Wir schaffen es derzeit natürlich schon lange nicht mehr jede Vulnerability zu beschreiben, allerdings versuchen wir zumindest von Zeit zu Zeit auf besonders schwerwiegende Schwachstellen hinzuweisen. Weiterlesen
Gerade in größeren Unternehmensnetzwerken besteht die Notwendigkeit, dass Router oder Switches neben dem normalen In-Band Zugriff auch per seriellem Out Of Band Management bedient werden können, um im Störfall noch handlungsfähig zu sein.
Auf dem Markt existieren sehr viele sehr gute Lösungen, aber für den wirklich kleinen Geldbeutel ist in der Regel sehr wenig Gutes geboten – gerade wenn man auf Betriebssicherheit und „Frickelvermeidung(tm)“ Wert legt.
Dieser Artikel beschreibt ein konkretes Kundenprojekt, welches die Anforderung hatte, für möglichst wenig Budget, monatliche Mehrkosten und Komplexität einen sicheren Zugriff auf die seriellen Consolen von redundanten WAN-Routern zu ermöglichen.
Es gibt im Wesentlichen zwei Möglichkeiten, sich an einem SSH-Server zu authentifizieren: Via Passwort und via Schlüssel. Da ich bei einem selbstverständlich mit einer guten Passwort-Phrase geschützten Schlüssel nicht nur etwas brauche, was ich weiß, sondern auch noch etwas brauche, was ich mit mir führe, ist die Schlüssel-Authentizierung sicherer.
Einige Kunden haben es schon einmal gesehen, andere Fragen sich vielleicht: Wie kopieren wir eigentlich unsere öffentlichen SSH-Schlüssel auf Linux-Systeme, für die Kunden Fernwartung wünschen, oder auf unsere eigenen Server? Es ist natürlich möglich mit den Befehlen scp und cat oder eben mit ssh-copy-id zu arbeiten, um jeden öffentlichen Schlüssel einzeln der authorized_keys-Datei des betreffenden Benutzers auf jeden Server zu kopieren. Es geht aber auch wesentlich einfacher:
Wir setzen seit Jahren dazu das selbst geschriebene Distkeys ein. Weiterlesen
Proact Deutschland GmbH
Südwestpark 43
90449 Nürnberg
Mail: info@proact.de
Tel.: 0911 309990