|
| remote desktop via internet/router Fra : Peter Holm |
Dato : 21-02-06 20:05 |
|
heysa
hvordan logger jeg på min pc via remote desktop fra en PC der ikke er på
netværket?
Opsætning af router?
En speciel login string ?
--
Mvh
Peter Holm
www.peterholmfoto.dk
61 77 55 62
| |
Bjarke Andersen (21-02-2006)
| Kommentar Fra : Bjarke Andersen |
Dato : 21-02-06 20:20 |
|
"Peter Holm" <phc@stofanet*REMOVE*.dk> crashed Echelon writing
news:43fb6469$0$4820$ba624c82@nntp02.dk.telia.net:
> hvordan logger jeg på min pc via remote desktop fra en PC der ikke er på
> netværket?
> Opsætning af router?
> En speciel login string ?
RDP protokollen anvender TCP port 3389. Denne skal være PATet til den
maskine du ønsker fjernstyret.
--
Bjarke Andersen
Wanna reply by email? Remove the spammer in address
| |
Peter Holm (21-02-2006)
| Kommentar Fra : Peter Holm |
Dato : 21-02-06 22:23 |
|
"Bjarke Andersen" <usenet@*spammer*bjoeg.dk> wrote in message
news:Xns9771CEE82E5E9bjoegdk@130.225.247.90...
> "Peter Holm" <phc@stofanet*REMOVE*.dk> crashed Echelon writing
> news:43fb6469$0$4820$ba624c82@nntp02.dk.telia.net:
>
>> hvordan logger jeg på min pc via remote desktop fra en PC der ikke er på
>> netværket?
>> Opsætning af router?
>> En speciel login string ?
>
> RDP protokollen anvender TCP port 3389. Denne skal være PATet til den
> maskine du ønsker fjernstyret.
>
thx - det funker!
peter
| |
Michael Rasmussen (21-02-2006)
| Kommentar Fra : Michael Rasmussen |
Dato : 21-02-06 20:28 |
|
"Peter Holm" <phc@stofanet*REMOVE*.dk> wrote:
>hvordan logger jeg på min pc via remote desktop fra en PC der ikke er på
>netværket?
>Opsætning af router?
>En speciel login string ?
Principielt er det bare at opsætte en virtuel server i routeren, der
sender trafik til WAN-sidens port 3389 videre til den relevante
computers port 3389.
Herefter kan du forbinde til den lokale computer ude fra internettet ved
at bruge din WAN IP-adresse.
Der er selvfølgelig en vis sikkerhedsrisiko - Du skal i hvert fald sikre
dig at administrator og gæste konti har password, ellers får du ret
hurtigt ubehagelige gæster
Risikoen for problemer kan mindskes betydeligt ved at bruge en
alternativ port på WAN-siden...
<mlr>
--
Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..
| |
Peter Holm (21-02-2006)
| Kommentar Fra : Peter Holm |
Dato : 21-02-06 22:26 |
|
>
> Risikoen for problemer kan mindskes betydeligt ved at bruge en
> alternativ port på WAN-siden...
hvor i setuppet er det jeg skal ændre port?
hvor, hvordan - jeg er ret handicappet på den front.. :(
Mvh
peter
| |
Michael Rasmussen (21-02-2006)
| Kommentar Fra : Michael Rasmussen |
Dato : 21-02-06 22:43 |
|
"Peter Holm" <phc@stofanet*REMOVE*.dk> wrote:
>hvor i setuppet er det jeg skal ændre port?
>hvor, hvordan - jeg er ret handicappet på den front.. :(
Den virtuelle server i routerens opsætning - I stedet for at bruge port
3389 på WAN-siden kan du bruge f.eks port 10000. Og den skal
selvfølgelig pege på port 3389 på den lokale computer.
Du forbinder så til den lokale computer via <Din WAN ip-adresse>:10000
Voila...
Reelt er der nok ikke den store risiko ved at åbne Remote Desktop mod
internettet - Jeg skal i hvert fald lede længe i mine logfiler efter
data pakker til port 3389 - Men ved at bruge en alternativ port gør du
det stort set umuligt for hackerne at finde frem til maskinen....
<mlr>
--
Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..
| |
Asbjorn Hojmark (21-02-2006)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 21-02-06 23:07 |
|
On Tue, 21 Feb 2006 22:42:53 +0100, Michael Rasmussen
<mic@NO_SPAMdou.dk> wrote:
> Reelt er der nok ikke den store risiko ved at åbne Remote Desktop mod
> internettet - Jeg skal i hvert fald lede længe i mine logfiler efter
> data pakker til port 3389 - Men ved at bruge en alternativ port gør du
> det stort set umuligt for hackerne at finde frem til maskinen....
Mener du virkelig det? Security by obscurity er ikke rigtig sikkerhed.
Hvis man stoler nok på RDP til at have porten åben fra Internet, er
det ikke afgørende om det er port X eller Y. Hvis man *ikke* stoler
på, at port X er sikker at have åben til RDP, skal man (heller) ikke
lade det køre på port Y.
Når man 'snakker' med serveren er det relativt nemt at checke, om det
er en RDP-server, uanset hvilken port man snakker med.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/
| |
Michael Rasmussen (21-02-2006)
| Kommentar Fra : Michael Rasmussen |
Dato : 21-02-06 23:24 |
|
Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:
>> Reelt er der nok ikke den store risiko ved at åbne Remote Desktop mod
>> internettet - Jeg skal i hvert fald lede længe i mine logfiler efter
>> data pakker til port 3389 - Men ved at bruge en alternativ port gør du
>> det stort set umuligt for hackerne at finde frem til maskinen....
>
>Mener du virkelig det? Security by obscurity er ikke rigtig sikkerhed.
>Hvis man stoler nok på RDP til at have porten åben fra Internet, er
>det ikke afgørende om det er port X eller Y. Hvis man *ikke* stoler
>på, at port X er sikker at have åben til RDP, skal man (heller) ikke
>lade det køre på port Y.
Tja, absolut sikkerhed opnår man vel kun ved at isolere sig 100 % fra
omverdenen. Men det er der li'som ikke ret meget sjov ved
Manden vil gerne bruge Remote Desktop - Ok, det giver vel en vis risiko
for problemer. Men jeg vil uden skam påstå at risikoen bliver markant
mindre, hvis der anvendes en alternativ port.
>Når man 'snakker' med serveren er det relativt nemt at checke, om det
>er en RDP-server, uanset hvilken port man snakker med.
Jep - Ved hackeren at IP-adressen gemmer på en Remote Desktop Server er
det en leg at lave en port scan - Men indtil videre er der vist ingen
der laver total portscan efter Remote Desktop Servere på tilfældige
ip-adresser...
<mlr>
--
Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..
| |
Asbjorn Hojmark (21-02-2006)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 21-02-06 23:58 |
|
On Tue, 21 Feb 2006 23:24:09 +0100, Michael Rasmussen
<mic@NO_SPAMdou.dk> wrote:
> Manden vil gerne bruge Remote Desktop - Ok, det giver vel en vis
> risiko for problemer. Men jeg vil uden skam påstå at risikoen
> bliver markant mindre, hvis der anvendes en alternativ port.
Nuvel, du tror på security-by-obscurity. Det gør jeg ikke. Vi kan
sagtens diskutere det emne videre i dk.edb.sikkerhed.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/
| |
Christian E. Lysel (22-02-2006)
| Kommentar Fra : Christian E. Lysel |
Dato : 22-02-06 00:09 |
|
Asbjorn Hojmark wrote:
>>Manden vil gerne bruge Remote Desktop - Ok, det giver vel en vis
>>risiko for problemer. Men jeg vil uden skam påstå at risikoen
>>bliver markant mindre, hvis der anvendes en alternativ port.
>
>
> Nuvel, du tror på security-by-obscurity. Det gør jeg ikke. Vi kan
> sagtens diskutere det emne videre i dk.edb.sikkerhed.
Jeg kan varmt anbefalde port 0 eller port 65537.
| |
Sune Storgaard (22-02-2006)
| Kommentar Fra : Sune Storgaard |
Dato : 22-02-06 13:06 |
|
Christian E. Lysel wrote:
> Asbjorn Hojmark wrote:
>>> Manden vil gerne bruge Remote Desktop - Ok, det giver vel en vis
>>> risiko for problemer. Men jeg vil uden skam påstå at risikoen
>>> bliver markant mindre, hvis der anvendes en alternativ port.
>>
>>
>> Nuvel, du tror på security-by-obscurity. Det gør jeg ikke. Vi kan
>> sagtens diskutere det emne videre i dk.edb.sikkerhed.
>
> Jeg kan varmt anbefalde port 0 eller port 65537.
Jaja vældig morsomt.
Faktum er at man undgår størstedelen af de automatiserede scanninger for
rdp.
| |
Christian Andersen (22-02-2006)
| Kommentar Fra : Christian Andersen |
Dato : 22-02-06 15:34 |
|
Sune Storgaard wrote:
>>>>Manden vil gerne bruge Remote Desktop - Ok, det giver vel en vis
>>>>risiko for problemer. Men jeg vil uden skam påstå at risikoen
>>>>bliver markant mindre, hvis der anvendes en alternativ port.
>>>Nuvel, du tror på security-by-obscurity. Det gør jeg ikke. Vi kan
>>>sagtens diskutere det emne videre i dk.edb.sikkerhed.
>>Jeg kan varmt anbefalde port 0 eller port 65537.
> Jaja vældig morsomt.
>
> Faktum er at man undgår størstedelen af de automatiserede scanninger for
> rdp.
Rilly? Hvad så med de scanninger der kigger efter
applikation-signaturer? Gør nmap ikke det? Så er det jo ligemeget
hvilken port du vælger at smide RDP på.
--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!
| |
Christian E. Lysel (22-02-2006)
| Kommentar Fra : Christian E. Lysel |
Dato : 22-02-06 20:15 |
|
Sune Storgaard wrote:
>>Jeg kan varmt anbefalde port 0 eller port 65537.
>
>
> Jaja vældig morsomt.
>
> Faktum er at man undgår størstedelen af de automatiserede scanninger for
> rdp.
Fuldstændig enig, da de fleste scanner går ned ved port 0 og 65537.
| |
Sune Storgaard (22-02-2006)
| Kommentar Fra : Sune Storgaard |
Dato : 22-02-06 22:25 |
|
Christian E. Lysel wrote:
> Fuldstændig enig, da de fleste scanner går ned ved port 0 og 65537.
Din kommentar klinger mistænkelig hult.
| |
Christian E. Lysel (23-02-2006)
| Kommentar Fra : Christian E. Lysel |
Dato : 23-02-06 19:32 |
|
Sune Storgaard wrote:
> Christian E. Lysel wrote:
>>Fuldstændig enig, da de fleste scanner går ned ved port 0 og 65537.
> Din kommentar klinger mistænkelig hult.
Præsis så hult som "Faktum er at man undgår størstedelen af de
automatiserede scanninger for rdp."
Kik evt. på http://www.insecure.org/nmap/vscan/index.html
Men jeg forstår ikke du ikke syntes om port 0!
http://msdn.microsoft.com/library/en-us/winsock/winsock/bind_2.asp
...For TCP/IP, if the port is specified as zero, the service provider
assigns a unique port to the application with a value between 1024 and
5000...
Er det ikke en genial security-by-obsurity idé.
Nu vælges porten tilfældigt mellem 1024-5000, og jeg er sikker på
intervallet kan udvides med en registry.
Derefter kan man jo bruge tid på at genstarte servicen hvert minut,
således at porten skifter for hver minut.
Det giver også en anden gevindst, nemlig at angriberen, når han endelig
finder porten, kun har under et minut før sessionen terminieres.
Derefter kan vi implementeret dynamiske passwords, ved at kalde "NET
USER <user> <password>", hvor password hentes fra en liste.
.....
Personligt fortrækker jeg istedet at bruge tiden med løse andre af RDP
problemmer, ved at pakke RDP ind i SSH, se evt. http://www.nomachine.com/
| |
Kent Friis (23-02-2006)
| Kommentar Fra : Kent Friis |
Dato : 23-02-06 20:23 |
|
Den Thu, 23 Feb 2006 19:31:40 +0100 skrev Christian E. Lysel:
>
> http://msdn.microsoft.com/library/en-us/winsock/winsock/bind_2.asp
> ...For TCP/IP, if the port is specified as zero, the service provider
> assigns a unique port to the application with a value between 1024 and
> 5000...
>
> Er det ikke en genial security-by-obsurity idé.
>
> Nu vælges porten tilfældigt mellem 1024-5000, og jeg er sikker på
> intervallet kan udvides med en registry.
>
> Derefter kan man jo bruge tid på at genstarte servicen hvert minut,
> således at porten skifter for hver minut.
Den ide kan du godt spare dig, den er opfundet for flere år siden (og
dengang var det ikke ment ironisk). Opfinderen kaldte det noget
i retning af "spread spectrum IP"...
Det var dog vidst efter hver pakke portnummeret skiftede, og ikke
hvert minut.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Michael Rasmussen (22-02-2006)
| Kommentar Fra : Michael Rasmussen |
Dato : 22-02-06 17:24 |
|
Asbjorn Hojmark <Asbjorn@Hojmark.ORG> wrote:
>On Tue, 21 Feb 2006 23:24:09 +0100, Michael Rasmussen
><mic@NO_SPAMdou.dk> wrote:
>
>> Manden vil gerne bruge Remote Desktop - Ok, det giver vel en vis
>> risiko for problemer. Men jeg vil uden skam påstå at risikoen
>> bliver markant mindre, hvis der anvendes en alternativ port.
>
>Nuvel, du tror på security-by-obscurity. Det gør jeg ikke. Vi kan
>sagtens diskutere det emne videre i dk.edb.sikkerhed.
Spørgsmålet er nok om jeg overhovedet tror / stoler på noget
Men mon ikke security-by-obscurity alligevel har en vis berettigelse. I
hvert fald faldt antallet af hits på min SSH server fra 1 per minut til
noget der ligner 1 per uge da jeg flyttede væk fra port 22. Om ikke
andet så blev det i hvert fald lettere at monitorere logfilerne
<mlr>
--
Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..
| |
Alex Holst (22-02-2006)
| Kommentar Fra : Alex Holst |
Dato : 22-02-06 20:56 |
|
Michael Rasmussen wrote:
> Men mon ikke security-by-obscurity alligevel har en vis berettigelse. I
> hvert fald faldt antallet af hits på min SSH server fra 1 per minut til
> noget der ligner 1 per uge da jeg flyttede væk fra port 22. Om ikke
> andet så blev det i hvert fald lettere at monitorere logfilerne
Hvordan har det givet dig bedre sikkerhed at flytte sshd til en anden port?
Er dine data nu bedre beskyttet fordi tilfældige værktøjer der forsøger
nogle standard ids og passwords ikke længere larmer i dine logs?
Hvorfor tror du, at din log analyser har lettere ved at analysere dine
logs nu end før? (Hvis du ikke har en, er det en fejl).
Er det rigtige problem ikke, at du (åbenbart) benytter en adgangskode
der kan gættes indenfor overskuelig tid via SSH? Så må den være meget
simpel.
Det virker helt klart som om, at du tror du har *lidt* bedre sikkerhed,
og det er netop den fælde man skal undgå.
Der findes patches til sshd[1] der kan genkende og droppe forbindelsen
fra disse scannerværktøjer inden compression og validering overhovdet
kan finde sted. "Drop login forsøg fra kendte orme" er da i det mindste
en policy man kan forstå (især når den kan implementeres uden vild
komplexitet).
Er du klar over hvor få linier kode der kører som root i den nyeste
version af OpenSSHs sshd? Det er ikke ret mange. Brug tiden på at
opgradere i stedet for at fedte med underlige sikkerhedsideer.
Hvis et automatiseret værktøj kan komme ind blot fordi det kan connecte
til den rigtige port, har man jo ligesom problemer.
"God" sikkerhed er noget man ikke skal ændre fordi nye trends dukker op.
Selvom der ikke er noget nyt over alle de trusler vi ser, er der for
mange variationer til at du har tid til at tage små skridt for at undgå
hver eneste. Sørg for at det du bruger tid på, er tilstrækkeligt
overordnet til at det takler alle truslerne.
Når det bliver almindeligt at malware scanner hele målet, identificerer
OS og services og forsøger sig frem, så skal du til at ændre i dine
konfigurationsfiler igen fordi det *slet* ikke giver mening længere at
skjule sig fra noget der finder dig alligevel. Spar energien.
[1] http://jcs.org/notaweblog/2005-03-30/
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
Michael Rasmussen (22-02-2006)
| Kommentar Fra : Michael Rasmussen |
Dato : 22-02-06 21:59 |
|
Alex Holst <a@mongers.org> wrote:
>Michael Rasmussen wrote:
>> Men mon ikke security-by-obscurity alligevel har en vis berettigelse. I
>> hvert fald faldt antallet af hits på min SSH server fra 1 per minut til
>> noget der ligner 1 per uge da jeg flyttede væk fra port 22. Om ikke
>> andet så blev det i hvert fald lettere at monitorere logfilerne
>
>Hvordan har det givet dig bedre sikkerhed at flytte sshd til en anden port?
...cut en meegggeet lang smøre
Sært så aggresive folk blive - Vi er åbenbart inde på et følsomt emne...
Jo, jeg er fuldstændig hysterisk omkring sikkerhed. Logger ikke på med
brugernavn / adgangskode, men bruger nøglepar. Opdaterer løbende
SSH-serveren. Analyserer løbende SSH-loggen, etc...
Jeg kan ikke undvære min SSH-server. Men uanset hvordan man
vender-og-drejer det, er der en risiko ved at opsætte en server mod
internettet. Linux systemet inklusive SSH opdateres dagligt, men det er
jo også i sig selv en risiko. Der er jo ingen garanti for at den næste
opdatering ikke indeholder svagheder der kompromitterer sikkerheden.
Så jeg føler mig mere tryg på en alternativ port, hvor jeg kun oplever
et hit eller to per uge, frem for den standardiserede port 22 hvor man
nærmest tæppebombes....
<mlr>
--
Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..
| |
Alex Holst (22-02-2006)
| Kommentar Fra : Alex Holst |
Dato : 22-02-06 22:10 |
|
Michael Rasmussen wrote:
> Så jeg føler mig mere tryg på en alternativ port, [snip]
Præcis. Du føler dig mere tryg, men er det ikke.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
Michael Rasmussen (23-02-2006)
| Kommentar Fra : Michael Rasmussen |
Dato : 23-02-06 08:36 |
|
On Wed, 22 Feb 2006 22:09:46 +0100, Alex Holst <a@mongers.org> wrote:
>> Så jeg føler mig mere tryg på en alternativ port, [snip]
>
>Præcis. Du føler dig mere tryg, men er det ikke.
I bund og grund er det et spørgsmål om statistik.
Du er en omhyggelig mand der passer og plejer din SSH-server. Så
risikoen for at et tilfældigt attack slipper igennem er meget ringe.
Men hvis antallet af hits / attacks er tilsvarende højt vil
sandsynligheden for at een enkelt hacker slipper igennem sikkerheden
alligevel nærme sig 1,0
Så jo, security-by-obscurity har sin berettigelse. Tidligere blev min
SSH-server tæppebombet med 1 hit/min, men efter jeg ændrede porten
ligger det i størrelsesorden 1 hit / uge. Så bare det, at jeg ændrer
port øger min sikkerhed med en faktor 10.000
| |
Alex Holst (23-02-2006)
| Kommentar Fra : Alex Holst |
Dato : 23-02-06 09:46 |
|
Michael Rasmussen wrote:
> On Wed, 22 Feb 2006 22:09:46 +0100, Alex Holst <a@mongers.org> wrote:
>
>>> Så jeg føler mig mere tryg på en alternativ port, [snip]
>> Præcis. Du føler dig mere tryg, men er det ikke.
>
> I bund og grund er det et spørgsmål om statistik.
Nej, det er spørgsmål om tid.
På et tidspunkt begynder malware at scanne maskiner og udnytte de
services de kender til. På circa samme tidspunkt kan semi-tænkende
kiddies på forhånd scanne en masse maskiner og opbevare en database over
OS og services så de har tilstrækkeligt med mål at gå efter. Så er det
ligegyldigt hvilken port din service lytter på. Hvis den ikke er patched
og ikke kan modstå angreb har du tabt.
Men heldigvis kører du *kun* services mod hele nettet der er designet
lige så omhyggeligt som OpenSSH, ikke? Din apache kan ikke tilgå noget
uden for /var/www eller hvor dine websites ligger.
> Du er en omhyggelig mand der passer og plejer din SSH-server. Så
> risikoen for at et tilfældigt attack slipper igennem er meget ringe.
> Men hvis antallet af hits / attacks er tilsvarende højt vil
> sandsynligheden for at een enkelt hacker slipper igennem sikkerheden
> alligevel nærme sig 1,0
Huh? Det er ikke antallet af probes der afgør om angriberen slipper ind
eller ej. Om 160 milliarder forsøg på at gætte adgangskoderne er
angriberen ikke tættere på at få adgang til min maskine end han var før.
Der er ingen adgangskoder at gætte.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
Christian E. Lysel (23-02-2006)
| Kommentar Fra : Christian E. Lysel |
Dato : 23-02-06 16:35 |
|
Michael Rasmussen wrote:
> I bund og grund er det et spørgsmål om statistik.
Hvis du vil bruge statistik, så smid den på en port der
ikke scannes efter, fx port 65536.
Her er der 0% sandsynlighed for at blive angrebet.
| |
Michael Rasmussen (23-02-2006)
| Kommentar Fra : Michael Rasmussen |
Dato : 23-02-06 17:35 |
|
"Christian E. Lysel" <sunsite.dk@spindelnet.dk> wrote:
>Michael Rasmussen wrote:
>> I bund og grund er det et spørgsmål om statistik.
>
>Hvis du vil bruge statistik, så smid den på en port der
>ikke scannes efter, fx port 65536.
>
>Her er der 0% sandsynlighed for at blive angrebet.
Jeg er selvfølgelig bare en uvidende ignorant
Men man har fortalt mig at UDP / TCP headerne afsætter 16 bit til
henholdsvis 'destination port' og 'source port'. Så jeg forstår ikke
helt den der med at anvende porte over 65536.
Men der er måske sket nyt på den front ??
<mlr>
--
Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..
| |
Kent Friis (23-02-2006)
| Kommentar Fra : Kent Friis |
Dato : 23-02-06 17:51 |
|
Den Thu, 23 Feb 2006 17:34:35 +0100 skrev Michael Rasmussen:
> "Christian E. Lysel" <sunsite.dk@spindelnet.dk> wrote:
>
>>Michael Rasmussen wrote:
>>> I bund og grund er det et spørgsmål om statistik.
>>
>>Hvis du vil bruge statistik, så smid den på en port der
>>ikke scannes efter, fx port 65536.
>>
>>Her er der 0% sandsynlighed for at blive angrebet.
>
> Jeg er selvfølgelig bare en uvidende ignorant
>
> Men man har fortalt mig at UDP / TCP headerne afsætter 16 bit til
> henholdsvis 'destination port' og 'source port'. Så jeg forstår ikke
> helt den der med at anvende porte over 65536.
>
> Men der er måske sket nyt på den front ??
Nej, du skal bare tænke lidt mere logist...
Den er i samme kategori som bidetangen, 1 kubikmeter beton, osv...
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Kent Friis (22-02-2006)
| Kommentar Fra : Kent Friis |
Dato : 22-02-06 22:10 |
|
Den Wed, 22 Feb 2006 21:59:20 +0100 skrev Michael Rasmussen:
> Alex Holst <a@mongers.org> wrote:
>
>>
>>Hvordan har det givet dig bedre sikkerhed at flytte sshd til en anden port?
>
> Jo, jeg er fuldstændig hysterisk omkring sikkerhed.
>
> Så jeg føler mig mere tryg på en alternativ port,
Det hænger ikke sammen.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Christian Andersen (22-02-2006)
| Kommentar Fra : Christian Andersen |
Dato : 22-02-06 22:14 |
|
Michael Rasmussen wrote:
> Alex Holst <a@mongers.org> wrote:
>>Hvordan har det givet dig bedre sikkerhed at flytte sshd til en anden port?
> ..cut en meegggeet lang smøre
<snip>
> Så jeg føler mig mere tryg på en alternativ port, hvor jeg kun oplever
> et hit eller to per uge, frem for den standardiserede port 22 hvor man
> nærmest tæppebombes....
All right, så du har ikke forstået den "meegggeet lang[e] smøre" Alex
skrev. Ærgerligt nok, fordi der stod faktisk rigtigt gode ting i den.
Hyg dig!
--
Party time, excellent, wiuuuu, wiuuuu, wiuuuuuuu!!!
| |
Kent Friis (22-02-2006)
| Kommentar Fra : Kent Friis |
Dato : 22-02-06 22:31 |
|
Den Wed, 22 Feb 2006 20:55:50 +0100 skrev Alex Holst:
>
> Der findes patches til sshd[1] der kan genkende og droppe forbindelsen
> fra disse scannerværktøjer inden compression og validering overhovdet
> kan finde sted. "Drop login forsøg fra kendte orme" er da i det mindste
> en policy man kan forstå (især når den kan implementeres uden vild
> komplexitet).
>
> [1] http://jcs.org/notaweblog/2005-03-30/
Den måtte jeg så lige tage et kig på, der kom en forbi her idag, efter
jeg har haft port 22 åben siden weekenden (den er normalt begrænset
til bestemte ip-numre, men i weekenden vidste jeg ikke hvilken ip
jeg ville logge ind fra). Iptables blev ret hurtigt rettet tilbage
igen - det er jo nærmest et DOS-forsøg mod syslog Nå, men det
var patchen jeg kiggede på - han kigger bare efter libssh-0.1, hvilket
jeg formoder ikke virker på ham her:
Feb 22 17:37:50 gandalf sshd[1801]: Did not receive identification string from 66.34.236.1
Hvis nogen savner (amerikansk-klingende) navne til et barnedåb, så har
jeg 148 forslag i syslog
Programmet "root-tail" er iøvrigt genialt når man vil holde lidt øje
med systemet.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Axel Hammerschmidt (23-02-2006)
| Kommentar Fra : Axel Hammerschmidt |
Dato : 23-02-06 00:56 |
|
Kent Friis <nospam@nospam.invalid> wrote:
> Den Wed, 22 Feb 2006 20:55:50 +0100 skrev Alex Holst:
> >
> > Der findes patches til sshd[1] der kan genkende og droppe forbindelsen
> > fra disse scannerværktøjer inden compression og validering overhovdet
> > kan finde sted. "Drop login forsøg fra kendte orme" er da i det mindste
> > en policy man kan forstå (især når den kan implementeres uden vild
> > komplexitet).
> >
> > [1] http://jcs.org/notaweblog/2005-03-30/
>
> Den måtte jeg så lige tage et kig på, der kom en forbi her idag,
Han skriver ellers bl.a i een af de link der er på siden:
these ssh brute force login attempts are really annoying.
[...]
just like spam, most of them come from machines in some far off country
that nobody gives a shit about, so reporting them is useless. block one
ip and another one hits in a few hours. i'm debating whether to make
sshd on all of our servers listen on a different port just so i don't
have to see these scroll through in syslog every day. i don't want to
have to enable pf on every machine and maintain lists of ip's that can
connect to ssh.
Men sådan er der jo så meget.
| |
Alex Holst (23-02-2006)
| Kommentar Fra : Alex Holst |
Dato : 23-02-06 09:48 |
|
Axel Hammerschmidt wrote:
> i'm debating whether to make
> sshd on all of our servers listen on a different port just so i don't
> have to see these scroll through in syslog every day. i don't want to
> have to enable pf on every machine and maintain lists of ip's that can
> connect to ssh.
>
> Men sådan er der jo så meget.
Jeg talte ham fra at flytte sshd til en anden port.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
Martin Kofoed (23-02-2006)
| Kommentar Fra : Martin Kofoed |
Dato : 23-02-06 11:16 |
|
Kent Friis wrote:
> Hvis nogen savner (amerikansk-klingende) navne til et barnedåb, så har
> jeg 148 forslag i syslog
Min auth.log svømmer i DEN grad også over i disse dage.
Er der nogen der ved, om det er ormeangreb, eller om det er målrettede
angreb fra enkeltindivider?
Lige nu er det vist et hit at køre med AllowUsers + PKI-setup på ssh ..
--
Martin
| |
Alex Holst (23-02-2006)
| Kommentar Fra : Alex Holst |
Dato : 23-02-06 18:26 |
| | |
Sune Storgaard (23-02-2006)
| Kommentar Fra : Sune Storgaard |
Dato : 23-02-06 00:45 |
|
Alex Holst wrote:
> Michael Rasmussen wrote:
>> Men mon ikke security-by-obscurity alligevel har en vis
>> berettigelse. I hvert fald faldt antallet af hits på min SSH server
>> fra 1 per minut til noget der ligner 1 per uge da jeg flyttede væk
>> fra port 22. Om ikke andet så blev det i hvert fald lettere at
>> monitorere logfilerne
>
> Hvordan har det givet dig bedre sikkerhed at flytte sshd til en anden
> port?
<klip>
På samme måde som nedenstående patch.
Det tager det værste skrald af løse automatiserede angreb, men har ingen
effekt mod målrettede angreb.
> Der findes patches til sshd[1] der kan genkende og droppe forbindelsen
> fra disse scannerværktøjer inden compression og validering overhovdet
> kan finde sted.
<klip>
Selvfølgelig skal sshd,rdp eller hvad service man nu kører være i orden.
Desværre er findes der nye exploits hver dag, og så er i orden pludselig
ikke så i orden længere. De 12+ timer hvor enhver scriptkiddie kan "hacke",
indtil du hører om sårbarheden, er du unødigt udsat(i det givne tilfælde kan
det være ligegyldigt om services kører på den ene eller anden port). Hvis
en kiddie leder efter at udnytte en spritny ssh exploit, så vil han scanne
hosts/22 , og se hvad der dukker op. Ikke samme host fra 0-65537 (for nu at
forsøge at være morsom). I den periode kan det være forskellen på om man
vågner op til et 0wn3d login eller ej.
Selvom man har styrthjelm på, er der ingen grund til at stille sig midt på
holbæk motorvejen, fordi det virker "obskurt" at stille sig ud i rabatten
hvor risikoen er mindre, når i det faktisk tilfælde er en absolut udnødig
øget risiko.
| |
Alex Holst (23-02-2006)
| Kommentar Fra : Alex Holst |
Dato : 23-02-06 09:29 |
|
Sune Storgaard wrote:
> Alex Holst wrote:
>> Hvordan har det givet dig bedre sikkerhed at flytte sshd til en anden
>> port?
> <klip>
>
> På samme måde som nedenstående patch.
Den pågældende sshd patch implementerer en policy, den forbedrer ikke
sikkerheden af et system. *Betydelig* forskel.
Hvis nu I definerede en policy for jeres system med ordene "I så vidt
muligt omfang skal services der kan tilgås fra internettet køres på en
non-standard port" og I, i alt hvad I gjorde, var fuldt klar over, at
det ikke forbedrede sikkerheden af jeres system, men blot implementerede
en policy, så ville jeg overhovedet ikke protestere.
Jeg protesterer fordi I tror at det giver jer en *lille* smule bedre
sikkerhed. Ikke meget, men lidt. Lille bitte smule. Så meget: []. Og det
er forkert.
> Selvfølgelig skal sshd,rdp eller hvad service man nu kører være i orden.
> Desværre er findes der nye exploits hver dag, og så er i orden pludselig
> ikke så i orden længere.
Så du vælger en "non-standard port" policy til at tage højde for den
næste sårbarhed i services du kører?
Det virker bare ikke særligt godt for services som http eller smtp. Jeg
har en bedre løsning: Benyt dig af services der er designet og
implementeret til at modstå angreb. F.eks. lader sshd en chroot'd,
non-privileged child process behandle de fleste data den modtager fra
nettet. Når der bliver fundet en fejl, ender angriberen i et chroot med
et tomt filsystem uden nogen specielle rettigheder. Derfra skal han så
finde en metode til at uploade mere shell code der udnytter en fejl i
kernen så han kan komme ud på resten af dit system.
Hvis dine services ikke er designet til at gøre livet surt for en
angriber, selv når han *har* kastet noget shellcode efter din maskine,
har du tabt.
qmail og Postfix tager nogenlunde de forholdsregler jeg har beskrevet
ovenfor. De fleste network daemoner i OpenBSD gør. Apaches httpd gør
ikke (medmindre man kører OpenBSDs udgave) og der er mange andre
udbredte services der heller ikke gør.
Så før du bruger tid på at flytte dine services til en anden port, så
sørg for at de er designet til *ikke* give en angriber total kontrol
over din maskine, blot fordi der findes en enkelt fejl.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
Sune Storgaard (23-02-2006)
| Kommentar Fra : Sune Storgaard |
Dato : 23-02-06 10:54 |
|
Alex Holst wrote:
<klip lang>
Jeg kan udemærkset se din pointe, jeg mener heller ikke man skal sikre et
system på sådan nogle fiksfakserier, men når vi nu engang snakker om en
service hvor det ingen generer at køre på en anden port, og samtidigt en
port som er godt udsat for scanninger.
Mange af dine "forslag" er dog ikke særligt virksomme ved RDP.
> Så før du bruger tid på at flytte dine services til en anden port, så
> sørg for at de er designet til *ikke* give en angriber total kontrol
> over din maskine, blot fordi der findes en enkelt fejl.
Lige præcis! Nøgleord:"før"
Jeg sagde ikke noget om at man skal tillade enhver bruger med en hver
rettigheder adgang via rdp, det skal selvfølgelig være i orden. Jeg ville da
også hvis det var muligt begrænse adgange til bestemte ip adresser.
BAGEFTER:
Man står ikke værre ved at flytte den sammenlignet med andre som har sikret
deres system og kører på std porten. Man står en lille tand bedre overfor
botnet og scanninger der skyder bredt på og går efter fejl i rdp. Så kan du
kalde det en policy hvis det gør dig glad.
| |
Alex Holst (23-02-2006)
| Kommentar Fra : Alex Holst |
Dato : 23-02-06 18:35 |
|
Sune Storgaard wrote:
> Mange af dine "forslag" er dog ikke særligt virksomme ved RDP.
Tal med leverandøren. De er langsomt ved at fatte, hvordan netværk
services skal designes, men jo flere der prikker til dem, jo bedre.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
Martin Kofoed (23-02-2006)
| Kommentar Fra : Martin Kofoed |
Dato : 23-02-06 11:00 |
|
Alex Holst wrote:
> Hvordan har det givet dig bedre sikkerhed at flytte sshd til en anden
> port?
Det giver ikke automatisk "bedre sikkerhed". Det giver jeg dig ret i. Men
man kan jo være heldig den dag, der rammer en orm, som udnytter et endnu
ukendt hul i sshd. Sandsynligheden for, at ormen formerer sig via port 22
er ret stor. Sandsynligheden for, at den scanner hele spektret, er nok
mindre.
Indrømmet, der er held med i spillet, men Michael er i dette tilfælde heldig
- det er du ikke i det døgn eller to, der går, før sshd-folkene får lavet
en fix. Dit held består i dette tænkte eksempel i, at der ikke ER noget
ukendt hul i sshd.
Og så er der den store gruppe af folk som ikke opdaterer systemer jævnligt.
De vil lide under det i lang tid fremover (Code Red/Nimda-style).
Bare lige for at understrege, så kan det være en fordel at afstå fra normen
frem for at stå i meteoride-regnen og bede til ens power-shield.
Grundlæggende er jeg dog enig i dine betragtninger, der er bare lidt flere
nuancer end som så.
--
Martin
| |
Alex Holst (23-02-2006)
| Kommentar Fra : Alex Holst |
Dato : 23-02-06 16:27 |
|
Martin Kofoed wrote:
> Dit held består i dette tænkte eksempel i, at der ikke ER noget
> ukendt hul i sshd.
I forstår tydeligvis ikke hvad jeg skriver.
Mit "held" består i, at når der bliver fundet et hul i sshd vil tage en
angriber lang tid at bruge hullet til noget fordi der er så mange lag
han skal igennem.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org
OSS/FAQ for dk.edb.sikkerhed: http://sikkerhed-faq.dk
| |
Martin Kofoed (24-02-2006)
| Kommentar Fra : Martin Kofoed |
Dato : 24-02-06 10:12 |
|
Alex Holst wrote:
>> Dit held består i dette tænkte eksempel i, at der ikke ER noget
>> ukendt hul i sshd.
> Mit "held" består i, at når der bliver fundet et hul i sshd vil tage en
> angriber lang tid at bruge hullet til noget fordi der er så mange lag
> han skal igennem.
Du laver en masse - for mit tænkte eksempel - illegale antagelser. Hvem
siger eksempelvis, at det "vil tage en angriber lang tid at bruge hullet"?
Hvor kommer den antagelse fra? Hvis antagelsen var sand, så ja, så ville
det påvirke dit held i positiv retning. Men antagelsen er ikke en del af
mit tænkte worst-case-eksempel, som du åbenbart ikke forstod.
Antag: Hul i sshd. Ikke rettet. Worm in the wild. Angriber port 22. Punktum.
Du bliver ramt - det gør Michael R ikke.
Længere er den såmænd ikke.
--
Martin
| |
Klaus Ellegaard (24-02-2006)
| Kommentar Fra : Klaus Ellegaard |
Dato : 24-02-06 10:21 |
|
Martin Kofoed <inzide@hot.mail.com> writes:
>Antag: Hul i sshd. Ikke rettet. Worm in the wild. Angriber port 22. Punktum.
>Du bliver ramt - det gør Michael R ikke.
Indeed. Men...
# ls /var/empty
hackerscript.sh
# cat /var/empty/hackerscript.sh
rm /etc/passwd
Lad os straks køre hackerscript.sh i SSH-kontekst:
# ./hackerscript.sh
(/var/empty)/etc/passwd: No such file or directory
Oh well, det tørrer jo nok.
Var det en orm?
# ./hackerscript.sh
Kan ikke åbne resolver-library - core error, bus dumped.
Oh well, det tørrer jo også nok.
Mvh.
Klaus.
| |
Alex Holst (24-02-2006)
| Kommentar Fra : Alex Holst |
Dato : 24-02-06 20:27 |
| | |
Nicolai (22-02-2006)
| Kommentar Fra : Nicolai |
Dato : 22-02-06 09:33 |
|
> det en leg at lave en port scan - Men indtil videre er der vist ingen
> der laver total portscan efter Remote Desktop Servere på tilfældige
> ip-adresser...
Noget af en påstand. Hvad bygger du det på?
| |
Michael Rasmussen (22-02-2006)
| Kommentar Fra : Michael Rasmussen |
Dato : 22-02-06 16:44 |
|
"Nicolai" <spam2005@nifo.dk> wrote:
>> det en leg at lave en port scan - Men indtil videre er der vist ingen
>> der laver total portscan efter Remote Desktop Servere på tilfældige
>> ip-adresser...
>
>Noget af en påstand. Hvad bygger du det på?
Al aktivitet på min bredbåndsrouter logges. Der er utallige hits på
standard porte som 21, 22, 135, 139, 445 etc. Men egentlige systematisk
portscan fra 1 til 65535 er der sgu' langt imellem. Jeg tror kun jeg kan
huske en enkelt episode inden for det seneste år.
<mlr>
--
Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..
| |
///M (22-02-2006)
| Kommentar Fra : ///M |
Dato : 22-02-06 16:56 |
|
Michael Rasmussen wrote:
> "Nicolai" <spam2005@nifo.dk> wrote:
>
>>> det en leg at lave en port scan - Men indtil videre er der vist
>>> ingen der laver total portscan efter Remote Desktop Servere på
>>> tilfældige ip-adresser...
>>
>> Noget af en påstand. Hvad bygger du det på?
>
> Al aktivitet på min bredbåndsrouter logges. Der er utallige hits på
> standard porte som 21, 22, 135, 139, 445 etc. Men egentlige
> systematisk portscan fra 1 til 65535 er der sgu' langt imellem. Jeg
> tror kun jeg kan huske en enkelt episode inden for det seneste år.
Et hit beviser jo ikke at det er en port-scan, det kunne ligeså godt være en
ægte applikation der forsøger. Desuden *tror* jeg folk oftere scanner efter
filer end muligheder for at overtage en pc. Derfor langt flere scan på port
21.
--
Mvh
///M
| |
J.K.Arning (21-02-2006)
| Kommentar Fra : J.K.Arning |
Dato : 21-02-06 22:29 |
|
On Tue, 21 Feb 2006 20:28:25 +0100, Michael Rasmussen wrote:
> Der er selvfølgelig en vis sikkerhedsrisiko - Du skal i hvert fald sikre
> dig at administrator og gæste konti har password, ellers får du ret
> hurtigt ubehagelige gæster
>
Hvordan vil du bære dig ad med at logge på en konto der ikke har et
password .. vi taler om Remote Desktop her .. windows ..
En step by step guide ville være god.
--
:: J.K.Arning :: http://arning.dk :: http://tidtildsb.dk ::
| |
Michael Rasmussen (21-02-2006)
| Kommentar Fra : Michael Rasmussen |
Dato : 21-02-06 22:48 |
|
"J.K.Arning" <spam@arning.dk> wrote:
>Hvordan vil du bære dig ad med at logge på en konto der ikke har et
>password .. vi taler om Remote Desktop her .. windows ..
Tanketorsk - Remote Desktop kan selvfølgelig ikke tilgås uden
password...
<mlr>
--
Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..
| |
Nicolai (21-02-2006)
| Kommentar Fra : Nicolai |
Dato : 21-02-06 23:00 |
|
> Der er selvfølgelig en vis sikkerhedsrisiko - Du skal i hvert fald sikre
> dig at administrator og gæste konti har password, ellers får du ret
> hurtigt ubehagelige gæster
Uden password kommer du ikke på.
| |
Nicolai (21-02-2006)
| Kommentar Fra : Nicolai |
Dato : 21-02-06 23:02 |
|
>> Der er selvfølgelig en vis sikkerhedsrisiko - Du skal i hvert fald sikre
>> dig at administrator og gæste konti har password, ellers får du ret
>> hurtigt ubehagelige gæster
>
> Uden password kommer du ikke på.
Hvilken andre så fik svaret på :)
| |
Johnny Rose Carlsen (22-02-2006)
| Kommentar Fra : Johnny Rose Carlsen |
Dato : 22-02-06 19:43 |
|
Christian Andersen <ij2ztk602@sneakemail.com> wrote:
> Sune Storgaard wrote:
> > Faktum er at man undgår størstedelen af de automatiserede
> > scanninger for rdp.
>
> Rilly? Hvad så med de scanninger der kigger efter
> applikation-signaturer? Gør nmap ikke det? Så er det jo ligemeget
> hvilken port du vælger at smide RDP på.
Han taler om automatiserede scanninger, ikke om egentlige angreb mod
hans maskine. Jeg har ikke set ret mange orme, vira eller manuelle
mass-scanning tools der angreb på andet en standard porten, - og da
slet ikke mange der ligefrem brugte nmap ;)
Hvis jeg sammenligner outputtet fra mine to Apache serverer, så kommer
der voldsomt mange scanninger på den der lytter på port 80, og næsten
ingen på den der lytter på port 1080.
Det samme gælder min SSH - port 22 mange hits, port 1022 få hits.
Jeg prøver ikke at påstå at man ikke kan hackes hvis blot man skifter
til en non-standard port, og ej heller at man ikke behøver at
opdaterer sit software (og vælge det med omhu), jeg siger blot at imod
automatiserede tools, så kan det gøre en god forskel at vælge en anden
port.
--
Med venlig hilsen,
- Johnny Carlsen
| |
Johnny Rose Carlsen (23-02-2006)
| Kommentar Fra : Johnny Rose Carlsen |
Dato : 23-02-06 16:46 |
|
Alex Holst <a@mongers.org> wrote:
> I forstår tydeligvis ikke hvad jeg skriver.
>
> Mit "held" består i, at når der bliver fundet et hul i sshd vil tage
> en angriber lang tid at bruge hullet til noget fordi der er så mange
> lag han skal igennem.
Kommer der færre eller flere lag af at skifte port?
Med venlig hilsen,
- Johnny
| |
Klaus Ellegaard (23-02-2006)
| Kommentar Fra : Klaus Ellegaard |
Dato : 23-02-06 17:21 |
|
Johnny Rose Carlsen <news@wenix.dk> writes:
>> Mit "held" består i, at når der bliver fundet et hul i sshd vil tage
>> en angriber lang tid at bruge hullet til noget fordi der er så mange
>> lag han skal igennem.
>Kommer der færre eller flere lag af at skifte port?
Det er et ekstra lag, men sandsynlighederne taler imod det lag
som ekstra sikkerhed.
Alex' lag består i, at et eventuelt hul vil gøre, at angriberen
kommer ind i et chroot'ed miljø med et tomt filsystem.
Angriberen skal derfor først til at lede efter typen af operativ-
system. Derefter skal han finde et sikkerhedshul i dette OS, han
kan udnytte til at slippe ud af chroot-miljøet. (Endelig skal han
finde et andet sikkerhedshul, der giver ham flere privilegier,
men lad os bare droppe det her).
Lad os sige, at risikoen for, at Alex kører en usikker version
af SSH er 1:1.000 (nu slår han mig sikkert ihjel). Risikoen for
at der er et chroot-hul i OS'et er 1:10.000.
Alex' risiko er 1 : ( 1.000 * 10.000 ) = 1:10.000.000. Det er
cirka den samme risiko, som han har for at blive dræbt af et lyn.
Sammenlign det med at flytte en i forvejen "usikker" tjeneste
såsom Apache til port 81. Risikoen for, at man kører en usikker
Apache er nok på linje med at køre en usikker SSH, så det er
altså 1:1.000.
Lad os sige, at risikoen for, at en reel angriber (pyt med orme
i den sammenhæng; de gør sjældent skade lokalt) vil portscanne
os for sårbare services, er 1:2.
Den samlede risiko er altså 1 : (2 * 1.000) = 1:2.000. Det er
cirka samme risiko, som man løber for at få AIDS, hvis man
stikker sig på en "inficeret" nål.
Jeg tager gerne chancen med lynet, men den anden er lidt for
risikabel for mig.
Det fremgår også, at det ikke giver noget nævneværdigt ekstra
at flytte SSH til en anden port. Risikoen for at blive slået
ihjel af et lyn er så minimal, at den halve risiko næppe er
det daglige besvær med at skrive "ssh -p xxx" værd.
Mvh.
Klaus.
| |
Michael Rasmussen (23-02-2006)
| Kommentar Fra : Michael Rasmussen |
Dato : 23-02-06 18:18 |
|
Klaus Ellegaard <klausellegaard@msn.com> wrote:
>>Kommer der færre eller flere lag af at skifte port?
>
>Det er et ekstra lag, men sandsynlighederne taler imod det lag
>som ekstra sikkerhed.
>
>Alex' lag består i, at et eventuelt hul vil gøre, at angriberen
>kommer ind i et chroot'ed miljø med et tomt filsystem.
>
>Angriberen skal derfor først til at lede efter typen af operativ-
>system. Derefter skal han finde et sikkerhedshul i dette OS, han
>kan udnytte til at slippe ud af chroot-miljøet. (Endelig skal han
>finde et andet sikkerhedshul, der giver ham flere privilegier,
>men lad os bare droppe det her).
Det er egentlig ikke den type angreb jeg er bange for - Jeg er meget
mere bekymret for mig selv
Altså at jeg får lavet ged i sshd_config eller lignende, så ssh serveren
efterlades pivåben. SSH er potent legetøj
<mlr>
--
Af alle seksuelle afvigelser er afholdenhed dog den mest besynderlige..
| |
Martin Kofoed (24-02-2006)
| Kommentar Fra : Martin Kofoed |
Dato : 24-02-06 10:23 |
|
Klaus Ellegaard wrote:
> Alex' risiko er 1 : ( 1.000 * 10.000 ) = 1:10.000.000. Det er
> cirka den samme risiko, som han har for at blive dræbt af et lyn.
Nu er vi vist ved at komplicere sagen unødigt ..
Sagen er: Vil det KUN skabe falsk tryghed at flytte sshd til en anden port
end 22?
Alex siger JA i *alle* tilfælde.
Jeg mener JA i de *fleste* tilfælde.
Det handler bare om nuancer.
> at flytte SSH til en anden port. Risikoen for at blive slået
> ihjel af et lyn er så minimal, at den halve risiko næppe er
> det daglige besvær med at skrive "ssh -p xxx" værd.
Nu er det så af praktiske grunde meget smart, hvis firma-firewall'en kun
åbner for port 80 og 443 ... ;)
--
Martin
| |
N/A (23-02-2006)
| Kommentar Fra : N/A |
Dato : 23-02-06 17:47 |
|
| |
N/A (23-02-2006)
| Kommentar Fra : N/A |
Dato : 23-02-06 17:21 |
|
| |
N/A (23-02-2006)
| Kommentar Fra : N/A |
Dato : 23-02-06 17:21 |
|
| |
N/A (23-02-2006)
| Kommentar Fra : N/A |
Dato : 23-02-06 17:21 |
|
| |
N/A (23-02-2006)
| Kommentar Fra : N/A |
Dato : 23-02-06 17:21 |
|
| |
N/A (23-02-2006)
| Kommentar Fra : N/A |
Dato : 23-02-06 17:21 |
|
| |
N/A (23-02-2006)
| Kommentar Fra : N/A |
Dato : 23-02-06 17:21 |
|
| |
N/A (23-02-2006)
| Kommentar Fra : N/A |
Dato : 23-02-06 17:21 |
|
| |
N/A (23-02-2006)
| Kommentar Fra : N/A |
Dato : 23-02-06 17:21 |
|
| |
N/A (23-02-2006)
| Kommentar Fra : N/A |
Dato : 23-02-06 17:21 |
|
| |
N/A (23-02-2006)
| Kommentar Fra : N/A |
Dato : 23-02-06 17:21 |
|
| |
Johnny Rose Carlsen (23-02-2006)
| Kommentar Fra : Johnny Rose Carlsen |
Dato : 23-02-06 17:27 |
|
"Christian E. Lysel" <sunsite.dk@spindelnet.dk> wrote:
> Johnny Rose Carlsen wrote:
> > Kommer der færre eller flere lag af at skifte port?
>
> Hvis du laver antagelse at angreb kun sker på en fast port og du
> flytter dig væk fra denne port, vil der kommet et ekstra lag.
>
> Du kan blot ikke lave denne antagelse.
>
> Mængden af lag er derfor ikke ændret.
Så er vi helt enige, men i diskussions hede fik jeg næsten en
opfattelse af at det blev betragtet som færre lag.
Jeg vil aldrig ikke opfatte det som en ulempe, men i nogle tilfælde
kunne se det som en fordel.
Med venlig hilsen,
- Johnny Carlsen
| |
Kent Friis (23-02-2006)
| Kommentar Fra : Kent Friis |
Dato : 23-02-06 17:47 |
|
Den Thu, 23 Feb 2006 17:27:05 +0100 skrev Johnny Rose Carlsen:
> "Christian E. Lysel" <sunsite.dk@spindelnet.dk> wrote:
>> Johnny Rose Carlsen wrote:
>> > Kommer der færre eller flere lag af at skifte port?
>>
>> Hvis du laver antagelse at angreb kun sker på en fast port og du
>> flytter dig væk fra denne port, vil der kommet et ekstra lag.
>>
>> Du kan blot ikke lave denne antagelse.
>>
>> Mængden af lag er derfor ikke ændret.
>
> Så er vi helt enige, men i diskussions hede fik jeg næsten en
> opfattelse af at det blev betragtet som færre lag.
Det kan være færre lag sammenlignet med hvad du kunne have nået på
den tid du spildte på at flytte porten.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
Johnny Rose Carlsen (23-02-2006)
| Kommentar Fra : Johnny Rose Carlsen |
Dato : 23-02-06 18:46 |
|
Klaus Ellegaard <klausellegaard@msn.com> wrote:
> Johnny Rose Carlsen <news@wenix.dk> writes:
>
> >> Mit "held" best__r i, at n__r der bliver fundet et hul i sshd vil
> >> tage en angriber lang tid at bruge hullet til noget fordi der er
> >> s__ mange lag han skal igennem.
>
> >Kommer der f_rre eller flere lag af at skifte port?
>
> Det fremg_r ogs_, at det ikke giver noget n_vnev_rdigt ekstra
> at flytte SSH til en anden port. Risikoen for at blive sl_et
> ihjel af et lyn er s_ minimal, at den halve risiko n_ppe er
> det daglige besv_r med at skrive "ssh -p xxx" v_rd.
Jeg synes lidt du sammenligner pære med bananer.
At sammenligne en sshd med apache, er lidt som at sammenligne bananer
med æbler. Men i bund og grund kan jeg kan godt forstå hvor i vil hen
med det. Mange tak for svaret.
Med venlig hilsen,
- Johnny Carlsen
| |
Johnny Rose Carlsen (23-02-2006)
| Kommentar Fra : Johnny Rose Carlsen |
Dato : 23-02-06 18:48 |
|
Kent Friis <nospam@nospam.invalid> wrote:
> Den Thu, 23 Feb 2006 17:27:05 +0100 skrev Johnny Rose Carlsen:
> > "Christian E. Lysel" <sunsite.dk@spindelnet.dk> wrote:
> >> Johnny Rose Carlsen wrote:
> >> > Kommer der færre eller flere lag af at skifte port?
> >>
> >> Hvis du laver antagelse at angreb kun sker på en fast port og du
> >> flytter dig væk fra denne port, vil der kommet et ekstra lag.
> >>
> >> Du kan blot ikke lave denne antagelse.
> >>
> >> Mængden af lag er derfor ikke ændret.
> >
> > Så er vi helt enige, men i diskussions hede fik jeg næsten en
> > opfattelse af at det blev betragtet som færre lag.
>
> Det kan være færre lag sammenlignet med hvad du kunne have nået på
> den tid du spildte på at flytte porten.
Det tager mig længere tid at skrive denne her post, end det tager mig
at ændre min sshd port - så det argument er lidt tynd ;)
Med venlig hilsen,
- Johnny Carlsen
| |
Kent Friis (23-02-2006)
| Kommentar Fra : Kent Friis |
Dato : 23-02-06 20:20 |
|
Den Thu, 23 Feb 2006 18:47:44 +0100 skrev Johnny Rose Carlsen:
> Kent Friis <nospam@nospam.invalid> wrote:
>
>> Den Thu, 23 Feb 2006 17:27:05 +0100 skrev Johnny Rose Carlsen:
>> > "Christian E. Lysel" <sunsite.dk@spindelnet.dk> wrote:
>> >> Johnny Rose Carlsen wrote:
>> >> > Kommer der færre eller flere lag af at skifte port?
>> >>
>> >> Hvis du laver antagelse at angreb kun sker på en fast port og du
>> >> flytter dig væk fra denne port, vil der kommet et ekstra lag.
>> >>
>> >> Du kan blot ikke lave denne antagelse.
>> >>
>> >> Mængden af lag er derfor ikke ændret.
>> >
>> > Så er vi helt enige, men i diskussions hede fik jeg næsten en
>> > opfattelse af at det blev betragtet som færre lag.
>>
>> Det kan være færre lag sammenlignet med hvad du kunne have nået på
>> den tid du spildte på at flytte porten.
>
> Det tager mig længere tid at skrive denne her post, end det tager mig
> at ændre min sshd port
Ja det er efterhånden gået op for mig. Hvis jeg brugte bare lidt mindre
tid på usenet, kunne jeg have haft fixet det programmeringsproblem jeg
sidder med allerede i mandags eller tirsdags...
Sådan nogle posts tager aaaaaalt for lang tid at skrive.
Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.
| |
|
|