Cracking für Anfänger

[Havoc][]

@tr0nix, wie ist das mit dem USB-Stick gemeint? den key für ssh auf dem stick am schlusselbund haben odr was?

Jopp. Ich denke schon. SSH wäre aber halt nur ein Beispiel.

Aber ich glaube Portknocking wäre auch recht interessant... Ist aber glaube schon etwas weiter oben im Thread besprochen *g.

Havoc][

 

[StyleWarZ]

Jo wobei ich hier mal das Stichwort Portknocking einwerfen möcht. An sich denk ich eine gute Idee find ich.

jo erwähnt wurde es. besprochen noch nicht.

http://www.geektown.de/index.php?itemid=286&catid=33

hört sich sehr interessant an. jetzt aber meine frage zu dem

[I-Net]
   |
[Zyxel Router (Firewall) ]
   |
[Server]

jetzt müssen die ports in meiner firewall offen sein oder kann der server die ports dort öffnen? odr geht das so nicht und ich müsste meine firewall deaktivieren und irgendwie mit iptables arbeiten?

Gruss Style

 

[Havoc][]

jetzt müssen die ports in meiner firewall offen sein oder kann der server die ports dort öffnen? odr geht das so nicht und ich müsste meine firewall deaktivieren und irgendwie mit iptables arbeiten?

Kurz: Die Ports müssen geschlossen werden, aber auf "LOG" stehen (LOGDROP). Das heisst es mussen in den LOGS auftauchen wenn ein bestimmter Port auf den Status abfragt wird. Ein Script überwacht dann die LOGS und sobald ein bestimmtes "klopfmuster" auftaucht öffnet das Script über einen Befehl deinen benötigten Port (nicht zwangsläufig den Port auf dem man "geklopft" hat).

War jetzt sehr kurz. Aber ich hoffe du hast es trotzdem verstanden.

Havoc][

 

[StyleWarZ]

jo ich verstehe das prinzip schon. sehr sexy aber kann mein server die ports dann in meiner zyxelfirewall einfach so öffnen. also ist das überhaupt möglich? oder muss man ne firewall auf iptables basis auf dem server haben um diese zu steuern?

 

[Havoc][]

oder muss man ne firewall auf iptables basis auf dem server haben um diese zu steuern?

Soweit ich weiss, ja.

Havoc][

 

[StyleWarZ]

na dad wollt ich doch wissen darum hab ich auch meine momentane net infrastruktut einfach dargestellt. mal gucken ob ich das mal probier. zuerst mal mail server usw.
abr danke Havoc][, es hat klick gemacht

 

[RTDI]

zusaetzlich zu euren vorschlaegen ist gerade fuer linux user http://www.grsecurity.net und http://www.linux-vserver.org interessant... vorallem im zusammenhang mit dem unionfs ein sehr interessanter ansatz fuer einen server, den es gilt sicher zu machen

 

[Sir Auron]

Naja, Loginsperren haben div. Nachteile das stimmt schon. Je nach Umfeld das Login auf Maschinen durch gespoofte Packages ggf. dauer-gesperrt werden so, dass der Admin mit seiner üblichen WS nicht mehr darauf connecten kann.. wäre also eine Art DOS. Wiederrum wuerde es Passwortratler aussperren.

Das Locking is IP basierend.

 

[tr0nix]

Hi Auron

Ich verstehe deine Antwort nicht ganz. Wie Loginsperren vorgenommen werden spielt ja keine Rolle, eine gute Idee ist es IMHO nicht.

Gruss
Joel

 

[Sir Auron]

Hi Auron

Ich verstehe deine Antwort nicht ganz. Wie Loginsperren vorgenommen werden spielt ja keine Rolle, eine gute Idee ist es IMHO nicht.

Gruss
Joel

Doch, sagen wir mal Cracker A will sich auf Server B einloggen - per Brutforce . Dann hat er 3 Versuche pro IP, bei Millionen von Möglichkeiten, sollten ihm bald die IP Adressen ausgehen. Also macht diese Methode Brutfroceangriffe ziehmlich unmöglich. Verstanden?

 

[Havoc][]

Doch, sagen wir mal Cracker A will sich auf Server B einloggen - per Brutforce . Dann hat er 3 Versuche pro IP, bei Millionen von Möglichkeiten, sollten ihm bald die IP Adressen ausgehen. Also macht diese Methode Brutfroceangriffe ziehmlich unmöglich. Verstanden?

Cool. Und nachher kommt keine IP mehr auf den Webserver oder so .

Aber ich denke das könnte man nur durch zeitliche Begrenzung lohnenswert erweitern.

Havoc][

 

[RTDI]

mit dem blind spoofing hast in der regel sowieso keine chance eine echte tcp verbindung aufzubauen und einen login zu probieren... von daher ist das mit dem
ip spoofing i. d. r. unnoetig... ausserdem sind die meisten firewalls darauf konfiguriert um sowas zu verhindern, zb filtern von privaten ip adress bereichen

 

[tr0nix]

Doch, sagen wir mal Cracker A will sich auf Server B einloggen - per Brutforce . Dann hat er 3 Versuche pro IP, bei Millionen von Möglichkeiten, sollten ihm bald die IP Adressen ausgehen. Also macht diese Methode Brutfroceangriffe ziehmlich unmöglich. Verstanden?

Nein (wieso wurde ja oben schon beantwortet und übrigens auch schonmal von mir selbst ;o)). Deshalb sage ich ja: CLIENT ZERTIFIKATE rulen.

Client-Zertifikate & gutes Passwort machen den Bruteforclern 100% den Garaus.

@RDTI
Natürlich, dennoch ist es keine gute Idee. Es gibt auch "Ideen" scannende Maschinen zu sperren und wie wir alle Wissen, machen nmap und Co jenach Option keinen 3-way-Handshake da früher einige Logging-Tools so blöd waren und nur Verbindungen geloggt haben nicht jedoch "Verbindungsversuche". Deshalb sollte man solche auf Netzwerkebene sperrende Massnahmen wenn möglich vermeiden.

 

[niLs]

wie chb sagte ... portknocking ... naja ... äh

Security through Obscurity?

halte ich für sehr bescheuert.

wer seine services up2date hält und ggf ports per iptables blockt/sperrt kommt schon ziemlich weit. ich selber mach es auf shellservern so, dass ich, wenn mehr als 5mbit z.B. bei ddos auf einer ip über 5 minuten ist, wird das interface heruntergefahren und der angreifer ist erstmal zufriedengestellt. nach ca. 3 stunden wird das interface einfach wieder hochgefahren und gut ist

sers,

nils

 

[Sir Auron]

wie chb sagte ... portknocking ... naja ... äh

Security through Obscurity?

halte ich für sehr bescheuert.

wer seine services up2date hält und ggf ports per iptables blockt/sperrt kommt schon ziemlich weit. ich selber mach es auf shellservern so, dass ich, wenn mehr als 5mbit z.B. bei ddos auf einer ip über 5 minuten ist, wird das interface heruntergefahren und der angreifer ist erstmal zufriedengestellt. nach ca. 3 stunden wird das interface einfach wieder hochgefahren und gut ist

sers,

nils

Das könnnen sich große Anbieter aber nicht leisten.