Sicherheit in Netzen - WS18/19

Übungsblatt 6 - SSH

Ausgangspunkt: Auf den Server A mit der Ubuntuserver (Version 16.04) kann nach der Standard-Installation apt-get install openssh-server über openssh zugegriffen werden. Die Konfigurationsdatei /etc/ssh/sshd_config wurde nach der Installation nicht verändert, d.h. openssh wird in der vorgegebenen Standardkonfiguration betrieben.

 

Aufgabe 1

Ein Benutzer B1 loggt sich mit seinem Unix-Passwort über openssh auf den Server A ein. Das Einloggen wird über Wireshark aufgezeichnet (ue04-SSL-dump1.zip).

  1. Versuchen Sie in Wireshark den Anmeldevorgang zu analysieren. Wieviele Request/Response-Paare im Klartext finden für den initialen Schlüsselaustausch statt? Was genau ist das Ziel von jedem dieser Request/Response-Paare? Welche Informationen werden hierzu ausgetauscht?
  2. Sie möchten die verschlüsselten Paket im vorliegenden Dump entschlüsseln. Welche Schlüssel benötigen Sie hierfür? Mögliche Antworten:
         1) Den öffentlichen Schlüssel des Servers und das Passwort des Clients.
         2) Den geheimen Schlüssel des Servers.
         3) Den geheimen Schlüssel des Servers und das Passwort des Clients.
         4) Mit keinen der Möglichkeite 1), 2), 3) ist eine Entschlüsselung möglich. Es verhält sich nämlich, wie folgt: <ihre Antwort>
  3. Welche Angriffe auf den Server A sind im eben beschriebenen Szenario möglich und mit welchen Maßnahmen lassen Sie sich verhindern?

 

Aufgabe 2

Benutzer B2 besitzt ein rsa-2048-Schlüsselpaar. Der öffentliche Teil des Schlüssels ist auf dem Server A hinterlegt. Der Benutzer kann sich damit bequem, ohne Passworteingabe auf den Server A einlogen. Der Einlog-Vorgang wird über Wireshark aufgezeichnet (ue04-SSL-dump2.zip).

  1. Analysieren Sie den Anmeldevorgang. Was hat sich jetzt geändert? Interpretieren Sie Ihr Ergebnis.
  2. Welche Angriffe auf den Server A sind im Szenario von Aufgabe 2 möglich und mit welchen Maßnahmen lassen sich diese verhindern?

 

Aufgabe 3

Über die openssh Konfigurationsdatei /etc/ssh/sshd_config lässt sich die Client-Authentifizierung mittels der Schalter
     PasswordAuthentication yes/no
     ChallengeResponseAuthentication yes/no
     UsePAM yes/no

steuern.

  1. Was genau bedeuten die Schalter PasswordAuthentication und ChallengeResponseAuthentication? Wo findet sich eine genaue Beschreibung dieser beiden Authentifizierungsschemen?
  2. Was versteht man unter PAM?
  3. Benutzer B1 (ohne Zertifikat) möchte sich an Server A einloggen. Wie reagiert der Server A jeweils unter den nachfolgenden openssh Konfigurationen:
    • Konfiguration 1:
           PasswordAuthentication yes
           ChallengeResponseAuthentication no
           UsePAM no
    • Konfiguration 2:
           PasswordAuthentication no
           ChallengeResponseAuthentication yes
           UsePAM no
    • Konfiguration 3:
           PasswordAuthentication no
           ChallengeResponseAuthentication yes
           UsePAM yes
    • Konfiguration 4:
           PasswordAuthentication no
           ChallengeResponseAuthentication no
           UsePAM yes

 

Geben Sie die Lösung aller Aufgaben rechtzeitig über LEA ab.

 

Impressum | Datenschutz | leischner.inf.h-brs.de, last modification: 10.06.2019-19.12