shimpsblog [de]

Blog Actions

Wir befinden uns im Krieg. Schon seit längerer Zeit. Und in den Medien wird selten darüber berichtet. Einige spektakulär verlorene Schlachten schaffen es in die Tagesschau, aber regelmäßige Frontberichte gibt es nicht. Denn im Gegensatz zu den klassischen Kriegen wie aktuell in Osteuropa und im Nahen Osten ist dieser Krieg weitgehend unsichtbar - und dennoch allgegenwärtig. Höchste Zeit für ein philosophisches Traktat.

Beispiel

Südwestfalen IT

• 30.10.2023, 16:08 Uhr
  • Ransomware: Messe Essen und kommunaler IT-Dienstleister betroffen
• 31.10.2023, 11:11 Uhr
  • Hacker-Angriff: Etliche NRW-Kommunen immer noch lahmgelegt
• 17.11.2023, 15:05 Uhr
  • Cyberangriff auf Südwestfalen-IT: Mehr Kommunen betroffen, Notbetrieb hält an
• 21.11.2023, 17:52 Uhr
  • Cyberangriff in Südwestfalen: Zeitplan für Notbetrieb und Wiederanlauf steht
• 08.12.2023, 17:04 Uhr
  • Cyberangriff in Südwestfalen: Wiederaufbau geht langsamer als erhofft
• 26.01.2024, 09:05 Uhr
  • Hackerangriff: Südwestfalen-IT räumt schwere Sicherheitslücken ein
• 25.07.2024, 06:26 Uhr
  • Neun Monate nach Cyberangriff: Südwestfalen IT ist wieder online
• 27.01.2024, 10:40 Uhr
  • Erpressung in Südwestfalen: Akira kam mit geratenem Passwort ins kommunale Netz
• 30.10.2024, 06:00 Uhr
  • Heute vor einem Jahr: Hackerangriff auf Südwestfalen IT
• 14.04.2025, 14:32 Uhr
  • Cyberattacken: NRW-Kommunen erhalten jetzt schnelle Hilfe

Situation

In jüngerer Vergangenheit sind verschieden Arten von Cyber-Attacken verstärkt auffällig geworden - Anlass, einige Dinge in Sachen Cybersecurity nochmalig grundlegend zu überdenken. Die schützenswerteste Ressource eines Computersystems ist der Administrator-Account. Bei Systemen mit Fernzugriff führt der Weg dorthin in der ein oder anderen Form meistens über ssh. Es ist schon lange bekannt, dass man keine Passwortauthentifizierung benutzen soll - die asymmetrische Methode mit private und public keys bietet sich an. Für ein System mit normalem, durchschniitlichem Schutzniveau ist das eine tragfähige Konfiguration, die einem Administrator nicht zwingend schlaflose Nächte bereiten sollte. Dennoch kann man mehr tun - und sei es nur hinsehen.

Nightmare on Logstreet

Vor einigen Jahren waren (ins Leere laufende) ssh-Login-Versuche noch überschaubar, inzwischen fluten sie das auth.log täglich mit tausenden Einträgen, die aus Kombinationen von Benutzernamen und Passwörtern resultieren. Die Ursprünge dieser Angriffe sind weltweit, und mutmaßlich wird jeder erfolgreiche Login als Brückenkopf für weitere Angriffe missbraucht. Wer warum hinter einem einzigen Einbruchsversuch steckt, ist natürlich nicht direkt erkennbar. Und viele Dinge gehen in der schieren Flut schlicht unter. In Verbindung mit Key Login könnte einem das doch eigentlich egal sein, oder? Nein!

Nadel im Heuhaufen

Logfiles, die nicht mehr auditierbar sind, sind annähernd wertlos. Da helfen auch keine fancy tools, Security Operations Center (SOC) oder KI gesteuerten Abwehrsysteme. Die wichtigste Waffe im Krieg ist das menschliche Gehirn. Und die wertvollste Ressource ist wachsame Aufmerksamkeit. Wer sich vor der Nadel schützen will, muss den Heuhaufen niederbrennen - sonst ist die Suche sinnlos. Wenn sich Aufmerksamkeit durch Ermüdung abnutzt - und genau das passiert beim Fluten von Logfiles - wird die wichtigste Waffe stumpf.

Gegenmaßnahmen

Eine effiziente Methode ssh-Login-Versuche zu unterbinden besteht darin, bereits den Aufbau einer TCP/IP Verbindung zu blockieren. Dazu bieten sich folgende Methoden (ohne Anspruch auf Vollständigkeit) an:

Port knocking

Port knocking ist eine der Methoden, schon die TCP/IP Verbindung zum ssh Port zu unterbinden, vergleichbar mit Speakeasy während der Prohibition. Für unerfahrene Anwender möglicherweise etwas kompliziert, aber eine schöne Kombination aus obscurity und security.

VPN

Man kann den Zugriff auf ssh auf ein Virtual Private Network eschränken und hat damit ein zweistufiges Sicherheitsschema. Der Nachteil: ein Login ist nur möglich, wenn der sowohl SSH-Daemon als auch VPN-Daemon laufen, was durch die logische und-Verknüpfung die Robustheit reduziert und einen Mehraufwand für Redundanz erfordert.

Fail2ban

Fail2ban schließt Quelladressen von erfolglosen ssh-Login-Versuchen temporär aus. Der Nachteil: es beschränkt sich auf einzelne Adressen und ist temporär. Modifiziert man das zu permanentem Bann, kann man sich durch eigene Fehler zur Laufzeit selber aussperren.

Whitelist/Blacklist

Eine Verteidigung mit Whitelist (only), Blacklist (only) oder Kombinationen ist ebenfalls möglich. Der Nachteil: diese Methode erfordert regelmäßige Pflege. Als ergänzender Vorfilter können statische Netzwerksperren mit iptables allerdings das Fluten von Logfiles erheblich reduzieren, womit sich die Aufmerksamkeit dann auf das Wesentliche konzentrieren kann.

Zusammenfassung

In diesen Krieg wird man nicht alleine mit einem Waffensystem erfolgreich sein. Eine geeignete Kombination der Gegenmaßnahmen wird die Erfolgschancen erhöhen.

Ausblick

Es cybert gewaltig im Netz, nicht nur bei ssh. Aktuell ist KI der große Hype, und aggressive Bots spidern Webseiten, umd ihre LLMs mit Input zu versorgen und zu trainieren. Daraus resultieren als Nebeneffekt oft Dos/DDoS-Situationen, unter denen Betreiber kleinerer Webauftritte stärker leiden als große Player - sowohl was die Ressourcen der Server als auch die des Personals und die Möglichkeit von Gegenmaßnehmen angeht.

To be continued...? Es darf zuversichtlich befürchtet werden, dass das notwendig ist.