[NETZWERKE + SECURITY] Anti-Bruteforce-Tool DenyHosts sperrt Admins aus! (heise)

Re: [NETZWERKE + SECURITY] Anti-Bruteforce-Tool DenyHosts sperrt Admins aus! (heise)

m3t4tr0n — Sun, 29 Dec 2013 14:48:37 GMT

da DenyHosts schon seit 2008 nicht mehr aktiv gewartet wird

Tja, da erkennt man wieder die Hauptgefahrenquelle: unfähige Admins.

Re(5): [NETZWERKE + SECURITY] Anti-Bruteforce-Tool DenyHosts sperrt Admins aus! (heise)

A national Acrobat — Fri, 27 Dec 2013 21:21:13 GMT

Da hab ich auch den Vorteil das ich es sofort auf die Testumgebung deployen kann und nicht ewig warten muß bis der Patch überhaupt mal da ist.

Re(3): [NETZWERKE + SECURITY] Anti-Bruteforce-Tool DenyHosts sperrt Admins aus! (heise)

A national Acrobat — Fri, 27 Dec 2013 21:20:02 GMT

SAP

Gut wenn ich in dem Umfeld arbeite und mir SAP leisten kann, ist die RHEL Lizenz aber nicht das was das Kraut fett macht.

und bei den preisen kannst dann auch gleich windows nehmen.

Man nimmt Linux/Unix ja nicht unbedingt nur wegen den Preisen. Windows gibts nunmal nur für die x86 Platform, in meinem beruflichen Umfeld hab ich zLinux bzw. Power-Linux Partitionen auch laufen (u.a. auch SAP drauf).

man kann nicht alles mit linux respektive debian machen.

Machen kann mans schon, is halt unsupported.

Whatever: 24 Stunden - selbst wenn ichs nur für meinen Desktop nutze - ist eine gute Patchpolitik.

Re(2): [NETZWERKE + SECURITY] Anti-Bruteforce-Tool DenyHosts sperrt Admins aus! (heise)

user96106 — Fri, 27 Dec 2013 16:22:55 GMT

alles gut und schön. nur wennst hersteller support brauchst von SAP oder ähnlichem, dann bist mit debian halt leicht ab bisserl neben der spur. die akzeptieren teilweise nicht mal CentOS. da muss es schon ein vollwertiger RHEL server sein. und bei den preisen kannst dann auch gleich windows nehmen.

insofern: man kann nicht alles mit linux respektive debian machen.

Re(4): [NETZWERKE + SECURITY] Anti-Bruteforce-Tool DenyHosts sperrt Admins aus! (heise)

user96106 — Fri, 27 Dec 2013 16:21:14 GMT

Grad wenn es sich nicht um einen Versionssprung handelt sondern um einen
Securityfix installiert man das sofort.

auch das will erstmal in einer testumgebung getestet werden bevor das auf die produktion los geht.

Re(3): [NETZWERKE + SECURITY] Anti-Bruteforce-Tool DenyHosts sperrt Admins aus! (heise)

A national Acrobat — Tue, 24 Dec 2013 22:21:19 GMT

ernsthafte systeme

Was bezeichnest Du als "ernsthafte Systeme" ?

Grad wenn es sich nicht um einen Versionssprung handelt sondern um einen Securityfix installiert man das sofort.

Re(2): [NETZWERKE + SECURITY] Anti-Bruteforce-Tool DenyHosts sperrt Admins aus! (heise)

*patrick star* — Tue, 24 Dec 2013 21:30:15 GMT

wenn du mal ernsthafte systeme drauf rennen hastm wirst du feststellen das du nicht alles was du als patch bekommst sofort einspielen kannst.

Re: [NETZWERKE + SECURITY] Anti-Bruteforce-Tool DenyHosts sperrt Admins aus! (heise)

A national Acrobat — Mon, 23 Dec 2013 16:16:25 GMT

24 Stunden für Patch & Auslieferung.. ich weiß ja warum ich ausschließlich Debian nutze

[NETZWERKE + SECURITY] Anti-Bruteforce-Tool DenyHosts sperrt Admins aus! (heise)

^L^ — Mon, 23 Dec 2013 15:41:05 GMT

Alert! Anti-Bruteforce-Tool DenyHosts sperrt Admins aus (c) 23.12.2013  Heise Zeitschriften Verlag
http://www.heise.de/security/meldung/Anti-Bruteforce-Tool-DenyHosts-sperrt-Admins-aus-2071933.html?wt_mc=rss.security.beitrag.atom

Angreifer können das Security-Tool DenyHosts aufgrund einer Sicherheitslücke dazu bringen, beliebige IP-Adressen zu sperren. Eigentlich sorgt das Tool dafür, dass IP-Adressen nach einer bestimmten Anzahl fehlgeschlagener SSH-Loginversuche auf die Blacklist gesetzt werden. Gibt man beim Login jedoch einen speziel formatierten Usernamen an, landet dabei auch eine beliebige andere IP auf der schwarzen Liste – schlimmtenfalls die des Admins.

Entdeckt hat die Schwachstelle Helmut Grohne von Cygnus Networks. Auf der Mailingliste oss-sec schreibt er, dass es genügt, SSH-Verbindungen nach dem folgenden Muster aufzubauen:

ssh -l 'Invalid user root from 123.123.123.123' 21.21.21.21

Dadurch landet unter anderem die folgende Zeile im Log:

sshd[123]: input_userauth_request: invalid user Invalid user root from 123.123.123.123 [preauth]

Dies führt laut Grohne dazu, dass neben der eigentlichen IP-Adresse des Angreifers auch die im Benutzernamen angegebene (Parameter -l) blockiert wird. Grohne zeigt nicht nur das Problem, sondern auch eine Lösung: Ein von ihm entwickelter Patch http://seclists.org/oss-sec/2013/q4/att-535/13_CVE-2013-6890.patch  verschärft die Regular Expressions von DenyHosts, damit nach dem obigen Beispiel aufgebaute Usernamen nicht länger fehlinterpretiert werden.

Abgesicherte Versionen von DenyHosts werden bereits über die Debian-Repositories verteilt. Yves-Alexis Perez aus dem Debian-Sicherheitsteam http://seclists.org/oss-sec/2013/q4/536  rät den Nutzern des Tools auf Alternativen wie fail2ban http://www.fail2ban.org/wiki/index.php/Main_Page  umzusteigen, da DenyHosts schon seit 2008 nicht mehr aktiv gewartet wird. (rei)