Wechseln zu:Navigation, Suche
Wiki
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
Zeile 70: Zeile 70:
Um per ssh-public-key eine Authentifizierung ohne Passwort über eine SSH-Konsole durchzuführen sind folgende Schritte notwendig:<br>
Um per ssh-public-key eine Authentifizierung ohne Passwort über eine SSH-Konsole durchzuführen sind folgende Schritte notwendig:<br>
====Erstellen eines SSH-RSA Schlüsselpaares====
====Erstellen eines SSH-RSA Schlüsselpaares====
Dieses kann auf einem Windowssystem mit einem Zusatzprogramm wie z.B. "puttygen" generiert werden. Auf einem Linux/Unix System steht das Tool "ssh-keygen" zur Verfügung, welches mit der Option "ssh-keygen -t rsa" ausgeführt wird.
[[Datei:Putty_KG_NewKey.png|250px|thumb|right|Schlüsselpaar Generieren]]
Dieses kann auf einem Windowssystem mit einem Zusatzprogramm wie z.B. "puttygen" generiert werden.  
 
 
 
 
Auf einem Linux/Unix System steht das Tool "ssh-keygen" zur Verfügung, welches mit der Option "ssh-keygen -t rsa" ausgeführt wird.
====Den öffentlichen Schlüssel auf die UTM übertragen====
====Den öffentlichen Schlüssel auf die UTM übertragen====
Das Schlüsselpaar befindet sich nach der Erstellung mit "puttygen" standardmässig im Download-Verzeichnis des Windowssystem und bei Linux/Unix im Benutzerverzeichniss unter /home/benutzer/.ssh/ .<br>
Das Schlüsselpaar befindet sich nach der Erstellung mit "puttygen" standardmässig im Download-Verzeichnis des Windowssystem und bei Linux/Unix im Benutzerverzeichniss unter /home/benutzer/.ssh/ .<br>
Der public-key muss das Format haben: "ssh-rsa <public-key>". Da zwischen "ssh-rsa" und dem Key ein leerzeichen ist, muss der gesamte Inhalt in Anführungszeichen gesetzt werden. In der Linuxdatei "id_rsa.pub" ist dieses schon so eingerichtet, in der Puttygen-Datei muss dieses noch angepasst werden. Weiterhin muss darauf geachtet werden, dass die Zeilenumbrüche des Public-Key entfernt werden.<br>
Der public-key muss das Format haben: "ssh-rsa <public-key>". Da zwischen "ssh-rsa" und dem Key ein leerzeichen ist, muss der gesamte Inhalt in Anführungszeichen gesetzt werden. In der Linuxdatei "id_rsa.pub" ist dieses schon so eingerichtet, in der Puttygen-Datei muss dieses noch angepasst werden. Weiterhin muss darauf geachtet werden, dass die Zeilenumbrüche des Public-Key entfernt werden.<br>
Am besten sollte auch der optionale Eintrag des Benutzers in Form "Benutzer@Rechner" angefügt werden. Dieses sieht dann insgesamt folgendermassen aus:  
Weiterhin sollte auch der optionale Eintrag des Benutzers in Form "Benutzer@Rechner" angefügt werden. Dieses sieht dann insgesamt folgendermassen aus:  
  "ssh-rsa AAAAB3NzaC1....93stGrJPeQ== dirk.gnass@securepoint.de"
  "ssh-rsa AAAAB3NzaC1....93stGrJPeQ== dirk.gnass@securepoint.de"
Über eine SSH-Konsole kann dann mit dem CLI Kommando  
Über eine SSH-Konsole kann dann mit dem CLI Kommando  
Zeile 87: Zeile 93:
Um sich über eine SSH-Konsole per Public-Key Authentifizieren zu können, muss dieses aktiviert werden. Das entsprechende Kommando lautet:
Um sich über eine SSH-Konsole per Public-Key Authentifizieren zu können, muss dieses aktiviert werden. Das entsprechende Kommando lautet:
  extc global set variable "GLOB_SSH_PUBKEY_AUTH" value 1
  extc global set variable "GLOB_SSH_PUBKEY_AUTH" value 1
Abschließend erfolgt noch eine aktualisierung des UTM-Systems mit dem Kommando
Abschließend erfolgt noch eine Aktualisierung des UTM-Systems mit dem Kommando
  system update system
  system update system


[[Datei:Putty_Keyfile.png|250px|thumb|right|Privaten Schlüssel zu einem Putty Profil hinzufügen]]
[[Datei:Putty_root_login.png|250px|thumb|right|Putty Profil]]
Unter Putty muss nun noch die Datei mit dem Privaten Schlüssel im Menü ''Category'' -> ''Connection'' -> ''SSH'' -> ''Auth'' hinzugefügt werden und im Feld Host Name wird der Benutzer mit übergeben im Format root@<IP-Adresse>.<br>
Unter Putty muss nun noch die Datei mit dem Privaten Schlüssel im Menü ''Category'' -> ''Connection'' -> ''SSH'' -> ''Auth'' hinzugefügt werden und im Feld Host Name wird der Benutzer mit übergeben im Format root@<IP-Adresse>.<br>
Mit dem SSH-Client unter Linux genügt das Kommando ssh root@<IP-Adresse> da hier der Key an einer definierten Stelle im System abgelegt ist.
Mit dem SSH-Client unter Linux genügt das Kommando ssh root@<IP-Adresse> da hier der Key an einer definierten Stelle im System abgelegt ist.

Version vom 19. Oktober 2015, 15:43 Uhr

Vorlage:V11.6

Unter diesem Menüpunkt kann der SSH Zugang zur UTM in drei fest definierten und einer Benutzerdefinierten Sicherheitsstufe gehärtet werden.

Einstellungen

Sicherheitsstufen:
Mittel: Standardeinstellungen der UTM, Root Login ist immer aktiv
Hoch: Längere Host Keys, keine potentiell unsicheren Hash-Algorithmen, kein Root Login
Sehr hoch: Extrem eingeschränkte Liste von Hash-Algorithmen, Verschlüsselungen und Schlüsselaustausch-Algorithmen, kein Root Login
Benutzerdefiniert: Der Benutzer definiert seine Liste von Hash-Algorithmen, Verschlüsselungen und Schlüsselaustausch-Algorithmen, Root Login aktivierbar
Einstellungen

Erlaubte nichtauthentifizierte Verbindungen:
Menge an gleichzeitig aufgebauten Verbindungen die noch nicht authentifiziert sind

Anteil der verworfenen nichtauthentifizierten Verbindungen:
Prozentualer Anteil der Verbindungen die über den erlaubten unauthentifizierten verworfen werden

Maximale nichtauthentifizierte Verbindungen:
Menge an gleichzeitigen Verbindungen, ab denen alle unauthentifizierten verworfen werden

Login Zeit:
Zeit in Sekunden, die für die Authentifizierung zur Verfügung steht

Benutzerdefinierte Einstellungen

Einstellungen

HMAC-Liste:
Liste der zugelassenen Keyed-Hash Message Authentication Code Hash-Algorithmen.

Cipher-Suite:
Legt fest, welche Verschlüsselungen für SSH zugelassen werden.

KEX-Algorithmus:
Nur die hier angegeben Schlüsselaustausch-Algorithmen dürfen verwendet werden.

Root-Zugriff

Root-Zugriff erlauben: muss im Custom Modus aktiviert sein um mit dem Benutzer Root administrieren zu können.

Kein Root Zugriff im Modus "hoch" und "sehr hoch"
Wenn Root Zugriff in den Sicherheitsstufen "Hoch" und "Sehr hoch" gewünscht ist, können die Listen aus diesen Modi im Modus "Benutzerdefiniert" hineinkopiert und Root aktiviert werden.

Hoch
HMAC-Liste: hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com
Cipher-Suite: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
KEX-Algorithmus: curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
Sehr hoch
HMAC-Liste: hmac-sha2-256-etm@openssh.com
Cipher-Suite: chacha20-poly1305@openssh.com
KEX-Algorithmus: curve25519-sha256@libssh.org


Root Zugriff per Public-Key

Um per ssh-public-key eine Authentifizierung ohne Passwort über eine SSH-Konsole durchzuführen sind folgende Schritte notwendig:

Erstellen eines SSH-RSA Schlüsselpaares

Schlüsselpaar Generieren

Dieses kann auf einem Windowssystem mit einem Zusatzprogramm wie z.B. "puttygen" generiert werden.



Auf einem Linux/Unix System steht das Tool "ssh-keygen" zur Verfügung, welches mit der Option "ssh-keygen -t rsa" ausgeführt wird.

Den öffentlichen Schlüssel auf die UTM übertragen

Das Schlüsselpaar befindet sich nach der Erstellung mit "puttygen" standardmässig im Download-Verzeichnis des Windowssystem und bei Linux/Unix im Benutzerverzeichniss unter /home/benutzer/.ssh/ .
Der public-key muss das Format haben: "ssh-rsa <public-key>". Da zwischen "ssh-rsa" und dem Key ein leerzeichen ist, muss der gesamte Inhalt in Anführungszeichen gesetzt werden. In der Linuxdatei "id_rsa.pub" ist dieses schon so eingerichtet, in der Puttygen-Datei muss dieses noch angepasst werden. Weiterhin muss darauf geachtet werden, dass die Zeilenumbrüche des Public-Key entfernt werden.
Weiterhin sollte auch der optionale Eintrag des Benutzers in Form "Benutzer@Rechner" angefügt werden. Dieses sieht dann insgesamt folgendermassen aus:

"ssh-rsa AAAAB3NzaC1....93stGrJPeQ== dirk.gnass@securepoint.de"

Über eine SSH-Konsole kann dann mit dem CLI Kommando

system ssh pubkey new key "ssh-rsa AAAAB3NzaC1....93stGrJPeQ== dirk.gnass@securepoint.de"

dieser Schlüssel hinzugefügt.
Um diesen zu aktivieren folgt das Kommando

system ssh pubkey enable id 1

Die ID dieses Key kann über das Kommando

system ssh pubkey get

abgefragt werden.

Authentifizierung per Public-Key aktivieren

Um sich über eine SSH-Konsole per Public-Key Authentifizieren zu können, muss dieses aktiviert werden. Das entsprechende Kommando lautet:

extc global set variable "GLOB_SSH_PUBKEY_AUTH" value 1

Abschließend erfolgt noch eine Aktualisierung des UTM-Systems mit dem Kommando

system update system
Privaten Schlüssel zu einem Putty Profil hinzufügen
Putty Profil

Unter Putty muss nun noch die Datei mit dem Privaten Schlüssel im Menü Category -> Connection -> SSH -> Auth hinzugefügt werden und im Feld Host Name wird der Benutzer mit übergeben im Format root@<IP-Adresse>.
Mit dem SSH-Client unter Linux genügt das Kommando ssh root@<IP-Adresse> da hier der Key an einer definierten Stelle im System abgelegt ist.

UMA20 AHB hinweispic.png

Achtung!
Mit Putty kann im Modus "hoch" und "sehr hoch" keine SSH Sitzung geöffnet werden. Die dort geforderten Key-Exchange Algorithmen werden von Putty nicht unterstützt.