UNItopia News: Brett Spieler, Gruppe Programmierideen, Artikel 4888
-------------------------------------------------------------------------------
Titel: ZUS: UNI ueber SSH
Artikel: 4888 Bezug: 0
Verfasser: Gairon Datum: 12.04.05 19:52:18
-------------------------------------------------------------------------------
Titel: UNI ueber SSH
Verfasser: Tox Datum: 01.08.04 16:31:18
Ist keine richtige "Programmier"-Idee, aber ich weiss nicht wo es sonst
hinkoennte:
Waere es moeglich eine verschluesselte Anbindung an UNItopia zu realisieren?
(SSH o.Ae.)
Waere mir sehr lieb, da ich mich manchmal ueber ein sehr unsicheres Netz
einlogge.
MfG
Tox.
-------------------------------------------------------------------------------
Titel: Re: UNI ueber SSH
Verfasser: Alloy Datum: 05.08.04 09:17:09
Dafuer!
Alloy (unterschreibt)
-------------------------------------------------------------------------------
Titel: Re: UNI ueber SSH
Verfasser: Niflheim Datum: 08.08.04 12:58:27
Ich will gerade nicht den Aufwand abschaetzen. Nur soviel:
Auch ich waere sehr dankbar fuer sowas.
Niflheim
-------------------------------------------------------------------------------
Titel: Sichere Verbindung mit stunnel (Version 4)
Verfasser: Fireddl Datum: 10.08.04 21:40:56
UNItopia bietet zusaetzlich zum normalen Zugang auch noch einen SSL-Tunnel an,
mit dem man eine verschluesselte Verbindung zum UNI-Rechner aufbauen kann. Das
ist zum Beispiel gut dafuer, wenn man sein Passwort nicht im Klartext uebers
Internet uebertragen will, oder wenn man nicht will das jeder der zwischen
UNItopia und einem selbst im Netz haengt die Datenstroeme mitlesen kann.
Beispiel:
1. Normale Verbindung:
PC <-- Klartext --> UNItopia
2. Verbindung mit SSL-Tunnel
PC <-> SSL Tunnel <== Verschluesselt ==> UNItopia-Rechner <-> UNItopia
Das heisst, alles was zwischen deinem Rechner und UNItopia uebertragen
wird, ist verschluesselt.
Am besten verwendet ihr zum Herstellen der Verbindung das Programm
stunnel, zu bekommen unter www.stunnel.org, fuer Linux und Windows.
Unter Windows habe ich stunnel noch nicht installiert, eine Anleitung
gibt es z.B. hier:
http://www.gammon.com.au/mushclient/stunnel.htm
Zusaetzlich hat Menaures ein Rundum-Sorglos-Paket zusammengestellt
fuer Windows, einfach entpacken und starten:
ftp://ftp.unitopia.de/pub/Clients/Win32/SSL-UNItopia-2004-08-09.zip
****************
** Fuer Linux: **
****************
Installiert am besten das Paket von stunnel-4 das eure Distribution mitliefert,
ansonsten den Sourcecode von www.stunnel.org
(stunnel muss auf jeden Fall beim Aufruf von stunnel -version eine 4.x Version
sein.)
Wenn stunnel installiert ist, muessen noch folgende Schritte vorgenommen
werden:
1. Ein eintrag in /etc/services, nur eine Zeile:
uniwrapper 500/tcp
2. Das erzeugen einer Konfigurationsdatei, in meinem Fall
/etc/stunnel/uniwrapper.conf:
------------ snip -----------------
cert = /etc/stunnel/stunnel.pem
chroot = /var/run/stunnel/
# PID is created inside chroot jail
pid = /stunnel.pid
setuid = nobody
setgid = nogroup
service = uniwrapper
debug = 5
client = yes
connect = unitopia.bera.rus.uni-stuttgart.de:992
------------ snip -----------------
3. Legt das Verzeichnis /var/run/stunnel an. (mkdir /var/run/stunnel)
4. Es muss ein Zertifikat erzeugt werden fuer stunnel (in diesem Fall z.B.
/etc/stunnel/stunnel.pem):
Folgende Befehle sind notwendig:
a) openssl req -new -x509 -nodes -days 365 -out stunnel.pem \
-keyout stunnel.pem
Das erzeugt das .pem File, was ihr reinschreibt bei den Fragen
ist in dem Falle egal.
b) chmod 600 stunnel.pem
c) dd if=/dev/urandom of=temp_file count=2
d) openssl dhparam -rand temp_file 512 >> stunnel.pem
e) ln -sf stunnel.pem `openssl x509 -noout -hash < stunnel.pem`.0
Alle diese Optionen werden bei "man openssl" erklaert.
5. in /etc/inetd.conf einen Eintrag:
uniwrapper stream tcp nowait root /usr/sbin/tcpd
/usr/sbin/stunnel /etc/stunnel/uniwrapper.conf
(Achtung: Zeilenumbruch entfernen)
ODER fuer den xinetd (danke an Croft):
-------------- snip --------------
# default: on
# description: Wrapper fuer UNItopia
service uniwrapper
{
socket_type = stream
protocol = tcp
wait = no
user = root
server = /usr/sbin/stunnel
server_args = /etc/stunnel/uniwrapper.conf
}
-------------- snip --------------
in einer Datei namens /etc/xinetd.d/uniwrapper
6. Danach ein: killall -HUP inetd um den Eintrag zu laden
7. Evtl. ist noch ein Eintrag in /etc/hosts.allow noetig:
stunnel : localhost : ALLOW
oder
stunnel : ANY : ALLOW
wenn man von allen Rechnern aus Zugriff gestatten will.
Danach sollte man mit
telnet localhost 500
zu UNItopia connecten koennen, jetzt aber ueber die gesicherte
Verbindung.
-------------------------------------------------------------------------------
Titel: Re: Sichere Verbindung mit stunnel (Version 4)
Verfasser: Tox Datum: 13.08.04 18:22:25
Hey, wie lange gibt's das denn schon? Hab ich's nur noch nie gesehen oder
gibt's das noch nicht so lang?
Naja, ich bin jedenfalls erstmal zufrieden. :-)
MfG
Tox.
-------------------------------------------------------------------------------
Titel: Re: Sichere Verbindung mit stunnel (Version 4)
Verfasser: Fireddl Datum: 13.08.04 23:03:05
Naja, geben tuts das schon ein wenig laenger, aber jetzt ist es halt soweit,
dass alle es nuetzen koennen.
Fireddl
-------------------------------------------------------------------------------
Titel: SSH-SSL
Verfasser: Selmarin Datum: 23.09.04 18:06:27
SSH - SSL Hab mich grad im Web umgesehen, was das ist und was die Unterschiede
sind.
Koennte man sich auch mit SSH in Unitopia einloggen? Das wird, wenn ich das
richtig verstanden habe, als das 'sichere Telnet' beschrieben. Und es scheint
leichter zum Handhaben zu sein.
Vielleicht kann ja mal irgendein Technik-Freak ein par Erklaerungen fuer
Einsteiger zu Unitopia und Sicherheit geben.
Selmarin, informiert sich.
-------------------------------------------------------------------------------
Titel: Re: SSH-SSL
Verfasser: Elgringo Datum: 23.09.04 19:04:18
ssh bedeutet Secure Shell und is wie Du richtig bemerkt hast eigentlich nix
anneres als ein verschluesseltes Telnet. Damit das genutzt werden kann muss auf
dem Server der zugehoerige Deamon laufen ( Das is wie ein Dienst unter
WinXP-2000-NT)
Das Problem dabei ist, das zb zMUD keine ssh Anbindung bietet, d.h. entweder
zmud oder ssh.
Falls Du mal nen ssh Client brauchen solltest, such per google mal nach putty,
das is eigentlich standard bei ssh unter Windoof und laesst sich relativ leicht
bedienen.
Warum kein ssh hier moeglich ist weiss ich auch nicht.
Hoffe jede Klarheit beseitigt zu haben ;)
Gruessle
L
-------------------------------------------------------------------------------
Titel: Re: SSH-SSL
Verfasser: Croft Datum: 23.09.04 19:33:12
Wieso hier kein ssh moeglich ist, ist einfach: der Driver spricht nur
telnet.
Croft
-------------------------------------------------------------------------------
Titel: Re: SSH-SSL
Verfasser: Elgringo Datum: 23.09.04 19:45:26
Das is natuerlich nen Argument, danke fuer die Auskunft :)
L
-------------------------------------------------------------------------------
Titel: Re: Sichere Verbindung mit stunnel (Version 4)
Verfasser: Niflheim Datum: 18.02.05 14:51:14
Ich reiche hiermit ein spaetes Dankeschoen an die Admins und Fireddl nach. ;)
Niflheim
-------------------------------------------------------------------------------
Titel: Was kann eigentlich passieren?
Verfasser: Selmarin Datum: 25.09.04 22:28:46
Noch eine Frage zur Sicherheit: Was kann einem denn eigentlich schlimmstenfalls
mit einer unsicheren Telnet-Verbindung passieren? Kann bloss jemand mein
Unitopia Passwort rausfinden und mitansehen wo ich meine Schatztruhe vergrabe
oder kann jemand an meinem RL-Rechner rummanipulieren?
Selmarin.
-------------------------------------------------------------------------------
Titel: Re: Was kann eigentlich passieren?
Verfasser: Elgringo Datum: 26.09.04 19:05:27
Sobald Du Verbindung zum Internet hast, kann man mit dem noetigen knowhow an
den meisten Rechnern rumdrehen. Viele Rechner die Online gehen sind gar nicht
oder nur sehr lausig abgesichert, da haben selbst Scriptkids leichtes Spiel
obwohl sie sich meist nur ziemlich duerftig auskennen und oft genug nur auf
vorgefertigte Exploits zurueckgreifen.
Je mehr man diesen Spaken Steine in den Weg legt, desto eher verlieren dieses
Kids die Lust daran. Erstens gehen dieser Sorte Leute recht schnell die IDeen
aus, zum zweiten gibts genug Systeme die einfacher zu knacken sind. Leute die
WIRKLICH das knowhow haben auch in besser gesicherte System einzudringen, die
suchen sich ziemlich wahrscheinlich nicht ausgerchnet den Rechner eines kleinen
Otto-Normal-Users aus, der Aufwand lohnt nicht, solche Leute vergehen sich eher
an groesseren Firmennetzen und suchen da nach verwertbaren, das ist rentabler.
Ueber Telnet laesst sich mit Sicherheit genauso Schindluder betreiben wie ueber
jede andere Shell, ich kann Dir aber da nicht genau sagen was alles machbar
ist. Schau Dich mal per Google mit den Stichworten Sicherheit Telnet um, da
findet sich ne ganze Latte zu lesen.
Gruessle
L
-------------------------------------------------------------------------------
Titel: Re: Was kann eigentlich passieren?
Verfasser: Kainskind Datum: 26.09.04 20:29:46
also, 1. laesst sich jede verbindung im netz irgendwie umleiten ueber andere
rechner. dns, icmp oder wennu annem switch haengst arp spielereien...
is deine verbindung unverschluesselt koennen die also lauschen, dein passwort
rausfinden (find ich sehr unwarscheinlich aber bei einigen spielern hier
sicherlich sinnvoll)
es waere auch moeglich befehle einzuschieben die du garnicht geben wolltest...
in der regel is deine verbindung dann desynchronisiert und du kannst einen
begonnenen kampf so schnell auch nich abbrechen. es gibt nur wenige tools die
die synchronisation aufrecht erhalten...
aber: ssl is auch nich loesung fuer alles... ne man in the middle attack is
immernoch moeglich. deshalb sollte man auch jedesmal kontrolieren ob das
zertifikat des gegenuebers stimmt.
bye, kk
-------------------------------------------------------------------------------
Titel: Re: Was kann eigentlich passieren?
Verfasser: Fizban Datum: 30.09.04 19:22:39
> aber: ssl is auch nich loesung fuer alles... ne man in the middle attack is
> immernoch moeglich.
Eine korrekte SSL-Verbindung ist ein sicherer Kommunikationskanal, da ist kein
Man in the Middle mehr moeglich.
> deshalb sollte man auch jedesmal kontrolieren ob das
> zertifikat des gegenuebers stimmt.
Wenn man von Browser eine Sicherheitswarnung kriegt (z.B. weil Zertifikat
falsch), sollte man immer vorsichtig sein. Wer sich ein wenig auskennt,
kann/sollte auch mal seine Trusted-Root-Zertifikate aufraeumen. Zumindest der
IE installiert da eine Menge Muell.
- Fizban
-------------------------------------------------------------------------------
Titel: Re: Was kann eigentlich passieren?
Verfasser: Kainskind Datum: 16.10.04 23:34:30
ok, korrektur: ich hab die beisen saetze vertauscht. 1.: sollte man zertifikate
kontrollieren, weil wenn das nich stimmt kann 2. ne man in the middle attack
der grund sein.
du hast eine sichere verbindung zu dem rechner dessen zertifikat du bekommen
hast. nicht zwangslaeufig zu dem bei dem du landen wolltest. kontrolliere also
ob das zertifikat tatsaechlich von dem rechner stammt mit dem du kommunizieren
willst.
so, jetzt hab ichs nochmal sauber ausgedrueckt.
bye kk
-------------------------------------------------------------------------------
Titel: Re: Was kann eigentlich passieren?
Verfasser: Garamon Datum: 27.09.04 15:57:32
Ich glaub, dass du durch die Nutzung von telnet kein groesseres Risiko
fuer deinen Rechner heraufbeschwoerst, als du es ohnehin schon durch
das Einbinden des Rechners ins Netz eingekauft hast.
Unbedingt beachten solltest du aber, dass dein (abhoerbares) UNItopia-Passwort
nicht noch irgendeine Bedeutung auf deinem lokalen Rechner hat, oder dass
du es noch fuer andere, mit dir assoziierbare Dienste (EBay, Banking ...)
verwendest.
Garamon
-------------------------------------------------------------------------------
Titel: Re: Was kann eigentlich passieren?
Verfasser: Fizban Datum: 30.09.04 19:29:05
> Was kann einem denn eigentlich schlimmstenfalls
> mit einer unsicheren Telnet-Verbindung passieren?
Rein theoretisch kann Alles passieren, vom Mithoeren Deiner Verbindung ueber
einfache Manipulation bis hin zum kompletten Session-Hijacking. Praktisch wird
im Normalfall jedoch gar nix passieren, denn Jemand mit dem noetigen Know-How
sucht sich lohnendere Ziele als Deinen Unitopia-Charakter.
> kann jemand an meinem RL-Rechner rummanipulieren?
Dein RL-Rechner kann prinzipiell immer angegriffen werden, denn Deine
Internet-Verbindung ist keine Einbahnstrasse. Die Telnet-Verbindung erhoeht
jedoch das Risko nicht (wenn man mal davon ausgeht, dass die Admins und der
Mud-Driver nicht versuchen, Deinen Rechner zu manipulieren ;-)).
- Fizban