Brute Force abwehren

Admins kleine Helfer

Wie der Blick auf die Sicherheitslogs zeigt, steigt mit jedem Tag die Anzahl der Brute-Force-Angriffe gegen Dienste wie SSHD (Secure Shell Daemon). Das Ziel der Angreifer, die mit Programmen wie Hydra im Teamwork arbeiten, ist der Superuser-Account

root.
Mithilfe umfangreicher Wörterbücher testen die Cracker eine Vielzahl von Kennwörtern, bis sie die gültige Variante finden. Selbst wenn Sie komplexe Kennwörter wählen: Die Angriffe enden häufig in DoS-Attacken auf SSHD und erzeugen Traffic. Mit folgenden Tricks können Sie Ihren SSHD-Server resistenter oder immun gegen SSHD-Brute-Force-Angriffe machen. Folgende Parameter finden Sie imRegelfall in der Konfigurationsdatei des SSHD-Servers unter /etc/ssh/sshd_config:

ListenAddress:
Mit diesem Parameter legen Sie fest, welches Interface SSHD überwachen soll. Ein Beispiel: Ihre Server besitzen ein externes und internes Interface, der SSHD-Zugriff ist aber nur auf dem internen (10.0.0.100) Interface notwendig. Der Befehl ListenAddress 10.0.0.100 führt dazu, dass SSHD das externe Interface ignoriert.

PermitRootLogin:
Sperren Sie den Root- Log-in per SSH einfach komplett und nutzen Sie stattdessen den Befehl sudo, um privilegierte Befehle auszuführen. Die entsprechende Syntax lautet: PermitRootLogin no. Auf eine analoge Methode vertraut auch die in dieser Ausgabe vorgestellte Distribution Ubuntu 6.06 Server LTS. Hier wird aus Sicherheitsgründen standardmäßig kein Root-Kennwort vergeben, alle privilegierten Operationen erfolgen per sudo.

Port:
In der Grundeinstellung lauscht SSHD auf Port 22. Mit der Änderung dieses Ports erschweren Sie auch Brute-Force- Attacken. Allerdings nur so lange, bis dem Angreifer der echte SSHD-Port bekannt ist. Wie im Beispiel netcat angegeben, lassen sich entsprechende Service-Port-Scanner sehr einfach konstruieren.

Password-Optionen:
Bei Maschinen, die direkt im Internet erreichbar sind, sollten Sie die Authentifizierung per Kennwort abschalten; dies geschieht mit dem Befehl Password Authentication no. Verbieten Sie zudem leere Kennwörter mit PermitEmptyPasswords no. Anstatt der Authentifizierung über reguläre Kennwörter, aktivieren Sie das Public- Key-Verfahren von openSSH. Auf diese Weise stellen Sie sicher, dass nur Anwender auf Ihre Systeme zugreifen, die im Besitz eines gültigen Schlüssels sind. Die Authentifizierung schalten Sie mit dem Befehl PubkeyAuthentification yes ein.

Protocol:
Mit dem Kommando Protocol 2 sperren Sie das alte SSH-1-Protokoll und damit verbundene Sicherheitslücken.