Hallo zusammen, ob es hier richtig bin oder ich wieder alles Falsch mache weiß ich nicht! Aber ich wusste gerne, warum nicht ein Eintag in dem Firewall-Formular (https://noc-portal.rz.rwth-aachen.de/firewall-formular/service_activations/n...) so wie die neue Seite es RWTH-Firewall-Monitor (https://noc-portal.rz.rwth-aachen.de/firewall-view2/overview) folgende anträge anzeigt. (Belgium Germany Luxembourg Netherlands any Europe United States oder Germany Austria Switzerland Norway cartesius.info. oder any) Also eine Select Box existiert schon in dem Firewall-Formular nur nicht die Einträge! Vielleicht, wenn diese Existieren, würden die Leute sich fragen, welche Einschränkung machte ich haben. Da nicht alle diesen Mail Verteiler bekommen und auch nicht Unbedingt alles mitbekommen, was das ITC so tolles kann oder zu Verfügung stellt. Ist doch Einfacher, da ich zum Beispiel nicht wusste, dass das ITC das auch machen kann! Zum SSH Verbindung, finde ich Persönlich besser als ein extra Programm zu Installieren. Da ssh-Client hat jetzt auch Windows und es wird von Windows gewartet. Wenn man dann gerne eine Grafik haben möchte, der kann sich auch mit X2go eine Grafik Verbindung aufbauen über ssh. Vermutlich wird der Explora von Windows auch bald sftp/ssh Verbindungen machen können. Mit der Sicherheit, ist sowieso eine Frage! VPN kann auch gehackt werden oder Probleme machen, so wie auch bei einem ssh Dienst. Nur meine Ansicht nach! Wenn ihr Verbesserungen habe, lasst es gerne zu kommen! Mit freundlichen Grüßen, Benedikt Meier RWTH Aachen University Operations Research Kackertstr. 7, 2.OG, Raum B253 52072 Aachen Tel.: +49 241 80 93381 Web: https://www.or.rwth-aachen.de On 17/04/2020 12:24, Jens Hektor wrote:
Hier mal eine Zusammenfassung bzgl. der Angriffe via SSH.
SSH ist mit 809 weltweit freigeschalteten IP-Adressen nach HTTPS (1333) und HTTP (1122) auf Platz drei der Freischaltungsrangliste in der RWTH-Firewall. Dazu kommen noch 60 Server auf anderen Ports bzw. mit reduzierten (auf DE+BeNeLux) Freischaltungen.
Teilweise werden diese Freischaltungen in nachgelagerten ACLs auf den Routern reduziert.
* Wünschenswert wäre hier sicherlich mehr Server in der DE+BeNeLux Gruppe zu haben, als diese weltweit zu exponieren. *
Bei den gescannten Diensten ist SSH (wie auch RDP) eigentlich immer in den Top10, Top ist hier (mit Abstand) Telnet, gefolgt von HTTP.
Quellen der Scans sind zu großen Teilen Würmer auf Geräten der Klasse IoT, also Home-Router, IP-Kameras, Video-Abspieler und SAT-Empfänger, usw. Diese versuchen dann per Brute-Force weitere Geräte zu finden, meist mit Standard Credentials. Eine besondere Rolle spielen hierbei ältere Raspberry PI, da diese meist mit Defaultpassworten betrieben wurden.
Wir hatten in den letzten 3 Jahren vier Zwischenfälle mit SSH, die im wesentlichen 2 Ursachen hatten:
a) leichtsinnig gesetztes simples Passwort b) kein Bewusstsein dafür, dass diese IP weltweit erreichbar ist
Auf dem Logserver checkpoint.rz filtern wir SSH bezogene Logs in eine Datei rein, hier mal so eine Grobauswertung der 280K Zeilen aus diesen Logs (April 2020):
Management System NOC: 50K Security Scanner: 22K Monitoring RZ-Cluster: 14K Cisco-ACLs IPv4: 49K Failed Password: 59K Refused Connect (Wrapper): 75K Invalid User: 9K Management Institut: 3K Cisco-ACLs IPv6: 1K RWTH-Firewall: 1K
(gibt in der Summe Rundungsfehler)
_______________________________________________ rwth-security mailing list -- rwth-security@lists.rwth-aachen.de To unsubscribe send an email to rwth-security-leave@lists.rwth-aachen.de