Um sich von unterwegs einzuloggen, ohne die Sicherheit unserer Rechner durch Paßwort-Sniffer etc. zu gefährden, gibt es zwei Möglichkeiten:
ssh (Secure Shell)
Anwendungsbereich: Verbindung zwischen unseren Rechnern und einem vertrauenswürdigen anderen Rechner über unsichere Netzwerke.
Wesentliche Eigenschaften: ssh
- Identifiziert beide Rechner mit Hilfe eines Challenge-Response-Systems gegeneinander
- Verschlüsselt die Verbindung und (wenn man weiß, wie) auch benutzte "Nebenkanäle". (Bei X11 geht das sogar vollautomatisch, Sie brauchen kein
xhost +blah
mehr!)
- Komprimiert die Datenübertragung auf Wunsch (
ssh -C
)
- Ist, von den Kryptographie-bezogenen Dingen abgesehen, eine genaue Kopie von
rsh
, rcp
bzw. rlogin
(keine Umstellung) und bietet somit sicheren Ersatz für telnet
und FTP
zumindestens für Unix-Rechner
- Ist bei uns vorhanden, muß aber ggf. auf dem fernen Rechner nachinstalliert werden
S/Key (One Time Passwords)
Anwendungsbereich: Verbindung zwischen unseren Rechnern und nicht vertrauenswürdigen anderen Rechnern (die Vertrauenswürdigkeit des Netzwerks ist damit uninteressant).
Wesentliche Eigenschaften: S/Key
- Stellt sicher, daß mit abgehörten Paßworten nichts manipuliert werden kann (da man Paßworte immer nur einmal verwenden kann)
- Setzt keinerlei auf dem fernen Rechner installierte Software voraus
- Kommt mit Patches für FTP (die ich noch einbauen muß), so daß auch FTP-Transfers geschützt werden können
- Betrifft nur die Paßwort-Abfrage, jeder Service, der Logins bietet (telnet, ...), ist automatisch auch S/Key-fähig
- Schützt die übertragenen Daten nicht im Geringsten (also bei einem Login keine geheimen Files lesen!)
- Beschäftigt sich nicht mit der Frage manipulierter Client Software oder Netzwerke, bei denen Verbindungen nicht ordnungsgemäß abgebaut werden (Line Grabbing), oder der Authentisierung übertragener Daten (Piggybacking)
- Erfordert vor und nach der Reise gewisse Vor- bzw. Nachbereitung (s. u.)
- Läuft nur auf der Penthesilea
Benutzung von S/Key
Vor der Reise
- Loggen Sie sich auf der Penthesilea ein. (Jeder Rechner hat seine eigenen S/Key Paßworte und nur die Penthesilea verwendet sie auch)
- Erzeugen Sie einen "Satz" S/Key Paßworte.
penthesilea:/home/TI/bern% keyinit
Password: (Ihr normales Paßwort)
[Adding bern]
Enter secret password: Absolut unerratbare geheime Passphrase
Again secret password: Absolut unerratbare geheime Passphrase
ID bern s/key is 99 pe15289
Next login password: DUCT CARL HURT SHUN COCO WINK
- Lassen Sie sich eine (genügend große; max. 99) Liste von Einmalpaßworten ausgeben; Drucken Sie sie aus und nehmen Sie sie auf die Reise mit.
penthesilea:/home/TI/bern% key -n 5 99 pe15289 (d.h. 5 Stück)
Enter secret password: Absolut unerratbare geheime Passphrase
95: ANTE FIST DRAG AVIS STAN SIS
96: RUSH DAYS PAL AMOK PUP THEN
97: ODD LEAF DOME DINE BED DINT
98: GLUT BUB RATE LIEU GEL DOME
99: DUCT CARL HURT SHUN COCO WINK
ACHTUNG: Wenn Sie sich vertippen, serviert Ihnen key
kommentarlos (weil er's nicht wissen kann) einen Satz S/Key Paßworte, der nicht funktioniert! Probieren Sie sicherheitshalber eines aus.
Login auf der Reise
- Verbinden Sie sich, z. B. mit telnet, zur Penthesilea.
snakepit:/home/victim% telnet penthesilea.uni-trier.de
SunOS UNIX (penthesilea)
login: bern
[s/key 98 pe15289]
Response:
- Geben Sie das verlangte S/Key Paßwort ein und streichen Sie es durch. Daß das erste "verlorengeht", ist normal; Ansonsten sollten Ihnen die Paßworte exakt in fallender Reihenfolge abgefragt werden.
Response: glut bub rate lieu gel dome
Last login: Thu Oct 16 21:10:35 from penthesilea
SunOS Release 4.1.3_U1 (MailServer2) #1: Fri May 10 00:41:17 MET DST 1996
####################################################################
# #
# Welcome to the Cluster of the Theoretical CS Dpt., University #
(etc. etc.)
- Wenn Ihnen auf der Reise die Paßworte ausgehen, MÜSSEN Sie eine vertrauenswürdige Verbindung von einem ebensolchen Rechner benutzen, um auf der Penthesilea einen neuen Satz S/Key Paßworte zu erzeugen und vor Ort einen Ausdruck davon anzufertigen. Die Anzahl verbliebener Paßworte (nach Zählung der Penthesilea) können Sie mit
keyinfo
abfragen.
Nach der Reise
Um Ihre Logins auf der Penthesilea nach Ihrer Reise wieder mit dem normalen Paßwort stattfinden zu lassen, muß Ihr Eintrag in
/etc/skeykeys
gelöscht werden - das darf aus Sicherheitsgründen nur der Systemadministrator.