Hier mal eine Zusammenfassung bzgl. der Angriffe via SSH. SSH ist mit 809 weltweit freigeschalteten IP-Adressen nach HTTPS (1333) und HTTP (1122) auf Platz drei der Freischaltungsrangliste in der RWTH-Firewall. Dazu kommen noch 60 Server auf anderen Ports bzw. mit reduzierten (auf DE+BeNeLux) Freischaltungen. Teilweise werden diese Freischaltungen in nachgelagerten ACLs auf den Routern reduziert. * Wünschenswert wäre hier sicherlich mehr Server in der DE+BeNeLux Gruppe zu haben, als diese weltweit zu exponieren. * Bei den gescannten Diensten ist SSH (wie auch RDP) eigentlich immer in den Top10, Top ist hier (mit Abstand) Telnet, gefolgt von HTTP. Quellen der Scans sind zu großen Teilen Würmer auf Geräten der Klasse IoT, also Home-Router, IP-Kameras, Video-Abspieler und SAT-Empfänger, usw. Diese versuchen dann per Brute-Force weitere Geräte zu finden, meist mit Standard Credentials. Eine besondere Rolle spielen hierbei ältere Raspberry PI, da diese meist mit Defaultpassworten betrieben wurden. Wir hatten in den letzten 3 Jahren vier Zwischenfälle mit SSH, die im wesentlichen 2 Ursachen hatten: a) leichtsinnig gesetztes simples Passwort b) kein Bewusstsein dafür, dass diese IP weltweit erreichbar ist Auf dem Logserver checkpoint.rz filtern wir SSH bezogene Logs in eine Datei rein, hier mal so eine Grobauswertung der 280K Zeilen aus diesen Logs (April 2020): Management System NOC: 50K Security Scanner: 22K Monitoring RZ-Cluster: 14K Cisco-ACLs IPv4: 49K Failed Password: 59K Refused Connect (Wrapper): 75K Invalid User: 9K Management Institut: 3K Cisco-ACLs IPv6: 1K RWTH-Firewall: 1K (gibt in der Summe Rundungsfehler)