesetzt, die folgendermaßen
funktionieren:
- Sie loggen sich an einem Rechner ein, den Sie z.B. für den Mail-Server mail des URZ
halten. In Wirklichkeit handelt es sich aber um den Rechner eines Angreifers, der vorgibt, der Mail-Server
mail des URZ zu sein.
- Das darf Ihnen natürlich nicht auf fallen, weil Sie als sicherheitsbewusste(r) Benutzer(in) sonst
sofort Ihr Passwort ändern und Ihre(n) Administrator(in) verständigen würden. Also leitet der Angreifer-Rechner Ihre
abgefangenen Eingaben an die richtige mail weiter und deren
Ausgaben wiederum an Sie zurück, damit Sie Ihre vertraute Arbeitsumgebung unverändert und somit unverdächtig vorfinden.
- Der Angreifer hat also nicht nur problemlos Ihre Kennung und Ihr Passwort abgefangen,
sondern kann nun auch beliebige Spionage- und Sabotage-Tools an geeigneter Stelle platzieren.
- Mit geeigneter Software können sich Angreifer sogar in bestehende Verbindungen "einklinken" und dann den Datenstrom verändern. Angreifer nutzen diese Methode im Allgemeinen, um sich Zugang zu einer Kennung auf dem Remote-Rechner zu verschaffen.
Was kann ein Angreifer mit Ihrer Kennung und Ihrem Passwort anfangen?
Wenn ein Angreifer Ihre Kennung und Ihr Passwort abgefangen hat, kann er sich für Sie ausgeben ! Das bedeutet, dass nicht nur Rechner sondern auch andere Personen glauben, dass sie mit Ihnen kommunizieren. Folgende Fälle sind z.B. in der Praxis schon öfter aufgetreten:
- Der Angreifer verändert Ihre Daten oder löscht ganze Dateien.
- Der Angreifer entwendet Daten (z.B. Ihre Diplom- oder Semesterarbeit).
- Der Angreifer platziert Tools auf Ihrem Rechner, die ihrerseits weitere Rechner ausspionieren.
Sollte dies entdeckt werden, wird man zuerst Sie als Angreifer verdächtigen. Der Angreifer abonniert auf Ihren Namen eine Zeitung. Der Angreifer verschickt E-Mails oder News-Beiträge unter Ihrem Namen. Der Angreifer surft auf Ihre Kosten im Internet.
Schützen Sie also Ihre Kennung und Ihr Passwort im eigenen Interesse so gut wie möglich, d.h. gehen Sie damit so sorgfältig um wie z.B. mit Ihrer Scheckkarte.
Wie können Sie auf sichere Weise kommunizieren?
Als Ersatz für telnet und die Berkeley-Remote-Dienste bietet das Universitätsrechenzentrum das Software-Paket "Secure Shell"(SSH) an, das ab sofort ausschließlich zur Verfügung stehen wird.
Die SSH-Kommandos ermöglichen einen (nahezu) transparenten Ersatz der entsprechenden unsicheren Kommandos. Sie müssen also kaum umdenken und nur unwesentlich dazu lernen. Auch in Skripten können die entsprechenden Kommandos i.a. mit wenig Aufwand problemlos ersetzt werden. Dabei werden alle oben aufgeführten gravierenden Sicherheitsprobleme beseitigt:
- Alle Daten (also auch Passwörter) werden nur noch verschlüsselt übertragen. Es nützt also nichts mehr, den Netzverkehr einfach abzuhören.
- Es findet eine strenge Authentifizierung beider Parteien statt, d.h. die Identität beider
kommunizierender Rechner wird auf sichere Weise überprüft. Falls Sie sich für technische
Details interessieren, finden Sie eine kurze Beschreibung unter
http://www.lrz-muenchen.de/services/security/ssh/
Die Deaktivierung von 'telnet' und den Berkeley-Remote-Diensten ist aber nur der erste Schritt. Vergleichbare Sicherheitsprobleme gibt es nämlich auch bei ftp und den E-Mail-Protokollen POP und IMAP. Um auf diese Dienste verzichten zu können, müssen allerdings noch umfangreiche Voraussetzungen geschaffen werden. Wir werden Sie rechtzeitig informieren, sobald dies
geschehen soll.
Was werden wir konkret tun?
Ab sofort wird sich für Sie Folgendes ändern:
- telnet wird an allen Unix-Rechnern des Universitätsrechenzentrums komplett deaktiviert. Interaktiver Zugang von außen ist dann nur noch über ssh möglich.
Woher bekommen Sie SSH?
Das Universitätsrechenzentrum setzt zur Zeit auf seinen Unix-Servern OpenSSH in der Version
2.9p2 ein. Während bei der aktuellen SuSE-Distribution von Linux ein SSH2-Client enthalten ist,
müssen Sie unter WindowsNT oder Windows2000 den SSH2-Client gesondert installieren. Durch Vermittlung
des DFN-Vereins können wir Ihnen einen für den Einsatz in der Universität kostenfreien SSH2-Client
der Firma F-Secure anbieten, der auf unseren NetWare-Servern im Verzeichnis i:\archiv\winnt\ssh bereitsteht. Eine ausführliche Installations- und Konfigurationsanleitung
steht auf unserer Website www.ku-eichstaett.de/urz/install/ zur Verfügung.
Damit Sie bei der ersten Kontaktaufnahme zum Compute-Server, Mail-Server oder WWW-Server sicher sein können,
dass Ihnen dabei kein fremder Rechner eine falsche Identität vorgaukelt und sich als unser
Compute-, Mail- oder WWW-Server ausgibt, veröffentlichen wir nachstehend die Fingerprints dieser Server:
- Compute-Server compute.ku-eichstaett.de
Fingerprint:
xulal-sutin-nofyn-pesyv-mylyl-dibic-fuhiz-bosyl-kylur-kihal-tuxax
- Mail-Server mail.ku-eichstaett.de Fingerprint:
xifah-pyduh-nyhup-viros-dogar-zivim-ludeg-fizyt-zotub-lyleb-pyxox
- WWW-Server www.ku-eichstaett.de
Fingerprint:
xifes-tival-zokec-bekun-dorof-zylat-petop-lapiz-pegoc-dudyt-hixox
Weiterführende Informationen
Auf der Webseite des Leibniz-Rechenzentrums München http://www.lrz-muenchen.de/services/security/
finden Sie u.a. Informationen zu folgenden Themen:
- SSH für Benutzer (Grundlagen und Beispiele für Unix-Systeme),
- SSH für Windows-Benutzer,
- weitere Links zu SSH-relevanten Themen.
Ansprechpartner im URZ: | Zimmer: | Telefon: | PMail: |
Bernhard Brandel | IN: HB-201 |
-1888 | bernhard.brandel |
Dr. Wolfgang A. Slaby | EI: eO-109a |
-1214/-1462/-1670 | wolfgang.slaby |