ComputerBase Menü
Aktuelles

Elementares SSH Verfahren übertrieben?

F

ForceWare

Cadet 4th Year
Registriert
Mai 2004
Beiträge
93
Hallo zusammen.

Vielleicht bin ich ja total bescheuert und paranoid... :freak:

Ich habe soeben einen eigenen dedizierten Server bei einem großen Anbieter solcher Dienste angemietet. Nach der fertigen Einrichtung wollte ich mich per SSH mit dem Server verbinden und begann in den mir vorliegenden Unterlagen (Emails) und im Admin-Interface auf der Website des Anbieters fieberhaft nach dem SSH Public Key Fingerprint des Servers zu suchen.

Nachdem dies erfolglos war und nachdem ich den ganzen Tag mit dem Support telefoniert und Tickets hin und her geschrieben habe, bekam ich schließlich telefonisch sinngemäß die Antwort, danach habe noch keiner gefragt, da könne man mir nicht weiterhelfen und ich solle mich doch einfach verbinden und den Fingerprint erstmalig einfach akzeptieren und es sei ja nur dann ein Sicherheitsrisiko, wenn sich dieser dann nachträglich ändere. Die Aussage hat mich zutiefst schockiert.

Mein Verständnis des SSH Protokolls ist, dass eine Authentifizierung nicht nur durch den Server erfolgen muss, sondern dass auch der Client sicherstellen muss, dass er es mit dem "echten" Server zu tun hat.
Der einzige Weg, dafür zu sorgen, ist ein anderer und halbwegs sicherer/vertrauenswürdiger Kanal, über den dem Client der Public Key des Servers (bzw. dessen Fingerprint) übermittelt wird.
Der Client kann dann bei der erstmaligen Verbindung über SSH den Fingerprint verifizieren, die IP und den Fingerprint des Servers für später speichern (falls es zu einer Änderung kommt) und die Verbindung kann aufgebaut werden.
Ich hoffe, im Groben ist das soweit korrekt?

Frage: Bin ich bescheuert, dass ich darauf bestehe, diesen Fingerprint vorab zu bekommen?

Wenn ich nichts zum Verifizieren habe, kann ich doch beim ersten Verbinden nicht wissen, mit wessen Maschine ich mich da verbinde? (Stichwort: Man-in-the-Middle)
Wenn ich sensible Daten übertragen möchte, wäre es doch grob fahrlässig, diesen essenziellen Schritt des Protokolls zu ignorieren oder nicht?
 
  • Gefällt mir
Reaktionen: BeBur
Ja und nein.
Ja, bei der ersten Anmeldung sollte man vielleicht auf Nummer sicher gehen und vorher den Fingerprint einholen, wenn man mit sensiblen Daten zu tun hat.
Nein, dass macht man bei Otto-Normal-Anbietern nicht, Sicherheit kostet an der Stelle zu viel Geld......
 
Sehe ich ähnlich. Aber warum stellt man nicht einfach das Zertifikat öffentlich zur Verfügung?
So kennt man es z.B. von eduroam, wenn das auch kein SSH sondern WLAN ist. Nur so kann man sicher sein, sich nicht mit einem AP zu verbinden, der nur dieselbe SSID vorgaukelt.
Das Prüfen der Identität der Authentifizierungsserver wird dringend empfohlen. Dazu muss das Stammzertifikat der Telekom auf dem lokalen System installiert sein. Ist das nicht der Fall, kann der Client nicht testen, ob er bei der Authentifizierung mit einem offiziellen Server kommuniziert. Ist die Prüfung deaktiviert, so kann das eigene Password gestohlen und der eigene Account missbraucht werden.
Zum Vergrößern anklicken....
https://www.uni-due.de/zim/services/wlan/eduroam-win10.php
 
Ja du hast Recht und der Fingerprint sollte eigentlich über einen anderen Kanal vorab kommuniziert werden.
 
@ForceWare
System läuft auf Hardware die du nicht unter Kontrolle hast, und die Installation scheint auch nicht von dir zu stammen, da du ja anscheinend nichteinmal eine remote Konsole bekommst mit der du den Fingerprint selber prüfen könntest. Damit ist der Fingerprint sowieso nicht mehr all zu entscheidend, wenn auch wünschenswert.
Könntest aber ruhig den Anbieter nennen und wenn es via PN ist ;)

@Wilhelm14
Eduroam unterlag aber auch einem erzwungenem Lerneffekt. Das die "eduroam" SSID überall mal aufploppte um Nutzerdaten abzugreifen kam nicht nur einmal vor..
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: snaxilian
Stimme @Piktogramm da voll und ganz zu. Wenn du so einen Wert auf Sicherheit legst dann solltest du auch nicht das 0815 Image des Anbieters nehmen sondern den Server selbst inklusive LUKS aufsetzen. Dann hast auch direkt Zugriff auf den Fingerprint für den ersten Kontakt per SSH.
 
Vielen Dank erstmal an alle für das vielseitige Feedback.

@Piktogramm , @snaxilian
Es gibt bei dem Anbieter schon die Möglichkeit, auch ein eigenes Image einzuspielen. Das ist übrigens ein guter Einwand. Da ich ja aber nicht physisch vor Ort bin, sondern mich draufschalten muss, eben auch um ein eigenes OS Image aufzusetzen, verschiebt sich in dem Sinne ja nur das Problem auf die Verifizierung des Fingerprints der Linux Live Umgebung, die dort angeboten wird, um eigene Konfigurationen vorzunehmen.

Es ist sicherlich richtig, dass bei Hardware, die bei jemand anderem steht, die Sicherheit niemals optimal sein wird. Erst recht nicht, wenn es noch nicht einmal eigene Hardware ist. Letztendlich ist es ja immer eine Abwägung von Kosten vs. Nutzen oder in dem Fall Aufwand vs. Zugewinn an Sicherheit.

Nein, ich wollte tatsächlich nur verschiedene Meinungen zu der Situation hören, weil ich langsam das Gefühl hatte, ich drehe durch.

So wie ich das sehe, wäre es ein leichtes für den Anbieter, diesen zusätzlichen Sicherheitsschritt zu machen. Beispiele:
  • über die bereits bestehende und umfangreiche Admin-Oberfläche auf deren Website, die sie sowieso den Kunden bieten, auch den Fingerprint anzuzeigen. Die Website ist SSL gesichert, was schonmal mehr ist, als nichts. Das wäre ein alternativer Kanal, auf den ich mich ruhigen Gewissens verlassen würde.
  • Eine signierte Email, die automatisch nach dem Aufsetzen des Servers vesendet wird, in der der Fingerprint steht.
  • Eine extra Seite unter der Domain des Anbieters, auf der ein Eingabefeld für einen Fingerprint ist, wo einem ausgegeben wird, ob der Fingerprint authentisch ist oder nicht.
  • Brieftaube...
Das fällt mir nur spontan ein. So unrealistisch und prohibitiv teuer kann das doch nicht sein. Dass ich der erste sein soll, dem das unangenehm aufstößt, kann ich auch kaum glauben, aber nun gut.
 
Tja dann bist wohl eindeutig beim falschen Provider^^
Gerade testweise ein neues System bei meinem Hoster mit dessen Standard Debian betanken lassen und habe anschließend eine Mail bekommen mit IP, Hostname sowie dem ssh fingerprint.

Aber du ignorierst das Offensichtliche: Selbst wenn du einen korrekten fingerprint bekommen würdest musst du darauf vertrauen, dass die Standardinstallation des Anbieters nicht kompromittiert ist. Dann kannst auch auf den ersten ssh fingerprint vertrauen, der dir angezeigt wird. Die Grenze beim ssh key zu ziehen ist mMn ziemlich willkürlich.

Es gibt Hoster, da kannst sowohl eigene Installations-ISOs nutzen also auch fertige qcow2 oder raw Images hochladen. Wenn ich das möchte muss ich dem Hoster also keinerlei Vertrauen entgegen bringen.

Den meisten "Anwendern" die meinen sie bräuchten unbedingt einen eigenen Server, aber auch so manchem Admin, ist das Thema Sicherheit relativ egal oder hat davon keine Ahnung daher hat das nicht unbedingt hohe Prio bei manchen Hostinganbietern.
 
ForceWare schrieb:
Das fällt mir nur spontan ein. So unrealistisch und prohibitiv teuer kann das doch nicht sein. Dass ich der erste sein soll, dem das unangenehm aufstößt, kann ich auch kaum glauben, aber nun gut.
Zum Vergrößern anklicken....
Du bist ja auch nicht der allererste. Du bist der erste mit dem Anliegen, der an diesen Kundenberater gekommen ist ;)

Aber ganz im Ernst. Bei welchem großen Anbieter bist du denn? Ich hab grad bei Netcup geguckt und dort steht in der Info-Mail mit den Logins auch der SSH fingerprint.
 
snaxilian schrieb:
Aber du ignorierst das Offensichtliche: Selbst wenn du einen korrekten fingerprint bekommen würdest musst du darauf vertrauen, dass die Standardinstallation des Anbieters nicht kompromittiert ist. Dann kannst auch auf den ersten ssh fingerprint vertrauen, der dir angezeigt wird. Die Grenze beim ssh key zu ziehen ist mMn ziemlich willkürlich.
Zum Vergrößern anklicken....
@snaxilian
Da muss ich dir widersprechen. Ich bin mir des Risikos eines kompromittierten Images durchaus bewusst. Und willkürlich wäre es auch nicht, die Grenze da zu ziehen. Das sind zwei verschiedene Angriffsvektoren.

Den einen (Image ist evil) kann ich abschwächen, wenn ich selber ein eigenes Image einspiele. Dazu müsste ich aber erstmal eine sichere Verbindung (welcher Art auch immer) zum Rechner haben, wobei wir wieder beim Eingangsproblem wären, oder ich müsste selbst vor Ort sein, was (für mich) nicht möglich ist.

Hinzu kommt noch, dass bei dem von dir genannten Szenario ein Angreifer zwingend den Anbieter kompromittiert haben müsste. Bei der Fingerprint Thematik geht es um die Vereitelung genereller MitM Angriffe. Nicht unbedingt dasselbe Threat Model.

Du hast absolut Recht mit deiner Risikoeinschätzung, aber es wäre falsch zu sagen: Wer das eine nicht sicherstellt, braucht sich um das andere auch nicht zu kümmern. Ich kann ja auch meine Haustür verriegeln und meine Wohnungstür nur in's Schloss fallen lassen. Sicherer wäre es, beide zu verriegeln, aber eine zu verriegeln ist besser als keine zu verriegeln. :)

Ich denke, wir sind uns aber einig, dass das Bereitstellen des Fingerprints zum Standardverfahren gehören sollte.

Balthasarbildet schrieb:
Aber ganz im Ernst. Bei welchem großen Anbieter bist du denn? Ich hab grad bei Netcup geguckt und dort steht in der Info-Mail mit den Logins auch der SSH fingerprint.
Zum Vergrößern anklicken....
@Balthasarbildet
Tatsächlich gibt es seit eben ein Update. Es scheint, als hätte ich es nur mit einigen weniger kompetenten MItarbeitern zu tun gehabt.

Eigentlich wird nach erfolgreicher Installation eines der vorgefertigten Images seitens des Anbieters wohl eine Email versendet, in der der Fingerprint steht. (Nebenbei bemerkt: Kein sicherer Kanal, daher habe ich angeregt, die Email zu signieren, aber nun gut.)

Das Problem war wohl, dass es bei der Installation des nun von mir gewählten Images ein Problem auftrat, was dies verhinderte. Das Problem ist wohl nun behoben. Ich bin gespannt...

Da ich eben einen solchen Fall eingangs nicht ausschließen konnte, wollte ich hier öffentlich noch keinen an den Pranger stellen. Ich gebe aber gerne Update (per PN), wenn es interessiert.

Danke nochmal für die Antworten!
 
@ForceWare
Wenn eigene Images installiert werden können, dann sollte es eine Möglichkeit für VNC/RDP sessions geben. Bei der Installation kommt man ja meist nicht mit SSH aufs Ziel drauf. Eben in der Session kann man sich auch die Pupkeys aus /etc/ssh anschauen.
 
ForceWare schrieb:
[...] eigenes Image einspiele. Dazu müsste ich aber erstmal eine sichere Verbindung [...]
Zum Vergrößern anklicken....
Nein, wozu? Ich bereite das System in einer sicheren und bekannten Umgebung vor und kenne damit den SSH Key des Servers und/oder kann direkt passwortbasierte Anmeldung per SSH deaktivieren und hinterlege meinen Public Key für SSH und die VM hat eine Verschlüsselung per LUKS. Ich erzeuge das Image, lade dies über irgendeinen Weg hoch und sei es plaintext FTP. Der Hoster nimmt das Image und macht daraus eine VM und startet die VM für mich oder du als Kunde ist aber auch irrelevant.

Beim Verbindungsaufbau per SSH bekommst du den zuvor bekannten SSH Fingerprint des Servers angezeigt -> alles gut
Beim Verbindungsaufbau per SSH bekommst du einen neuen SSH Fingerprint angezeigt -> MitM und doch wirkungslos, da der Angreifer nicht im Besitz der Keys ist.

Bevor du jetzt fragst wie ein vollverschlüsseltes Linux mit LUKS booten kann: $Suchmaschine und "luks dropbear" wäre eine Möglichkeit.

Ansonsten wie von @Piktogramm vorgeschlagen per VNC oder sonstiger Remotekonsole nutzen und die Daten vergleichen. Ein potentieller MitM müsste somit auch dieses kompromittieren.
 
snaxilian schrieb:
Aber du ignorierst das Offensichtliche: Selbst wenn du einen korrekten fingerprint bekommen würdest musst du darauf vertrauen, dass die Standardinstallation des Anbieters nicht kompromittiert ist. Dann kannst auch auf den ersten ssh fingerprint vertrauen, der dir angezeigt wird. Die Grenze beim ssh key zu ziehen ist mMn ziemlich willkürlich.
Zum Vergrößern anklicken....

Jain: Theoretisch könnte sich auch eine Drittpartei mittels MitM zu schaffen machen, wenn du dich das erste mal verbindest. ISP oder ein anderer Anbieter (Zum Beispiel jemand der am DeCix schnorchelt... :D).
Ist natürlich in DE etwas weiter her geholt, aber man kann ja auch fälschlicherweise auf der falschen Liste landen...
Fingerprint angezeigt ist ganz nett, oder eben direkt komplett selbst aufsetzen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz