Nut van SSH zonder security awareness

Lijkt me duidelijk dat t geen nut heeft bij jullie zo

Bij ons heeft alleen de systeembeheerder toegang. De passwoorden aan de leerlingen zijn automatisch gegenereerd... (4cijferige pincodes)

MMMM een security policy van niets (NFI)

'K geloof dat je beter de medewerkers een goede security policy kunt aanleren in combi met veilige 'software' want op de door jou beschreven manier komt er weinig van.

Waarom? Wat is de doelstelling die ze hebben om SSH te gaan gebruiken, zoals je schrijft zijn jullie een gesloten lan. De mensen die daar op werken kennen elkaars wachtwoorden en hebben naar ik denk geen geheimen voor elkaar (bedrijfs geheimen) dus wie zou er dan moeten gaan sniffen op het lan om achter informatie te komen?

Aangezien jullie allemaal elkaars wachtwoorden weten of ze zo makkelijk zijn om achter te komen heeft dit in mijn ogen helemaal geen zin.

Laat ze er voor zorgen dat de implementatie van SSH samen gaat met een goede security policy wat betreft het aanmaken van wachtwoorden en het geheim houden van je eigen wachtwoorden.

Ik ken bedrijven die een enorme boete hebben staan op het weggeven zonder toestemming van je wachtwoord. Misschien een idee?

TrailBlazer schreef op 10 juli 2003 @ 11:56:
Op mijn werk is het systeembeheer druk bezig SSH in te voeren op onze suns. Ik vraag me echter nog steeds af wat het nut is hiervan. Immers we werken op een lan in een beveiligde ruimte met switches die slechts een vast gedefinieerd mac adres toelaten op een bepaalde poort.
Echter de gemiddelde medewerker gefet gewoon zijn wachtwoord aan zijn buurman. Hebben zo en zo wachtwoorden die gelijk zijn aan hun achternaam vriendin postcode je kent het wel.
Kortom mijn mening is SSH is leuk maar zonder besef van security bij de gebruikers is het nut nul. Hoe is dit bij jullie geregeld

Tuurlijk is dit geen hele nuttige setup - het enige wat je hiermee verlegt is dat je de gebruiker iets meer verantwoordelijk maakt voor wie z'n passwoord heeft, doordat het nu niet meer te sniffen is (als dat uberhaupt al kon) moet het wel door een medewerker zelf zijn gegeven, en kan je op die manier ook de verantwoordelijkheid leggen.

Ik ben het niet eens met de meeste van jullie, het nut is er wel degelijk. Stel nu dat of 1 van de werknemers heeft er de balen van of een willekeurig iemand gaat achter een ingelogde pc zitten. Nu is het met ssh niet meer mogelijk om het verkeer van anderen te sniffen. ( Voor iedereen me begint the bashen ) ik weet dat je op een switch moet instellen dat een kaart kan sniffen maar ook een switch kan gehackt worden. Dus ik vind het helemaal niet zo verkeerd.

En ssh is niet alleen handig voor de beveiliging, maar het heeft ook nog eens een soort rlogin/rsh functionaliteit. En forwarden enzovoort enzovoort. Dit is gewoon handig. Het kan helemaal geen kwaad.

Het kan inderdaad geen kwaad doen maar ik zie het nut dus gewoon niet. Waarom dit gaan doen als je er bijna niks extra's mee kan bereiken???

Ik vindt het gewoon allemaal een beetje vreemd...

Nog even over dat sniffen van een switched lan dat is inderdaad mogelijk en heel veel admins vergeten dit inderdaad op te nemen in hun secuirty overdenking. Dat is denk hier niet gebeurd maar dan alsnog zie ik het nut er niet van.

Je zit op een gesloten lan en de mensen die er gebruik van maken zitten op een dergelijk niveau dat ze gewoon met elkaar usernames en wachtwoorden uitwisselen. tegen wie moet je je beschermen zodat je SSH moet gaan gebruiken? Niet de interne gebruikers... tegen wie dan wel?

Verwijderd schreef op 10 July 2003 @ 14:58:
En ssh is niet alleen handig voor de beveiliging, maar het heeft ook nog eens een soort rlogin/rsh functionaliteit. En forwarden enzovoort enzovoort. Dit is gewoon handig. Het kan helemaal geen kwaad.

Als je een goede defaul security policy hebt dan schrap je alle unsecure inlog mogelijkheden, ook al hangt je netwerk niet direct aan het internet. Zeker op linux/unix bakken gebruik ik standaard SSH voor login, geen root access via SSH, rlogin en rsh standaard gedisabled enz.

Je security policy moet gewoon goed zijn, dit geld zowel voor user als voor admins.

Klinkt inderdaad allemaal wel heel strak maar wat ik tot nu heb begrepen hebben ze daar helemaal geen security policy, altans als ze er een hebben dan is het wel een verdomd slechte. Wat heeft het dan voor een zin om dit soort dingen te inplementeren als de rest van je scurity al bij het begin niet goed is.

Verder snap ik nog steeds niet tegen wie de bescherming moet dienen maar dat kan aan mij liggen.

ripexx schreef op 10 July 2003 @ 16:05:
Als je een goede defaul security policy hebt dan schrap je alle unsecure inlog mogelijkheden, ook al hangt je netwerk niet direct aan het internet. Zeker op linux/unix bakken gebruik ik standaard SSH voor login, geen root access via SSH, rlogin en rsh standaard gedisabled enz.

Je security policy moet gewoon goed zijn, dit geld zowel voor user als voor admins.

Als de procedurele maatregelen niet werken (wachtwoord doorgeven) kun je proberen om het technisch op te lossen. Wat je zou kunnen doen is met keys werken. Elke gebruiker (beheerder) genereert met zijn SSH client een keypair waarvan je de public key op de server zet. Als mensen dan wachtwoorden willen uitwisselen moeten ze ook private keys gaan uitwisselen dat is alweer een hogere drempel.

Verder werkt geen enkele security policy zonder dat je awareness creeert. Laat mensen zien wat er mis kan gaan als ze hun dingen niet veilig genoeg doen. Het eerste wat je altijd hoort is "dat kan toch niet bij ons". Totdat het een keer misgaat. Dan kijkt iedereen elkaar alleen maar een beetje schaapachtig aan.

Move NT > PNS

Hehe, bij ons gaat 't hetzelfde als bij de TS Daarenboven heb ik ook helemaal geen tijd en zin om op al die dozen waar ik toegang tot heb met authorized keys en identity.pub bestanden in de weer te gaan Zaakje zit toch in een afgeschermd LAN dus ik zie het nut ook niet zo.
Ik gebruik het alleen als ik af en toe naar compleet andere netwerken moet (anders kom ik er ook niet op).
Overigens vertrouw ik m'n directe collega's volkomen (onderling doen we ook niet moeilijk met passwd's hoewel eigenlijk geen eens zó vaak gebeurd, dat rondzingen van passwd's), als dat al niet meer kan is w.m.b. het einde zoek.

Abbadon schreef op 10 July 2003 @ 17:48:
Hehe, bij ons gaat 't hetzelfde als bij de TS Daarenboven heb ik ook helemaal geen tijd en zin om op al die dozen waar ik toegang tot heb met authorized keys en identity.pub bestanden in de weer te gaan Zaakje zit toch in een afgeschermd LAN dus ik zie het nut ook niet zo.
Ik gebruik het alleen als ik af en toe naar compleet andere netwerken moet (anders kom ik er ook niet op).
Overigens vertrouw ik m'n directe collega's volkomen (onderling doen we ook niet moeilijk met passwd's hoewel eigenlijk geen eens zó vaak gebeurd, dat rondzingen van passwd's), als dat al niet meer kan is w.m.b. het einde zoek.

Hoewel de meeste mensen hun onderlinge collega's wel vertrouwen schijnt toch meer dan de helft van de (security-)incidenten intern te zijn. Ik meen dat daar op tweakers ook postings over geweest zijn. In het geval van een 'evil' collega, bewaker of wie dan kun je je LAN nog minder vertrouwen dan het Internet (verkeer onderscheppen op een LAN is bijvoorbeeld makkelijker dan op Internet).
In die redenatie is SSH/encryptie en port security natuurlijk een goed idee, illegaal inprikken/tappen van verkeer wordt dan lastig. OTOH, iemand die kwaad wil kan in deze situatie net zo goed het account + wachtwoord van zijn collega gaan misbruiken, al naar gelang de keuze van de 'evil' intruder/collega/bewaker/onderhoudsmonteur/etc. Mijn punt in deze is dat onderzoek uitwijst dat je je LAN niet kan vertrouwen (vanwege het aantal interne incidenten).

Het een maakt het ander niet onnodig, maar het is inderdaad wel een beetje zonde van alle moeite

Ik zelf maak ook beveiligingen aan die in principe voor ons eigen netwerk niet echt nuttig zijn.
Maar dat doe ik alleen om te kijken hoe het moet, en hoe het werkt. Als ik het aan de praat krijg op ons eigen netwerk weet ik ook hoe ik het moet toepassen bij een klant die het wel nodig heeft...

wat dachten jullie van een iets duurdere maar wel hele veilige en makkelijke oplossing als secure-id

http://www.identicard.com/secureids.htm

ok, ik geeft toe, het is vrij prijzig. maar het is zeker veilig en extremely easy.

ghostrdr01 schreef op 10 July 2003 @ 14:51:
Ik ben het niet eens met de meeste van jullie, het nut is er wel degelijk. Stel nu dat of 1 van de werknemers heeft er de balen van of een willekeurig iemand gaat achter een ingelogde pc zitten. Nu is het met ssh niet meer mogelijk om het verkeer van anderen te sniffen. ( Voor iedereen me begint the bashen ) ik weet dat je op een switch moet instellen dat een kaart kan sniffen maar ook een switch kan gehackt worden. Dus ik vind het helemaal niet zo verkeerd.

je praat wel over intern... iemand die gaat zitten sniffen en kraken wordt gewoon ontslagen...