Skip to content

ssh_scan – Sicherheits- und Konfigurationsscanner für SSH Einstellungen

Mit SSH Audit hatte ich bereits vor einiger Zeit ein Tool im Programm, welches SSH auf Einstellungen und Konfiguration testet (Artikel).

Mozilla hat mit ssh_scan ein ähnliches Tool im Portfolio. Das Tool bezieht sich auf die eigenen SSH Guidelines und prüft hinterlegte Ciphers, MACs, und Kex Algorithmen.

Laut eigener Aussage zählt zu den Vorteilen des Tools die einfache Installation ohne allzu viele Abhängigkeiten. Das Programm ist portabel, lässt sich mit eigenen Regeln konfigurieren und wirft am Ende einen Report im JSON Format aus.

Zunächst muss ssh_scan aber erst einmal den Weg auf die Festplatte finden.

Installation unter Ubuntu 16.04 LTS

Für die Installation steht neben einem ssh_scan gem Paket auch ein Docker Container zur Verfügung.

sudo apt-get install ruby gem
sudo gem install ssh_scan

oder via Docker

docker pull mozilla/ssh_scan
docker run -it mozilla/ssh_scan /app/bin/ssh_scan -t example.com

oder froM Source

git clone https://github.com/mozilla/ssh_scan.git
cd ssh_scan

gem install bundler
bundle install

./bin/ssh_scan

SSH Scan im Einsatz

Die SSH-Prüf-Anwendung ist denkbar einfach zu bedienen, es lassen sich einzelne Host scannen, ganze Ranges oder weitere Parameter angeben.

Eine IP scannen

ssh_scan -t ip-addresse

Mehrere IPs scannen

ssh_scan -t ip-addresse1,ip-addresse2,ip-addresse3

ssh_scan

Adressen aus einer Datei scannen

ssh_scan -f ip-addressen.txt

IP Adressen mit bestimmten Port scannen

ssh_scan -t ip-addresse -p 666

Eigene Policy verwenden

ssh_scan -P intermediate -t ip-addresse

In den Standardeinstellungen wird die Mozilla Modern Policy als Prüfvorlage verwendet. Es lässt sich aber mit der oben erwähnten Option P auch auf Intermediate oder andere Richtlinien prüfen.

Hier als Beispiel die Intermediate Richtlinie:


cat intermediate

# Host keys the client accepts - order here is honored by OpenSSH
HostKeyAlgorithms ssh-ed25519-cert-v01@openssh.com,ssh-rsa-cert-v01@openssh.com,ssh-ed25519,ssh-rsa,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521,ecdsa-sha2-nistp384,ecdsa-sha2-nistp256

Alle SSH_scan Befehle lassen sich über die Hilfe einsehen

ssh_scan -h

 

Fazit

Mozilla bietet mit ssh_scan eine praktische Methode um SSH Einstellungen zu prüfen und zu härten. Dank eigener Policies und vieler weiterer Optionen, wie Reports würde ich das Tool vorziehen, alleine weil das eingangs erwähnte SSH-Audit seit 2016 nicht mehr aktualisiert wurde.

Allerdings empfinde ich die Masse an Paketen, welche mit ruby gem auf dem System landen nicht unerheblich, da ist ein einfaches Python Script schon handlicher. 
Zusätzlich setzt ssh_scan wohl weiterhin auf NIST Kurven wie ecdh-sha2-nistp521,ecdh-sha2-nistp384 und ecdh-sha2-nistp256 welchen ich eher kritisch gegenüber stehe.

Schlussendlich sollte bei solchen Tests immer das Ergebnis genau hinterfragt werden. Das Prüfen von SSH Konfigurationen vereinfachen beide Programme dennoch merklich.

 

ssh_scan

Wichtiges Update für Kodi (17.3) und LibreELEC (8.0.3) sofort einspielen

Durch die Samba Server Lücke, welche im Zuge von WannaCry auch auf Linux Systemen entdeckt wurde (Artikel), ist es zwingend nötig eure Mediensystem auf einen aktuellen Stand zu bringen. Besonders, da bereits ein Exploit im Umlauf ist, sollte alles auf Vordermann gebracht werden.

 

Update LibreELEC

LibreELEC wurde zwar ohne den wohl benötigen Drucker Support kompiliert, hat aber dennoch das Update (Krypton) v8.0.3 MR bereits integriert.

libre-ellec-update

Ein Update lässt sich entweder direkt via Oberfläche installieren oder ihr kopiert die aktuelle Version in den Update Ordner im Dateisystem (/storage/.update).

Nach einem Reboot erkennt das System automatisch die geänderte Version und installiert diese.

 

Download LibreELEC

Update Kodi

Die aktuelle Kodi Version findet ihr hier. In Libre ELEC ist diese bereits integriert

Download LibreELEC

Update OpenELEC

Für OpenELEC steht momentan kein Update zur Verfügung. Das System wird noch mit Samba 4.6.3 betrieben, es ist also Vorsicht geboten.

Update Security Distributionen – Kali Linux mit OpenVAS 9 und Parrot Security 3.6

Nach kurzer Pause möchte ich den Betrieb hier langsam wieder etwas anfahren. Ich hoffe ihr habt die Auszeit nicht bemerkt.

Kali Linux 2017-1 - OpenVAS 9, KLCP und neue Treiber

Durch die Pause hat sich bei den forensischen Distributionen etwas getan. 

So wurde Ende April eine neues Kali Rolling-Release veröffentlicht. Die Entwickler haben einen speziellen WLAN Treiber für RTL8812AU Karten mitgeliefert, welcher Injections erlaubt.

Der Treiber muss jedoch extra installiert werden

apt-get install realtek-rtl88xxau-dkms

Zusätzlich unterstützt Kali nun die Cloud in Form von AWS (Amazon) und Azure (Microsoft) in Verbindung mit CUDA GPU cracking (Details)

Netterweise wurde auch das frische OpenVAS 9 Paket in das Release mit aufgenommen und lässt sich einfach installieren (Ein ausführliche Installationsanleitung für Version 8 hatten wir bei ITrig bereits)

apt-get install openvas

 

Kali_Linux

 

Neben den technischen Neuerungen wurde für Juli ein Buch "Kali Linux Revealed" angekündigt.

Ebenso für Leseratten und Lernwillige wurde die Kalizertifizierung "Kali Linux Professional Certification (KLCP)" vorgestellt.
Weitere Infos sind hier zu finden.

Ein Update auf die neueste Kali Version ist mit einem Dist Upgrade schnell erledigt

apt-get update
apt-get dist-upgrade
reboot

Kali

Parrot Security 3.6

Nach ein paar Monaten Entwicklungszeit wurde ebenfalls eine neue Version 3.6 von Parrot Sec veröffentlicht.

parrot

Hier haben die größten Änderungen unter Haube stattgefunden, um das bestehende System zur verschlanken und die Performance zu verbessern. So wurde hauptsächlich an der Lite und der Studio Version getüftelt.

Schon ein paar Tage länger verfügbar ist Parrot AIR, diese Veröffentlichung ist speziell für drahtlose Geräte ausgelegt, aber bist jetzt nur ein Proof of Concept.

Parrot


Übersicht forensische Distributionen 05/17

 

Name Version Tools Besonderes Basis GUI
Autopsy 4.0 ??? The Sleuth Kit Windows  
BackBox 4.7 70+ eigenes Repo Ubuntu Xfce
BackTrack 5 300+ out of date Ubuntu Gnome
BlackArchLinux 2017-03 1700+ ArchLinux ArchLinux Gnome
CaINE 5 100+ WinUFO Ubuntu Mate
DracOS 2.1 100+ CLI LFS DWM
DEFT Zero 250+ Dart2 Lubuntu 14.04 Lxde
Kali Linux 2017.1 300+ ARM fähig Debian Multi
LionSec 5.0 ???   Ubuntu  
Matriux v3 RC1 300+ out of date Debian Gnome
NST 24 ??? Server integriert Fedora  
NetSecLOS 6.0 50+   OpenSuse Lxde
Paladin 6.0 30+   Ubuntu  
Parrot Security 3.6 700+ Cloud fähig Debian Jessie MATE
Pentoo 2015.0 RC5 ??? 64bit Gentoo Xfce
Ronin   150+ out of date Lubuntu Lxde
Sans SIFT 3.0 20+   Ubuntu  

Sicherheitsupdates - DEFT Zero, Parrot Security und BlackArch Linux mit neuen Versionen

DEFT Zero 2017.01

Nach einiger Zeit gibt es Neuigkeiten von DEFT. Das Digital Evidence & Forensics Toolkit kommt mit der Zero Version in einer etwas schmaleren Variante daher und hat nur eine Größe von 400 MB.

DEFT-Zero

Zero, basierend auf Lubuntu 14.04.02 LTS, kann direkt in den RAM geladen werden oder alternativ im Text oder GUI Modus starten.

Es unterstützt 32-bit und 64-bit Hardware mit Secure Boot und UEFI.

Interessant ist der Support von NVMExpress Speicher und eMMC (MacBook).

Die volle DEFT Version wird weiterhin parallel entwickelt.

Weitere Infos

Download DEFT


BlackArch Linux 2017.03

Die Jungs vom BlackArch Linux haben ebenfalls eine neue Version mit 50 neuen Tools veröffentlicht. Die auf Arch Linux basierende Distribution für Penetration-Tester und diejenigen die es werden wollen hat nun laut eigenen Angaben über 1700 Tools an Bord.

BlackArch-Linux

Das neue Release wurde auf den Kernel 4.9.11 aktualisiert und hat einen verbesserten Installer erhalten.

Download Black Arch


Parrot Security 3.5

Der "Sicherheits-Papagei" wurde auf den Debian Kernel 4.9.13 aktualisiert und hat Gast Support für Virtualbox und VMware erhalten.

Firefox 45 ESR wurde entfernt und durch die fast aktuelle Version 51 ersetzt.

Parrot-Security

Außerdem wurde CUPS integriert, somit beherrscht das Debian System nun auch das Drucken.

Ein Cinnamon Support ist bereits vorhanden, aber noch experimentell und somit mit Vorsicht zu genießen.

Vorhandene Security Tools wurden selbstverständlich ebenfalls aktualisiert.

Der komplette Changelog ist hier zu finden.

Download Parrot


Übersicht forensische Distributionen 03/17

 

Name Version Tools Besonderes Basis GUI
Autopsy 4.0 ??? The Sleuth Kit Windows  
BackBox 4.7 70+ eigenes Repo Ubuntu Xfce
BackTrack 5 300+ out of date Ubuntu Gnome
BlackArchLinux 2017-03 1700+ ArchLinux ArchLinux Gnome
CaINE 5 100+ WinUFO Ubuntu Mate
DracOS 2.1 100+ CLI LFS DWM
DEFT Zero 250+ Dart2 Lubuntu 14.04 Lxde
Kali Linux 2016.2 300+ ARM fähig Debian Multi
LionSec 5.0 ???   Ubuntu  
Matriux v3 RC1 300+ out of date Debian Gnome
NST 24 ??? Server integriert Fedora  
NetSecLOS 6.0 50+   OpenSuse Lxde
Paladin 6.0 30+   Ubuntu  
Parrot Security 3.5 700+ Cloud fähig Debian Jessie MATE
Pentoo 2015.0 RC5 ??? 64bit Gentoo Xfce
Ronin   150+ out of date Lubuntu Lxde
Sans SIFT 3.0 20+   Ubuntu  

Installation DracOS 2.1, sowie Neues von Parrot Security OS und BlackArch Linux

Gegen Ende letzten Jahres gab es noch ein paar Änderungen an der Security Distributionen Front. Aber zunächst möchte ich ein neues Security OS vorstellen. 

DracOS 2.1 - Leak

Neu im Sicherheitsbunde ist ein indonesisches Security OS. 

DracOS ist ein Penetration OS, welches auf Linux from Scratch aufbaut. Der regelmäßige Leser erinnert sich vielleicht daran (Artikel).
Es verwendet die Kommandozeile in Verbindung mit den Dynamic Windows Manager. Das heißt ihr solltet fit auf der CLI sein, wenn ihr die Distribution verwendet oder es eben werden.

In der aktuellen Version 2 gibt es noch keinen Paketmanager, dieser soll aber folgen.
Wie bei anderen Distribution sind jede Menge Tools zur Informationsgewinnung, Sicherheitslückenfindung oder Malware Analyse vorinstalliert.

Details zu allen Programmen lassen sich hier finden. DracOS Codename "Leak" wurde bereits im Oktober 2016 veröffentlicht und wird stets weiter entwickelt.

 

Installation Dracos 2.1

Die Installation erfolgt über git und den Installer DRACER oder ganz normal via ISO Datei

sudo apt-get install squashfs-tools rsync
git clone https://github.com/Screetsec/super-dracos
cd super-dracos
sudo chmod +x DracosInstaller.sh
sudo ./DracosInstaller

[02]  CREATE PARTITION WITH FDISK
[03]  START INSTALL DRACOS

dracos-dracer

Ich habe eine Installation zu Testzwecken via ISO realisiert, diese ist einfach via VirtualBox oder VMware möglich.

Erste Schritte mit DracOS

Nach einer Installation via VirtualBox muss zunächst ein Login erfolgen.
Hierzu wird der Login "root" und das Passwort "toor" eingegeben.

Danach wird schlicht das Terminal angezeigt, für den Start der GUI muss "startx" eingegeben werden.

Auch nach dem Start der Oberfläche ist weiterhin die Tastatur das Hauptbewegungsmittel, da es sich bei DracOS wie schon erwähnt um eine CLI Steuerung handelt.

Wichtige Tastatur Shortcuts für die Bedienung sind

Menü öffnen windows + shift + d
Browser öffnen windows + shift + l
Screenshot printscreen
Terminal öffnen windows + shift + enter
Dateimanager öffnen windows + shift + c
Fenster verschieben windows + left click
Fenstergröße anpassen windows + right click

Zusätzlich dazu kann auch das Fenster Layout geändert werden

Null windows + f
Monocle windows  + m
Tile windows + t
Apples Grid windows + g


Fazit

DracOS bringt frischen Wind in die Security OS Szene, mit seinem LFS Ansatz ist es eine gelungene Abwechslung zu herkömmlichen Distributionen. Tools sind zahlreich vorhanden und das OS benötigt nicht viele Ressourcen.

DracOS



Parrot Security OS 3.3

Das bereits vor zwei Monaten vorgestellte Sicherheits OS Parrot Security wurde in Version 3.3 veröffentlicht.

Parrot-SecurityDie größten Änderungen der neuen Version dürfte der Wechsel zum Kernel 4.8, GCC 6.2 und PHP7 darstellen.
Des weiteren wurden fast alle der integrierten Security Tools aktualisiert.

 

Parrot Sec




BlackArch Linux 2016.12.29

Ebenfalls kurz vor Weihnachten wurde die neueste Version von BlackArch veröffentlicht.

Die auf ArchLinux basierende Distribution, mit stolzen 6.3 GB an Daten, wurde im Zuge des Rolling Releases auf 2016.12.29 aktualisiert.

BlackArch-Linux

Auch hier wurde der Kernel auf 4.8.13 aktualisiert, sowie viele Programme. Laut Changelog sind über 100 neue Tool hinzugekommen.

BlackArch bietet nun auch eine offizielle Unterstützung für VirtualBox und VMware, hierzu wird nun ein OVA Image bereitgestellt.

Black Arch




Fehlt nur noch der Überblick

Gesamtübersicht der bereits erwähnten Security Systeme

Name Version Tools Besonderes Basis GUI
Autopsy 4.0 ??? The Sleuth Kit Windows  
BackBox 4.7 70+ eigenes Repo Ubuntu Xfce
BackTrack 5 300+ out of date Ubuntu Gnome
BlackArchLinux 2016.12.29 1500+ ArchLinux ArchLinux Gnome
CaINE 5 100+ WinUFO Ubuntu Mate
DracOS 2.1 100+ CLI LFS DWM
DEFT Zero RC1 250+ Dart2 Lubuntu Lxde
Kali Linux 2016.2 300+ ARM fähig Debian Multi
LionSec 5.0 ???   Ubuntu  
Matriux v3 RC1 300+ out of date Debian Gnome
NST 24 ??? Server integriert Fedora  
NetSecLOS 6.0 50+   OpenSuse Lxde
Paladin 6.0 30+   Ubuntu  
Parrot Security 3.3 700+ Cloud fähig Debian Jessie MATE
Pentoo 2015.0 RC5 ??? 64bit Gentoo Xfce
Ronin   150+ out of date Lubuntu Lxde
Sans SIFT 3.0 20+   Ubuntu