En blogg om IT-säkerhet och relaterade ämnen för dem som arbetar inom IT

Konfigurera SSH för ökad säkerhet

Det finns några steg man bör ta efter att man installerat SSH på ditt system. En kedja är inte starkare än den svagaste länken och gällande SSH är ett svagt lösenord till t.ex. root ett allvarligt hot.

Det vi skall göra är att skapa ett certifikat och stänga av möjligheten att logga in utan certifikat. Vi skall även kontrollera så att root inte får logga in då det är mycket bättre att använda sudo när administratörsrättigheter behövs. Vidare skall vi stänga ner några krypteringsmetoder som inte anses som fullt så säkra samt öppna upp för visuell identifiering av serverns “fingeravtryck”.

Skapa nyckel
Vi väljer att använda en RSA-nyckel på t.ex. 4096 bitar. Öppna ett terminalfönster och skriv in följande: ”’ssh-keygen -t rsa -b 4096”’. 1024 sägs vara tillräckligt säkert men man kan aldrig vara för säker

johan@johan-laptop:~$ ssh-keygen -t rsa -b 4096
Generating public/private rsa key pair.

Du får sedan upp en fråga var du vill spara din nyckel. Har du redan nycklar i id_dsa bör du ange ett annat namn för filen skrivs över annars. Är du nöjd med förlaget tycker du bara retur

Enter file in which to save the key (/home/johan/.ssh/id_rsa):

Sedan skall du ange lösenord. Tänk på att blanda stora och små bokstäver samt lägga in tecken och siffror. Längden är dock en mycket viktig faktor så gör det hellre längre än kort och komplext. Gärna en liten mening som hjälper dig att komma ihåg lösenordet utantill eller absolut bäst är att använda t.ex. Keepass för att både skapa slumpmässiga lösenord men även spara dem på ett krypterat och säkert sätt.

Enter passphrase (empty for no passphrase): M1tt H3ml1g@ löSe40rD
Enter same passphrase again: M1tt H3ml1g@ löSe40rD
Your identification has been saved in /home/johan/.ssh/id_rsa.
Your public key has been saved in /home/johan/.ssh/id_rsa.pub.
The key fingerprint is:
xx:xx:xx:xx:xx:xx:xx:xx:xx:x:xx:xx:xx:xx:xx:xx

Installera den publika nyckeln i systemet
Den publika nyckeln skall läggas i ~/.ssh/authorized_keys och det kan finnas fler nycklar än en. Se till att göra radmatning mellan nycklarna.
Om nyckeln skall installeras på samma system kopierar du helt enkelt id_dsa.pub till authorized_keys.

johan@johan-laptop:~$ cd ~/.ssh
johan@johan-laptop:~/.ssh$ cp id_rsa.pub authorized_keys

Skulle det vara en extern maskin kan du använda scp för att kopiera nyckeln, tänk då på att du inte skriver över authorized_keys om det skulle finnas existerande nycklar i filen. För att kopiera (skriva över befintlig fil) gör du följande

johan@johan-laptop:~/.ssh$ scp -p ~/.ssh/authorized_keys 192.168.0.1:.ssh/
johan@192.168.0.1’s password:
authorized_keys 100% 1839 1.2MB/s 00:00

Se även till att ~/.ssh/autorized_keys och ~/.ssh/id_rsa endast har gällande användares rättigheter. Vid problem använd chmod 600 för att åtgärda.

Konfigurera sshd
Nästa steg är att kontrollera inställningarna för sshd. Filen vi skall modifiera heter /etc/ssh/sshd_config
Börja med att skapa en säkerhetskopia av sshd_config

johan@johan-laptop:/$ sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config_backup
Password:

Sedan använder vi lämplig editor för att modifiera sshd_config

johan@johan-laptop:/$ sudo nano /etc/ssh/sshd_config

Följande rader skall ändras:

• LoginGraceTime 120
• PermitRootLogin yes
• Ciphers

• LoginGraceTime 30

LoginGraceTime är antalet sekunder innan man blir utkastad om man inte lyckas med inloggningen. Det är en smaksak men 120 sekunder behöver man normalt sätt inte på sig. Sänk den med fördel. Dock bör du hinna ange ditt lösenord innan tiden går ut.

• PermitRootLogin no

Root behöver inte kunna logga in via ssh. Du kan använda sudo istället vilket är mycket säkrare.
Vi skall även lägga till en så att man förhindrar möjligheten att logga in med hjälp av användarnamn och lösenord vilket betyder att man tvingas använda certifikat. Lägg till:

• PasswordAuthentication no
• Ciphers aes128-ctr,aes256-ctr,arcfour256,arcfour,aes128-cbc,aes256-cbc

Ciphers ändrar vi på grund av en potentiell sårbarhet i vissa krypteringsmetoder, mer information om dessa här:
[1] http://openssh.org/txt/cbc.adv
[2] http://www.cpni.gov.uk/Docs/Vulnerab…visory_SSH.txt
[3] http://www.cs.washington.edu/homes/y…pers/TISSEC04/

Kontrollera även så att följande rader så att standardinställningarna stämmer:

• Protocol 2
• UsePrivilegeSeparation yes
• StrictModes yes
• RSAAuthentication yes
• PubkeyAuthentication yes

Spara och avsluta.

Nu skall vi bara starta om sshd så att de nya inställningarna tar.

johan@johan-laptop:~/.ssh$ sudo /etc/init.d/ssh restart
Password:
* Restarting OpenBSD Secure Shell server… [ OK ]

Konfigurera ssh för visuell värdnyckel (Visual Host Key)
När man loggar in mot en viss värd är det inte så lätt att identifiera att det är rätt maskin, någon kan till exempel ha styrt om din DNS till en annan maskin och på så sätt lura dig att logga in i fel maskin för att stjäla kontouppgifter.

För att lösa detta har gänget bakom OpenSSH utvecklat en visuell representation av nyckeln så att det blir mycket lätt att känna igen sitt egna system. För att aktivera VisualHostKey skall man ändra i antingen /etc/ssh/ssh_config vilket gäller alla användare eller ~/.ssh/config för en personlig inställning

Lägg till följande i konfigurationen (“Host * finns redan överst i ssh_config)

Host *
VisualHostKey yes

Byta från standardport 22?

Det innebär ingen direkt ökad säkerhet att ändra port, men man slipper de flesta script-kiddies attacker och maskar när man flyttar sig från standardportar. Detta gäller samtliga tjänster och inte bara ssh. Det man kan skydda sig mot genom “säkerhet via oreda” är att en mask eller script som snabbt scannar nätet efter en ev. 0-day sårbarhet missar systemet vilket är mer tur än skicklighet för om någon verkligen vill in så gör man en mer noggrann kontroll av det system man vill in i. Om man ändå vill byta är det bäst att lägga sig mellan 0 och 1023 då dessa är privilegierade vilket betyder att endast konton med administrativa rättigheter kan starta tjänster och därför slipper man hamna i en riggad tjänst startad av en användare som t.ex. loggar lösenord.

Testa och verifiera
Testa att logga in i systemet. Glöm inte av att du har bytt port. Du måste även ange användarnamn om du inte har samma användarnamn på fjärrdatorn som den lokalt inloggande användare. Detta gör du genom att skriva användarnamn@server.ip

johan@johan-laptop:/$ ssh johan@localhost -p 10022
Host key fingerprint is 66:12:14:8a:31:23:4f:86:13:f2:1c:4d:33:dd:d4:67
+–[ RSA 4096]—-+
| |
| .o |
| . =o .|
| . += E|
| + S . .o|
| . + .. o|
| . o.= |
| +o+ o|
| +=o |
+—————–+
Enter passphrase for key ‘/home/johan/.ssh/id_dsa’:

Nu är du säkert inloggad i ditt system

–Johan Ryberg

Detta är en snabbguide för hur man bygger Reaver i Ubuntu 11.10

Steg:

1. ladda ner källkoden
2. installera bibliotek och de verktyg som behövs
3. kompilera och installera
4. kör =)

Ladda ner källkoden

Först måste den senaste versionen laddas ner från http://code.google.com/p/reaver-wps/

wget http://reaver-wps.googlecode.com/files/reaver-1.3.tar.gz

Extrahera tarbollen

tar -xzvf reaver-1.3.tar.gz

Installera bibliotek och de verktyg som behövs

Innan du kan bygga Reaver så behöver du installera pcaplib och för att köra Reaver så behövs aircrack-ng.

sudo apt-get install libpcap-dev aircrack-ng sqlite3 libsqlite3-dev

Kompilera och installera

Bygg Reaver

cd reaver-1.3
cd src
./configure
make

Installera Reaver

sudo make install

Kör

Reaver är nu installerat och klart för att användas. Du behöver först sätta wifi-adaptern i monitoreringsläge  innan du kan köra och enklast är att använda airmon-ng (del av aircrack-ng) som du precis installerade.

Sätt adaptern i monitoreringsläge, i mitt fall wlan0

sudo airmon-ng start wlan0

Kör Reaver

sudo reaver -i mon0 -b 00:00:00:00:00:00

Ersätt MAC 00:00:00:00:00:00 med MAC-adressen till den AP som du vill knäcka

– Johan Ryberg

Just nu håller jag på att arbeta fram en engelsk version av bloggen och därför kan det hända att det ser lite skumt ut ibland innan allt är klart.

–  Johan Ryberg

Reaver, det nya verktyget för att attackera accesspunkter/trådlösa routrar med WPS aktiverat och som knäcker de flesta inom 10 timmar har precis släppts som version 1.3 med nya utökade funktioner som tidigare bara fanns i den kommersiella produkten från Tactical Network Solutions. Nytt är att man kan pausa för att senare fortsätta på en viss PIN-kod om man tidigare avbrutit en attack men även hämta hem optimeringar för just den produkten som man för tillfället försöker komma in i för att snabba upp processen.

FOSS-versionen kommer dock inte komma åt den senaste datan då detta kommer släpa efter och för den som snabbt vill få uppdateringar eller ett fint webbgränssnitt får betala för tjänsten.

–  Johan Ryberg

Binero som hostar denna sida har gett alla sina .SE-kunder en riktigt fin julklapp vilket är DNSSEC. I det stora hela går DNSSEC ut på att man förhindrar att DNS-svar förfalskas genom digitala signaturer så att man inte skall använda en felaktig IP-adress och på så sätt ansluter mot en tjänst som kontrolleras av illvilliga personer.

För att enkelt kontrollera om man skickas till rätt hemsida när man surfar med t.ex. Firefox finns tillägget DNSSEC Validator som laddas ner här: https://addons.mozilla.org/en-US/firefox/addon/dnssec-validator/.

Som ni kan se får man nu en grön nyckel vilket betyder att DNSSEC Validator har validerat DNS-uppslaget och källan vi besöker är korrekt.

–  Johan Ryberg

En sårbarhet i protokollet WPS (Wi-Fi Protected Setup) möjliggör att man på några timmar kan få fram PIN-koden till den trådlösa routern/accesspunkten med hjälp av en brute force-attack.  Det flesta routrar efter 2007 då standarden först kom är troligtvis sårbara och enda skyddet är att stänga av funktionen.

WPS är tänkt att underlätta installationen av det trådlösa nätverket men autentiseringen saknar skydd mot denna typ av attack vilket gör att man på bara några timmar kan få fram PIN-koden och på så sätt slå av krypteringen, byta lösenord eller göra det man vill.

Det släpptes samtidigt ett verktyg för att få utföra attacken och det heter Reaver som ni hittar här: http://code.google.com/p/reaver-wps/. Var själv tvungen att testa och det var förvånansvärt lätt att både kompilera verktyget under Ubuntu samt köra det mot min AP och det var oroväckande effektivt. För ordningens skull var jag inte sårbar eftersom jag har för vana att inaktivera funktioner som jag inte använder så jag var tvungen att slå på WPS i min AP innan jag testade men attacken lyckades sedan.

Detta betyder att mängder med trådlösa nätverk som är skyddade av WPA/WPA2-kryptering faktiskt är sårbara och det är mycket lätt för den som attackerar att lyckas med sitt intrång.

Enda skyddet är alltså att stänga av Wi-Fi Protected Setup (WPS) tills dess att standarden modifieras för att ta hänsyn till denna typ av attack men jag tror det dröjer flera år innan detta är löst och trådlösa nätverk som installerats mellan 2007 och 2012 kommer att vara lätta mål.

Hjälp er familj och era vänner genom att hjälpa dem att stänga av WPS och försök att sprida detta till så många som möjligt då detta kan vara det största säkerhetshotet mot trådlösa nätverk sedan WEP-krypteringen blev sårbar.

–  Johan Ryberg

Ett bra tips så här när julen börjar ta slut är att lägga ner batterier till brandvarnarna i någon låda med julsaker inför nästa jul. Att bli väckt om nätterna av något diffust pip då och då är inte roligt och kan vara mycket irriterande och risken är stor att man plockar ut de gamla batteriet utan att ersätta det med något nytt. Det är därför bra att börja varje år / vinter med nya batterier så slipper man detta och brandvarnarna förblir funktionella.

Så, har du gamla batterier är det hög tid att byta och passa på och lägg ner nya inför nästa år så blir du automatiskt påminde om detta när nästa jul plockas fram.

–  Johan Ryberg

Jag stöter gång på gång på system hos flera olika organisationer där lösenorden på vissa servrar eller hela system är riktigt dåliga. I värsta fall har det i princip varit “admin/password” överallt och förklaringen har varit desamma, att det var tänkt att vara tillfälliga kontouppgifter under uppbyggnad för att underlätta men sedan har system efter system anslutits och man har helt enkelt låst in sig i ett hörn och det har inte varit värt besväret att byta eller ingen vill riskera att man inte kan hitta alla ställen att byta på inom rimlig tid.

Förklaringarna har ofta inte varit särskilt bra underbyggda och det blir ofta mer bortförklaringar.

Intentionen har ofta varit god men det blir ändå fel i slutet, läxan är att aldrig hantera en kontouppgift som tillfällig för man vet aldrig när den blir etablerad som en permanent lösning. Se till att säkra miljöerna på en gång med starka lösenord och gör det inte enkelt och använd något standardlösenord bara för det är lätt, man skjuter ofta undan sina egna ben på detta förr eller senare.

– Johan Ryberg

Detta kom idag till misc@openbsd.org och var riktat till svenskar.

anvdndare ( misc@openbsd.org )

Detta meddelande dr fren Messaging Support Center till alla anvdndare. Vi
heller pe att uppgradera ver databas och e-post centrum och detta dr ver sista
anmdlan you.We har skickat flera meddelanden till dig utan svar fren dig.

Vi tar bort alla oanvdnda postkonto fvr att skapa mer utrymme fvr nya konton.
I andra inte dras in, meste du uppdatera ditt konto genom att tillhandahella
den information som anges nedan:

Bekrdfta din e-post information.

E-ID: misc@openbsd.org
E-postadress Lvsenord :………
E-post lvsenord bekrdftelse :……..

Om du inte bekrdfta ditt kontinuerlig anvdndning av vera tjdnster genom att
bekrdfta din e-lvsenord nu, kommer ditt konto att inaktiveras och du kommer
inte kunna komma et din e-post.

Du ska omedelbart svara detta mail och ange ditt lvsenord i ovansteende
lvsenord kolumnen.
Tack fvr din fvrsteelse.

avseende,

Avsändaren såg ut att vara helpdpt@support.com men svaret skickas i själva verket till helpdpt@mail2webmaster.com

Tur är väl att mycket av nätfisket håller dålig kvalité, problemet är att det blir bättre med tiden och vissa fall är faktiskt svåra att urskilja men en grundregel är att ingen leverantör någonsin kommer att kräva att få in kontouppgifter från sina användare och om dem mot förmodan skulle göra detta är det bara att byta för det skulle i så fall vara extremt oseriöst.

–  Johan Ryberg

www.prassel.nu är en kontaktsida med fokus på sex och siten har lite över 10 000 medlemmar som nu har förlorat sina kontouppgifter. Databasen har inte ens krypterade lösenord utan dem står fint i klartext. En sak som dem dock har gjort bra är att dem har automatiskt genererat lösenord för sina medlemmar vilket är tur eftersom de flesta är för lata för att byta lösenord.

–  Johan Ryberg