SSH – Schlüsselverwaltung und Best Practices

Secure Socket Shell (SSH), der Einfachheit halber auch als Secure Shell bekannt, ist ein beliebtes Protokoll, das auf dem Prinzip der Public Key KryptographieSie werden primär zur Sicherung privater Transaktionen eingesetzt und dienen der Authentifizierung sowohl serverseitig als auch clientseitig. Wichtig ist, dass Secure Shell (SSH) zur Verschlüsselung der Datenübertragung zwischen einem entfernten System und dem System verwendet wird. Einige typische Anwendungsfälle für diese Art von Verschlüsselung sind: Geheimschrift Dazu gehören Dateiübertragungen von System zu System, Remote-Anmeldungen bei Computersystemen und automatisierter Serverzugriff ohne manuelle Anmeldung.

Einer der größten Vorteile von SSH-Schlüsseln ist ihre Widerstandsfähigkeit gegen Cyber-Exploits, wie z. B. Brute-Force-Angriffe, da Passwörter bei der Transaktion nicht über das Internet offengelegt werden müssen. Es bietet außerdem die meisten Schlüsselfunktionen von PKI und funktioniert grundsätzlich nach dem Prinzip öffentlich-privater Schlüsselpaare.

Für Laien mögen SSH-Schlüssel und die auf X.509-Zertifikaten basierende Authentifizierung (die ebenfalls öffentliche und private Schlüssel beinhaltet) ähnlich erscheinen, aber in Wahrheit könnten sie unterschiedlicher nicht sein.

SSH-Schlüssel vs. X.509-Zertifikate – Die wichtigsten Unterschiede

Während X.509-Zertifikate bauen auf digitale Zertifikate und ausstellenden Stellen (Zertifizierungsstellen) zum Signieren privater Schlüssel. SSH-Schlüssel unterliegen keiner institutionellen Kontrolle. Sie werden innerhalb von Transaktionspartnern und Organisationen erstellt, verbreitet und verwendet und können ohne externe Eingriffe verwaltet werden.

Abgesehen davon verfügen sie auch über Funktionen, die ihre Gegenstücke nicht haben – die Möglichkeit, Fernzugriff auf Systeme zu ermöglichen. Auf der anderen Seite, TLS Zertifikate können diese Funktionalität nicht von sich aus bieten, es sei denn, sie werden zusammen mit anderen Protokollen wie FTP eingesetzt.

Risiken im Zusammenhang mit SSH-Schlüsseln

Das Fehlen einer zentralen Kontrollinstanz stellt eine erhebliche Herausforderung für die Verwaltung von SSH-Schlüsseln dar – es mangelt an Organisation. SSH-Schlüssel werden bedarfsorientiert generiert, und wenn die Vergabe dieser Schlüssel unstrukturiert erfolgt, ist eine unkontrollierte Schlüsselflut vorprogrammiert. Das bedeutet, dass Schlüssel verworfen werden, sobald sie als nutzlos oder unsicher eingestuft werden. Da große Organisationen Hunderttausende von SSH-Schlüsseln speichern können, ist es aufgrund fehlender Bestandsverwaltung schwierig, den Überblick zu behalten. Ihre Präsenz auf dem Server bietet potenziellen Hackern jedoch die Möglichkeit, sie als Hintertüren zu nutzen, die dann für Datenspionage, Diebstahl oder Sicherheitslücken missbraucht werden können.

Die Schlüsselrotation, eine weitere wichtige Funktion, wird von Administratoren oft ignoriert. Ein veralteter Schlüssel stellt eine Schwachstelle für böswillige Akteure dar und kann wiederum missbraucht werden, um Netzwerkressourcen auszunutzen.

Bewährte Methoden zur SSH-Schlüsselverwaltung

Wenn Sie keine organisatorischen Richtlinien für den Umgang mit SSH-Schlüsseln haben, sollten Sie diese jetzt einführen. Die Durchsetzung strenger Richtlinien, die Durchführung von Audits sowie die vollständige Kontrolle und Transparenz der SSH-Schlüsselinfrastruktur können die Cybersicherheit Ihres Unternehmens erheblich verbessern. Auch die Automatisierung der Verwaltung ist hierfür eine hervorragende Möglichkeit – es gibt Tools, die den gesamten Lebenszyklus von SSH-Schlüsseln aktiv verwalten und automatisieren. In der Zwischenzeit finden Sie hier einige Best Practices, die Sie sofort umsetzen können, um Ihre Cybersicherheit zu verbessern.

Vollständige Transparenz erlangen

Nur wenn Sie die Schlüssel in Ihrem System finden und lokalisieren, können Sie sie angemessen schützen. Führen Sie regelmäßig Scans Ihres Netzwerks mit einem geeigneten Tool durch, um alle SSH-Schlüssel zu finden und zu inventarisieren. Ordnen Sie diese anschließend den zugehörigen Endpunkten zu und versehen Sie sie mit allen Informationen, die ein Administrator für die Verwaltung benötigt, wie z. B. Passwörter.

Schlüssel regelmäßig rotieren

Veraltete SSH-Schlüssel bieten Hackern eine ideale Gelegenheit, Passwörter zu knacken und in den Server einzudringen. Legen Sie eine Richtlinie fest, die die regelmäßige Generierung, Neucodierung und Rotation von SSH-Schlüsseln vorschreibt und alle Beteiligten rechtzeitig darüber informiert. Passwörter dürfen nicht wiederverwendet werden; verwenden Sie jedes Mal neue Zugangsdaten. Die Automatisierung dieses Prozesses kann in großen Organisationen viele Arbeitsstunden und erhebliche Betriebskosten einsparen.

Durchsetzung von Audits und Richtlinien

Erstellen Sie unternehmensweite Richtlinien und stellen Sie sicher, dass sich das Betriebs-/IT-Personal daran hält – beispielsweise Richtlinien zur regelmäßigen Schlüsselrotation. Nutzen Sie außerdem großzügig Audit-Trails mit spezieller Software gemäß den Branchenvorschriften, um die Verwendung, Wiederverwendung und Anwendung aller Ihrer SSH-Schlüssel im Auge zu behalten.

Erstellen rollenbasierter Berechtigungen

Verbieten Sie allen Mitarbeitern Ihres Teams den Zugriff auf und die Änderung von SSH-Schlüsseln oder deren Zugangsdaten. Nutzen Sie Verzeichnisdienste, um jeder Benutzerkategorie unterschiedliche Berechtigungsstufen zuzuweisen, um eine unkontrollierte Verwaltung zu verhindern und eine lückenlose Protokollierung zu gewährleisten.

Vermeiden Sie die Verwendung von fest codierten Schlüsseln

Wenn SSH-Schlüssel in Softwareanwendungen integriert oder mit diesen verpackt werden, stellen sie eine gefährliche Sicherheitslücke dar. Warum? Da sie durch Passphrasen geschützt sind, kann ein leichtfertig ausgestellter SSH-Schlüssel mit einer schwachen Passphrase die Schwachstelle einer Anwendung sein, die Hacker ausnutzen und so die Integrität der gesamten Anwendung gefährden können. Stellen Sie daher sicher, dass SSH-Schlüssel zentral über ein dediziertes Managementsystem verwaltet werden.

Wenn Sie professionelle Unterstützung bei der Einrichtung eines skalierbaren SSH wünschen Schlüsselverwaltung System, kontaktieren Sie uns gerne unter www.encryptionconsulting.comUm die Funktionen eines Tools zur Verwaltung und Automatisierung des SSH-Schlüssellebenszyklus kennenzulernen und zu erfahren, wie es sich in Ihre IT-Prozesse integrieren lässt, besuchen Sie https://www.appviewx.com/products/cert/