News Terrapin-Angriff: Fast 11 Millionen online erreichbare SSH-Server sind anfällig

gelöscht da obsolet
 
Zuletzt bearbeitet: (gelöscht da obsolet)
foofoobar schrieb:
Wo kein Code da keine Fehler.

Das ist eine bewusste Designentscheidung möglichst wenig auszuhandeln, wenig Modi zu implementieren und wenig State zu haben.
Wenn der Algorithmus der Fehler ist, weil er sich als unsicher herausstellt, dann schon - zumal WireGuard auch diverse verschiedene für verschiedene Zwecke einsetzt.
 
Donnerkind schrieb:
@mae sprach hypotetisch für den Fall, dass dein VPN mal ne Schwachstelle haben sollte. Insofern ist es im Vergleich zu ssh nicht schlechter, aber auch kaum besser.

Wenn mein VPN eine Schwachstelle hat, gibt es noch die Authentifizierung beim SSH, die dann ja auch nicht ganz ungeschützt ist. Hier gibt es also eine zweite Hürde, eine zweite Sicherheitsbarriere. Die gibt's beim direkten öffnen von Port 22 nicht. Da heißt es "oh SSH hat eine Lücke? Dann bist du jetzt am A****" :)
Ergänzung ()

TomH22 schrieb:
Ihr redet von sehr unterschiedlichen Sachen

Da hast du Recht, wir haben von unterschiedlichen Standpunkten drauf geschaut. :)
 
Darüber hinaus benötigt ein Angreifer Netzwerkzugriff auf TCP/IP-Ebene, um in die Verbindung zwischen Client und Server eingreifen und den Datenverkehr abfangen und verändern zu können.
D.h. defacto betrifft es nur Server die über eine unsichere Verbindung administriert werden.

Bei Netzwerkgeräten befinde sich diese hoffentlich im eigenen Netzwerk oder in einem fremden wo man über VPN zugreift.

Internet-Server wie VPS und dergleichen dürften die einzigen sein, die das wirklich treffen könnte -wenn man vom Mäcces WLAN aus seine Server administriert...
Wenn man einen solchen Server betreibt rate ich aber zu einem Tunnel... WireGuard draufknallen und WAN-seitig bis auf WireGuard alles dicht machen was nicht als Server laufen soll. Am WireGuard Interface kann man dann alles offen lassen und man kann den Server bequem und sicher über ein beliebiges unverschlüsseltes Protokoll administrieren...).
 
  • Gefällt mir
Reaktionen: Teckler
holdes schrieb:
SSH und viele aus Deutschland? Wenn da mal nicht einige Linux aka Enigma Receiver dabei sind, welche keine Updates mehr bekommen aber von ihren Besitzern durchgenattet wurden :D.
Ja oder heerscharen an Rasperry Pies die ohne Hintergrundwissen strikt nach YT-Tutorial eingerichtet wurden. Klicke hier, bestätige dort, installiere jenes! Und schon läuft dein RasPi als XYZ...
 
  • Gefällt mir
Reaktionen: Donnerkind und holdes
Bei den Raspberries hat man ja zum Glück noch den Vorteil, dass die nicht automatisch ins Internet freigegeben werden, da man hierfür Ports freigeben müsste, was die meisten schon überfordert.
 
h00bi schrieb:
unter debian reicht übrigens ein simples
apt update
apt upgrade
um den SSH Server ausreichend zu patchen.
Das ist nur die halbe Wahrheit, um die Lücke wirklich zu schließen muss bei der Aushandlung auch der Client den Fix bereits implementiert haben, es ist also erst nicht mehr ausnutzbar, wenn der Client der zum gepatchten Server connected ebenfalls schon gepatcht wurde.
 
ownagi schrieb:
Bei den Raspberries hat man ja zum Glück noch den Vorteil, dass die nicht automatisch ins Internet freigegeben werden, da man hierfür Ports freigeben müsste, was die meisten schon überfordert.

Da hast Du natürlich recht. Ansonsten wäre wohl bei der Hälfte aller erreichbaren Servern BN und PW "pi" & "rasberry" :evillol:


Btw: default BN und PW wurde ja zum Glück nun geändert....
 
aid0nex schrieb:
Vielleicht bin ich in meiner Sichtweise auch einfach nur zu eingeschränkt, aber warum muss man überhaupt SSH Ports öffentlich zugänglich machen?! Ich habe immer nur die wirklich notwendigen Ports offen, z.B. Port 80/443 für Webserver. Port 22 ist natürlich geschlossen - wenn ich wirklich von außen den Server ansteuern möchte, verbinde ich mich per VPN (z.B. Wireguard) in das Netzwerk und greife dann über Port 22 intern drauf zu. Auch im beruflichen Kontext habe ich es bisher immer so gesehen dass man sich in die jeweilige Umgebung tunnelt, um dann dort von intern drauf zuzugreifen. Hätte ich auch nur einen einzigen Server irgendwo mal theoretisch von außen ansteuerbar machen wollen, hätten die Security Kollegen mir sofort den Kopf abgesägt. Gibt es wirklich Szenarien in denen es nicht anders geht?!
Dank der Info von @aid0nex habe ich mich mit dem Thema VPN für mein Heimnetz befasst.
Habe hier einen ubuntu Server 22.04.3 LTS ohne Freigaben ins Internet am Laufen, mit aktuellen updates.
Mit Android Smartphone greife ich im Heimnetz per Dateimanager und SSH APP drauf zu.
Eine SSH Freigabe ins Internet hatte ich wegen den zahlreichen Warnungen nie gemacht.
Hab eben in der Fritzbox 6660 wireguard VPN aktiviert, läuft sofort problemlos mit der wireguard android App per QR-Code konfig.
Was mir gar nicht gefällt ist der Umweg über den myfritz.net Server oder DynDNS:
1704533939824.png


Habe nämlich eine feste IPv4 Adresse bei Vodafone.
Gooogle meint daß der Zwang zum myfritz Server oder DynDNS besteht.
Stimmt das ?
Oder kann auf die feste IPv4 Adresse anstatt dem myfritz Server gewechselt werden ?
Wäre das ein Vorteil oder doch ein Nachteil ?
Server läuft keine 24/7 sondern nur nach Bedarf und wenn ich zu Hause bin.
Wenn ich nun von auswärts im Bedarfsfall jeweils kurzfristig drauf zugreifen kann (Start per Schaltsteckdose und wieder runterfahren per SSH) wär das ein netter Bonus.
 
  • Gefällt mir
Reaktionen: aid0nex
Teckler schrieb:
Was mir gar nicht gefällt ist der Umweg über den myfritz.net Server oder DynDNS:
Warum "gefällt Dir das gar nicht"? Es macht am Ende keinen Unterschied, ob Du dich per IP- oder DNS-Adresse verbindest.
 
  • Gefällt mir
Reaktionen: Teckler
@Teckler: Du kannst in der Wireguard-Config auf deinem Smartphone einfach die myfritz-Adresse durch deine feste IP ersetzen. Macht ohnehin Sinn, da du nicht überall eine IPv6 mit deinem Smartphone bekommen wirst und du dadurch keine Verbindung herstellen könntest.
 
  • Gefällt mir
Reaktionen: Teckler
ownagi schrieb:
da du nicht überall eine IPv6 mit deinem Smartphone bekommen wirst und du dadurch keine Verbindung herstellen könntest.
Glaube kaum, dass ein Phone, welches keine IPv6 hat, sich dennoch nur mit IPv6 verbinden wollte.

Interessanter ist vielmehr, ob er bei Vodavone überhaupt noch IPv6 hat...
Am Ende macht es aber wie gesagt keinen Unterschied.
 
  • Gefällt mir
Reaktionen: Teckler
Bob.Dig schrieb:
Warum "gefällt Dir das gar nicht"? Es macht am Ende keinen Unterschied, ob Du dich per IP- oder DNS-Adresse verbindest.
Der Fritz Server gefällt mir nicht, ich will daß meine Daten über meine eigene Hardware läuft wenn möglich

ownagi schrieb:
Du kannst in der Wireguard-Config auf deinem Smartphone einfach die myfritz-Adresse durch deine feste IP ersetzen
Das wäre ja der Knaller wenn das so einfach geht.
Muss ich dann eine Portnummer :nnnn anhängen wie an der myfritz.net:nnnn Adresse ?


Bob.Dig schrieb:
Interessanter ist vielmehr, ob er bei Vodavone überhaupt noch IPv6 hat...
über wieistmeineip.de zeigts bei IPv6 nicht vorhanden an , da liegst Du richtig 👍
Komme aber auf alle Seiten drauf die ich besuche.
 
Teckler schrieb:
Der Fritz Server gefällt mir nicht, ich will daß meine Daten über meine eigene Hardware läuft wenn möglich
Viele Leute glauben, dass durch DDNS irgendwas anders läuft, irgendwas durch fremde Server (z.B. AVM) geht, aber das ist nicht der Fall. Es handelt sich lediglich um die DNS-Auflösung. Deine Befürchtungen sind daher völlig unbegründet.
 
  • Gefällt mir
Reaktionen: emulbetsup, Fusionator, JonaHH und eine weitere Person
@Bob.Dig: Keine Ahnung ob in seinem Fall auch die IPv4-Adresse an den DDNS-Service übertragen wird, bei mir passiert das nicht, ich habe aber auch keine eigene IPv4 an meinem Anschluss.
 
Bob.Dig schrieb:
Viele Leute glauben, dass durch DDNS irgendwas anders läuft, irgendwas durch fremde Server (z.B. AVM) geht, aber das ist nicht der Fall. Es handelt sich lediglich um die DNS-Auflösung. Deine Befürchtungen sind daher völlig unbegründet.
Danke für die Erklärung @Bob.Dig , dann war meine Befürchtung falsch.
Als Nicht-Netzwerker macht man sich ja schon Gedanken was alles passieren könnte.

Der Tipp von @ownagi hat funktioniert... Danke
Hab am W10 PC in der verzippten Konfig Datei nur die myfritz- durch die eigene IPv4 Adresse ersetzt.
Die Port-Nr stehen lassen gespeichert und wieder verzippt.
Hat am anderen Handy gleich funktioniert.
 
Aber wenn ich so drüber nachdenke, sollte die FRITZ!Box auch am Kabelanschluss clever genug sein deine IPv4-Adresse an myfritz zu melden, sofern man eine hat. Daher könntest du auch generell bei der myfritz-Adresse bleiben. Macht in deinem Fall aber keinen Unterschied.

Edit: Du kannst die Konfigurationen auch direkt in der Android-App ändern ;)
 
  • Gefällt mir
Reaktionen: Teckler
ownagi schrieb:
Edit: Du kannst die Konfigurationen auch direkt in der Android-App ändern ;)

Danke.. hab ich jetzt auch gesehen, ganz unten unter Endpunkt

Mit der myfritz-Adresse hatte es ja auch gleich funktioniert wie Eingangs beschrieben.
Ich bleibe jetzt aber bei der eigenen IPv4 Adresse.
 
aid0nex schrieb:
Durch den VPN hat man noch eine zweite Absicherung, eine zweite Sicherheitsbarriere.
Nicht zwingend. Oft hast du eine Lücke die dir Codeausführung oder Privilidge Escalation ermöglicht. Also auch eine Lücke im VPN kann dir eine root Shell geben. Dann ist der Server auch offen wie ein Scheunentor.

Generell: wenn du mehr als einen Service intern nutzen willst, macht VPN immer Sinn. Aber wenn es ausschließlich um SSH geht, an sich kein Thema. Aber schlecht ist VPN natürlich nicht. Nur eben nicht zwingend eine zweite Stufe Sicherheit.
 
Bob.Dig schrieb:
Deine Befürchtungen sind daher völlig unbegründet.
Nur teilweise: Bei Namensauflösungsdiensten können Angreifer immer wieder auf das Zielsystem kommen, bei reinen IP-Zugriffen und bei der täglichen Zwangstrennung ist die Wahrscheinlichkeit groß, dass nach einem Wechsel der IP-Adresse Angreifer das Zielsystem nicht mehr finden und alle IP-Adresssen abzuklappern ist quasi unmöglich. Bereits kompromitierte System können natürlich auch ihre IP-Adresse an die Angreifer übermitteln, dann spielt es tatsächlich keine Rolle mehr.
 
Zurück
Oben