Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Datacenter & Verkabelung > Drei Buchstaben - und viele offene Fragen

Kontrolle über SSH-Fernzugriffe

Drei Buchstaben - und viele offene Fragen

17. März 2017, 11:33 Uhr | Autor: Christian Kress / Redaktion: Axel Pomper
Fortsetzung des Artikels von Teil 1

Typische Herausforderungen

Eines vorweg: Ein durchschnittlicher Anwender sieht seine ihm zugewiesene Anwendung, und die in der Anwendung definierten Rechte begrenzen den Zugriff. In der Regel arbeitet ein Anwender mit einzelnen Datensätzen. Im Gegensatz dazu hat ein Administrator das Recht, die Gesamtheit aller Daten zu verändern, in unserem Beispiel die gesamte Datenbank. Entsprechend sorgfältig sollte mit diesen Rechten verfahren werden. In der Praxis gibt es jedoch an der einen oder anderen Stelle noch deutlichen Handlungsbedarf, beispielsweise in folgenden sechs Bereichen:

1. Personalisierung der Zugriffe bzw. gemeinsam benutzte Accounts
Eine aktuelle Statistik belegt, dass die wenigsten Administratoren tatsächlich „root“ oder „oracle“ heißen. Auf der anderen Seite ist völlig klar, dass sich bestimmte Arbeiten überhaupt nur mit den notwendigen Rechten erledigen lassen.

2. Benutzername/Passwort oder SSH Keys
Der Zugangsschutz Passwort ist, egal wie gut die Passwort-Policy auch sein mag, auf eines beschränkt: auf das reine „Wissen“. Demgegenüber bringt der Einsatz von SSH Keys den Vorteil, dass das „Haben“ hinzukommt. Ohne den entsprechenden privaten Schlüssel – sinnvollerweise ist der Schlüssel selbst mit einem Passwort verschlüsselt – ist kein Zugang möglich. Aber …

3. … ein SSH Key läuft niemals ab
Anders als Zertifikate nach X509v3-Standard kennen SSH Keys kein Verfallsdatum. Mit anderen Worten: Ein Zugang per SSH Key bleibt so lange gültig, bis ich den hinterlegten öffentlichen SSH-Schlüssel wieder entferne.

4. Keine zentrale Verwaltung der SSH Keys
Jeder Administrator verwaltet in den Default-Einstellungen des SSH-Dienstes seine SSH Keys selbst! Da es keine zentrale Verwaltung der SSH Keys gibt, tut er dies nicht nur auf einem System, sondern auf jedem System, auf dem die Person erwartet, öfter tätig zu sein. In der Praxis führt dies tatsächlich dazu, dass die Betroffenen selbst nicht in der Lage sind, exakt zu benennen, auf welche Systeme sie aktuell Zugriff haben.

5. Fehlendes Know-how
Das Thema Verschlüsselung gehört in der Regel nicht zu den Kernkompetenzen der handelnden Personen – warum auch? Dies führt in der Praxis dazu, dass die Beschäftigung mit dem Themenkomplex sofort endet, wenn der Zustand „… Hauptsache, es läuft jetzt endlich …“ erreicht ist.

6. Geschwindigkeit und Verbindlichkeit
Wenn neue Mitarbeiter eingestellt werden, stellen die Fachbereichsleiter aus eigenem Interesse sicher, dass den neuen Kollegen der Zugang zu den Ressourcen ermöglicht wird. Wenn ein Kollege ausscheidet, bleiben die Zugänge häufig existent, da es an klaren Zuständigkeiten fehlt; wie auch, wenn der Mitarbeiter selbst nicht benennen kann, wo er im Laufe seiner Arbeitszeit überall Zugriff hatte. Die Firewall wird es schon richten.

Anbieter zum Thema

AixpertSoft GmbH
nexspace data centers GmbH
Securepoint GmbH
dtm Datentechnik Moll GmbH
Zyxel Networks A/S
Matchmaker+
zu Matchmaker+
  1. Drei Buchstaben - und viele offene Fragen
  2. Typische Herausforderungen
  3. Wäre es nicht schön, wenn ...

Lesen Sie mehr zum Thema

connect professional Viren-/Malware-Schutz Mobile Security Sicherheit
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu connect professional

Pflegepersonalbemessungsverordnung

Nicht mehr exceln bis der Arzt kommt

Open statt ausgeliefert

Wie das ZenDiS Alternativen zur IT-Abhängigkeit etablieren will

Embraceable AI

Die nachvollziehbare KI

Tierisch langweilig

Roboter bringt Affen zum Gähnen

Spezialist für Penetrationstests

Kalweit ITS nimmt den Mittelstand ins Visier

Weitere Artikel zu Viren-/Malware-Schutz

94 Prozent mehr Netzwerk-Malware

Krypto-Miner, Zero-Day-Malware und Linux-Bedrohungen legen zu

Malware in raubkopierter Software  

Jamf Threat: Hintertür in raubkopierten macOS-Anwendungen

Sicherheits-Lücke bei Google

Malware-Entwickler reaktivieren abgelaufene Google-Cookies

Trend Micro: Gefahr durch Infostealer

Auf diese Daten haben es Hacker am meisten abgesehen

Banking-Malware, Stealer und Ransomware

Crimeware-Report von Kaspersky zeigt drei neue Bedrohungen

Weitere Artikel zu Mobile Security

Advertorial

Wie Unternehmen ihre mobile Kommunikation schützen

Cyan Guard 360

Cybersecurity für den Mittelstand

Videoüberwachung und LivEye

Mobile Videosicherheit als Dienstleistung

Unternehmen im Fadenkreuz

Cyberangriffe auf Rekordniveau

Onlinebetrug vorbeugen

o2 Telefónica mit neuer Identifizierungslösung für Händler

Weitere Artikel zu Sicherheit

Human Risk Management

Mimecast übernimmt Elevate Security

Adventskalender von Exclusive Networks

„All I want for christmas“-Gadgets bis Weihnachten

Spezialist für IT-Sceurity

BOLL Engineering baut Distributionsportfolio kräftig aus

Security-Lösungen für Service Provider

SonicWall übernimmt Solutions Granted

OT-Sicherheit

TXOne Networks nun VDMA-Mitglied

Matchmaker+
EKINOPS Deutschland GmbH

EKINOPS Deutschland GmbH
elektrofachkraft.de

elektrofachkraft.de
Vodia Networks GmbH

Vodia Networks GmbH
NFON AG

NFON AG
WEKA MEDIA PUBLISHING GmbH

WEKA MEDIA PUBLISHING GmbH
sysob IT-Distribution GmbH & Co. KG

sysob IT-Distribution GmbH & Co. KG