Fernzugriff auf die Ressourcen der Technischen Fakultät

Der Zugriff auf die Ressourcen innerhalb des Netzwerkes der Technischen Fakultät ist in zwei Services unterteilt:

Verbindungen sind sowohl von innerhalb der Universität Bielefeld (Technische Fakultät und HRZ-WLAN) als auch von außerhalb (von Zuhause, unterwegs mithilfe eines freien WLANs, via Mobilfunk, etc.) möglich.
Typische Anwendungsfälle sowie Hilfestellungen und Antworten zu typischen Problemen findest Du auf den oben genannten Seiten.

Zusätzlich gibt es für Mitarbeiter*innen einen VPN-Service, welcher den Zugriff auf alle Ressourcen der Technischen Fakultät auf dem eigenen Gerät erlaubt.

Warum wurden die alten porta/portb-Maschinen durch shell abgelöst?

Durch die Umstellung auf die neuen Dateiserver konnten die alten porta/portb-Maschinen nicht weiter betrieben werden. Dies hängt mit den beiden Möglichkeiten zusammen, mit denen man sich sicher per SSH anmelden kann:

  1. Durch Eingabe eines Passwortes. Diese Methode ist sehr gefährlich, da die Maschinen porta, portb und shell weltweit sichtbar sind. Ein Angreifer kann beliebig oft Kombinationen aus Benutzernamen und Passwörtern ausprobieren, bis er eine gültige Kombination trifft. Wir haben auf porta und portb Millionen solcher Versuche gesehen, und einige davon waren leider erfolgreich, weil die Benutzer oder Benutzerinnen leicht zu erratende Passwörter gewählt hatten. In diesem Fällen wurden die betroffenen Benutzerkonten mit Schadsoftware kompromittiert oder anderweitig missbraucht.
  2. Durch Nutzung eines SSH-Schlüsselpaares. Bei dieser Methode identifiziert sich der Benutzer mit Hilfe eines kryptographischen Schlüssels, dessen öffentlichen Teil er auf das Zielsystem (z.B. shell) hochgeladen hat. Für einen Angreifer ist es praktisch unmöglich, beide Schlüsselteile zu erraten, solange er keinen Zugriff auf den privaten Teil des Schlüssels erhält.

Die Anmeldung über SSH-Schlüsselpaare ist auf extern erreichbaren Maschinen also deutlich sicherer. Damit man sich aber über SSH-Schlüssel anmelden kann, muss der SSH-Dienst Zugriff auf die öffentlichen Schlüssel der Benutzer haben, die typischerweise in deren Arbeitsverzeichnissen unter ~/.ssh liegen. Die neuen Dateiserver geben den Zugriff auf ein Arbeitsverzeichnis aber erst frei, wenn sich der jeweilige Benutzer bereits angemeldet hat - dies ist eine weitere Sicherheitsvorkehrung gegen Angriffe, die von innen aus dem TechFak-Netz kommen. Durch diese Situation entsteht ein Henne-und-Ei-Problem: Der SSH-Dienst benötigt Zugriff auf das Arbeitsverzeichnis der Benutzers, um ihn mit dem Schlüssel anzumelden, aber der Dateiserver gestattet den Zugriff auf den Schlüssel nur bereits angemeldeten Benutzern. Deshalb mussten wir die Maschinen porta und portb durch shell ersetzen. shell vermeidet das Henne-Ei-Problem durch den Kunstgriff mit dem temporären Arbeitsverzeichnis, das im Prinzip nur die hochgeladenen öffentlichen Schlüssel enthält.

Warum wurden die alten porta/portb-Maschinen durch files abgelöst?

Wie wir in der Diskussion zu shell bereits erläutert haben, können porta und portb nach der Umstellung auf die neuen Dateiserver nicht weiter betrieben werden. Der bei shell angewendete Trick mit dem temporären Homeverzeichnis funktioniert hier natürlich nicht, da wir ja gerade auf die Dateien im Home zugreifen wollen.

Also bleibt nur der Weg, sich mit Hilfe des Rechner-/Kerberos-Passwortes über SSH anzumelden, und damit in Kauf zu nehmen, dass ein schwaches Passwort erraten werden kann. Zumindest können wir einem erfolgreichen Angreifer aber möglichst viele Wege verbauen, indem wir files geeignet konfigurieren. Durch die Einschränkung des Zugriffs auf das remote-Verzeichnis vermindern wir den Schaden, den ein Angreifer anrichten kann, weil er so keinen Zugriff auf wichtige Konfigurationsdateien im Nutzerverzeichnis erhalten kann (z.B. auf die .bashrc). Da auf files keine interaktiven Sitzungen möglich sind, kann ein Angreifer auch bei Kenntnis von Benutzername und -passwort von dort nicht auf andere Maschinen des TechFak-Netzes kommen, und der einzige andere Zugangsweg von außen besteht in shell, die aber nur SSH-Schlüssel und kein Passwort-Login akzeptiert. So bleibt dem Angreifer nur der Weg, sein erbeutetes Login und Passwort physisch vor Ort an einer TechFak-Maschine zu nutzen, was typischerweise zu aufwändig ist.