1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Ed25519: Mehrfach genutzte SSH-Keys…

Routingkonfiguration verhindert Angriffe?

  1. Thema

Neues Thema Ansicht wechseln


  1. Routingkonfiguration verhindert Angriffe?

    Autor: Robian 31.12.15 - 17:50

    > Hetzner schreibt, dass derartige Angriffe im eigenen Netz durch die Routingkonfiguration verhindert werden

    Wo schreiben sie das denn, würde mich interessieren, wie man sowas via Routingconfig verhindern will?

    GNU/Linux

  2. Re: Routingkonfiguration verhindert Angriffe?

    Autor: Anonymer Nutzer 31.12.15 - 18:32

    Zitat aus der Email die an alle Kunden ging:

    Aufgrund unseres Netzwerksetups ist ein Man-in-the-Middle-Angriff
    innerhalb unseres Netzwerks eher unwahrscheinlich, da jeder Server nur
    direkt mit dem jeweiligen Router kommunizieren kann.

  3. Re: Routingkonfiguration verhindert Angriffe?

    Autor: rostwolke 01.01.16 - 05:06

    Besagter Angriff funktioniert nur, wenn mehr als zwei Teilnehmer in einem Netz sind [1]. Üblicherweise funktioniert die Kommunikation zwischen Server (auch mehrere) und Router nicht direkt mittels Bridging, sondern durch Routing - heißt, die Ports sind voneinander getrennt. Da normalerweise ein Server/Interface genau einem Port des Routers zugewiesen ist, findet nur eine Kommunikation zwischen zwei Geräten statt (siehe IP [2]).

    Ein solcher Angriff dürfte also sehr unrealistisch sein. Ich sehe eher ein Problem, falls Client X mit besagtem Schlüssel vertraut und sich dieser ohne Passwortabfrage anmelden kann (siehe [3]). Ich bin mir allerdings nicht sicher, ob Hetzner diese Keys meint.

    [1] http://2.34.12.191/pdfews/getfile/%B9%C7%A1%B3%98%8A%AD%B9%BB%B8%A2%8E%94%89%98/Copia%20di%20maninthemiddle.pdf
    [2] https://tools.ietf.org/html/rfc791
    [3] http://www.schlittermann.de/doc/ssh.html



    4 mal bearbeitet, zuletzt am 01.01.16 05:20 durch rostwolke.

  4. Re: Routingkonfiguration verhindert Angriffe?

    Autor: Vanger 01.01.16 - 06:11

    > falls Client X mit besagtem Schlüssel vertraut und sich dieser
    > ohne Passwortabfrage anmelden kann (siehe [3]). Ich bin mir allerdings
    > nicht sicher, ob Hetzner diese Keys meint.
    Der Schlüssel des SSH-Servers dient nicht der Authentifizierung, sondern der Identifizierung (sprich: spreche ich als Client wirklich mit dem gewünschten Server?). Dabei handelt es sich lediglich um eine zweite Sicherungsebene, ohne einen zweiten Angriff der es einem Angreifer erlaubt den Datenverkehr des Clients umzuleiten, spricht der Client sowieso mit dem gewünschten Server. Hetzners Netzinfrastruktur ist so gestaltet, dass MitM-Attacken (Man in the middle) hosterseitig nicht möglich sind, entsprechend ist der Verlust des Serverschlüssels alleine nicht sehr kritisch. Dennoch: Schlüssel erneuern!

  5. Re: Routingkonfiguration verhindert Angriffe?

    Autor: rostwolke 01.01.16 - 13:08

    Richtig. Aber wie in [3] beschrieben, ist allein durch eine korrekte Identifizierung eine Anmeldung ohne Authentifizierung möglich. Sowas wird z. B. häufig bei automatisierten Backups eingesetzt.

  6. Re: Routingkonfiguration verhindert Angriffe?

    Autor: Vanger 01.01.16 - 13:13

    Möglich ist das schon, der SSH-Client beschwert sich lediglich, dass der Fingerprint nicht mit dem beim ersten Verbindungsaufbau übermittelten Fingerprint übereinstimmt ("Trust on first use"). Das passiert bspw. auch regelmäßig wenn eine Domain auf einen neuen Server umgezogen wird.

  7. Re: Routingkonfiguration verhindert Angriffe?

    Autor: MESH 04.01.16 - 04:05

    Robian schrieb:
    --------------------------------------------------------------------------------
    > Wo schreiben sie das denn, würde mich interessieren, wie man sowas via
    > Routingconfig verhindern will?


    Wieder einer der Panik verbreiten will mit seinem Halbwissen

  8. Re: Routingkonfiguration verhindert Angriffe?

    Autor: Robian 04.01.16 - 12:48

    MESH schrieb:
    --------------------------------------------------------------------------------
    > Robian schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wo schreiben sie das denn, würde mich interessieren, wie man sowas via
    > > Routingconfig verhindern will?
    >
    > Wieder einer der Panik verbreiten will mit seinem Halbwissen

    Genau, deswegen habe ich ja auch nachgefragt. Experte!

    GNU/Linux

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Universität Hamburg, Hamburg
  2. afb Application Services AG, München
  3. Diehl Defence GmbH & Co. KG, Röthenbach an der Pegnitz, Nonnweiler, Überlingen
  4. Tallence Aktiengesellschaft, Hamburg

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (u. a. Spellforce Complete Pack für 9,99€, 1943 Deadly Desert für 2,15€, Prison Architect...
  2. ab 1€
  3. 34,99€ (Vergleichspreis 79€)
  4. 573,08€ (mit Rabattgutschein - Vergleichspreis 604€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Core i9-10900K & Core i5-10600K im Test: Die Letzten ihrer Art
Core i9-10900K & Core i5-10600K im Test
Die Letzten ihrer Art

Noch einmal 14 nm und Skylake-Architektur: Intel holt alles aus der CPU-Technik heraus, was 250 Watt rein für die CPU bedeutet.
Ein Test von Marc Sauter

  1. Comet Lake Intels vPro-Chips takten höher
  2. Comet Lake S Intel tritt mit 250-Watt-Boost und zehn Kernen an
  3. Core i7-10875H im Test Comet Lake glüht nur auf einem Kern

Change-Management: Wie man Mitarbeiter mitnimmt
Change-Management
Wie man Mitarbeiter mitnimmt

Wenn eine Firma neue Software einführt oder Prozesse digitalisiert, stößt sie intern oft auf Skepsis. Häufig heißt es dann, man müsse "die Mitarbeiter mitnehmen" - aber wie?
Von Markus Kammermeier

  1. Digitalisierung in Deutschland Wer stand hier "auf der Leitung"?
  2. Workflows Wenn Digitalisierung aus 2 Papierseiten 20 macht
  3. Digitalisierung Aber das Faxgerät muss bleiben!

Realme X50 Pro im Test: Der Oneplus-Killer
Realme X50 Pro im Test
Der Oneplus-Killer

Oneplus bezeichnete sich einst als "Flagship-Killer", mittlerweile stellt sich die Frage, wer hier für wen gefährlich wird: Das X50 Pro des Schwesterunternehmens Realme ist ein wahrer "Oneplus-Killer".
Ein Test von Tobias Költzsch

  1. Astro Slide Neues 5G-Smartphone mit aufschiebbarer Tastatur
  2. Galaxy S20 Ultra im Test Samsung beherrscht den eigenen Kamerasensor nicht
  3. Red Magic 5G Neues 5G-Gaming-Smartphone kommt mit 144-Hz-Display