92212

Türe zu!

25.01.2008 | 12:55 Uhr |

Sichern Sie Ihren SSH-Server gegen Wörterbuchattacken und ergreifen Sie Gegenmaßnahmen, damit Angreifer aus dem Internet ihre Rechner nicht übernehmen.

SSH ist durch die verschlüsselte Übertragung von Passwörtern und Daten sicherer als alle seine traditionsreichen Vorgänger, seien es Telnet, Ftp oder Xdmcp . Sicherer bedeutet jedoch noch nicht sicher: Wenn Ihr SSH-Server einer Wörterbuchattacke zum Opfer fällt, kann ein X-beliebiger Angreifer aus den Tiefen des Internets mit Ihrem Benutzerkonto tun und lassen, was er will – Mails in Ihrem Namen verschicken, Bots installieren, Dateien löschen, kurz alles, was Sie selbst von Ihrem Rechner aus tun könnten. Das will niemand, und deshalb ist es dringend geboten, den SSH-Zugang zu Ihrem Rechner abzusichern.

Wörterbuchattacken – was ist das?

Angriff im Sekundentakt: Hier versucht sich ein Eindringling über das Internet auf dem SSH-Server anzumelden. Die Arbeit übernimmt ein Script
Vergrößern Angriff im Sekundentakt: Hier versucht sich ein Eindringling über das Internet auf dem SSH-Server anzumelden. Die Arbeit übernimmt ein Script
© 2014

Bei einer Wörterbuchattacke versucht der Angreifer, eine Kombination aus Benutzernamen und Passwort durch Zufall zu erraten. Den Versuchen liegen Listen zugrunde, die typische Benutzernamen aufführen, kombiniert mit einfachen Passwörtern, wie sie eventuell ab und zu verwendet werden: Ihr KDE spinnt und Sie wollen wissen, ob es am Programm oder an irgendwelchen falschen Benutzereinstellungen liegt? Schnell einen Benutzer „test“ anlegen, Passwort „asdfghj“, das liegt auf einer Reihe und sieht trotzdem schön zufällig aus. Natürlich sind solche „Passwörter“ in Wörterbüchern enthalten, und der Angreifer kann sich per SSH auf dem Konto „test“ anmelden, und erstmal probieren, was auf diesem Rechner alles so geht. Das Durchtesten von Benutzernamen und Passwörtern übernimmt ein Script, das auf soviele Rechner losgelassen wird, wie es Leistung und Bandbreite der Anbindung des angreifenden Rechners zulassen. Im allgemeinen kommt es dem Angreifer nicht speziell darauf an, einen bestimmten Rechner zu kapern, sondern er streut seine Versuche breit, in der Hoffnung, irgendeinen Unvorsichtigen zu erwischen. Als Benutzernamen und Passwörter versucht er vor allem typische englischsprachige Namen und Wörter, es gibt aber durchaus auch Wörterbücher, die andere Sprachen, wie etwa deutsch, mit einbeziehen. Daneben stehen in den Wörterbüchern auch die Namen von Benutzerkonten bestimmter Dienste, wie etwa Squid, Webalizer oder diverser Mailserver. Auch die Werks-Voreinstellungen von Hardware-Routern werden gerne probiert: Bei der Versendung von Spam etwa ist es hilfreich, dies zwecks Spurenverwischung über den Router eines nichtsahnenden Benutzers oder einer Firma zu tun.

0 Kommentare zu diesem Artikel
92212