Sorry, aber ich würde ein Mitloggen für einen begrenzten
Zeitraum (sagen wir mal: 24 Stunden, danach dürften Angreifer
eh eine neue IP haben) zum Schutze vor Brute-Force-Attacken
durchaus als „temporären Abwicklungszweck“ bezeichnen.
Der Abwickelungszweck ist im TMG klar festgelegt: …um die Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen.
Von Verweigern steht da nix.
Aber erst mal gilt: Wo klein Kläger, da kein Richter.
Das ist mir schon klar. Aber das kleine Beispiel hier zeigt doch wie verflucht nahe an der juristischen Grauzone 99% aller http/ssh/ftp,… Server laufen. Und in genau so einer Grauzone wildern in Deutschland einige Juristen.
Die Frage verstehe ich nicht. Jeder User verwaltet seine
eigenen
Schlüssel (unter /home//.ssh). Er muss sich zum
Generieren der
Schlüssel einmalig lokal anmelden.
Mit Passwort? Und wenn ich mir den versehentlich lösche und in den USA bin? Wie komme ich zu einem Neuen? Ist vielleicht ein wenig konstruiert aber trotzdem realistisch.
Und was, wenn systematisch nach Schwachstellen am SSH-Server
selbst gesucht wird?
Dagegen ist ohnehin kein Kraut gewachsen.
Klar aktuell halten gilt immer. Aber mit Rate-Limiting kann man das ganze zumindest erschweren. Denn wenn er nach n Lücken sucht und nach dem 3ten geblockt wird…
Ich nutze SYN cookies.
Was ja nur hilft, wenn die 10.000 Rechner nicht die Cookies zurückschicken.
Schlüssel (unter /home//.ssh). Er muss sich zum
Generieren der
Schlüssel einmalig lokal anmelden.
Mit Passwort?
Klar mit Passwort. Aber eben nicht über SSH.
Und wenn ich mir den versehentlich lösche und in
den USA bin? Wie komme ich zu einem Neuen? Ist vielleicht ein
wenig konstruiert aber trotzdem realistisch.
Nein, ist nicht realistischer, als das Vergessen von Passworten.
Und was, wenn systematisch nach Schwachstellen am SSH-Server
selbst gesucht wird?
Dagegen ist ohnehin kein Kraut gewachsen.
Klar aktuell halten gilt immer. Aber mit Rate-Limiting kann
man das ganze zumindest erschweren. Denn wenn er nach n Lücken
sucht und nach dem 3ten geblockt wird…
Schlaue Hacker brauchen nur einen Versuch, um z.B. die genutzte
Version zu erkennen und dann ohne weitere Zugriffe nach
Schwachstellen zu suchen. Außerdem spricht nichts dagegen, mehrere IP
Adressen für Tests zu verwenden.
Ich nutze SYN cookies.
Was ja nur hilft, wenn die 10.000 Rechner nicht die Cookies
zurückschicken.
Wenn es 10.000 Rechner sind, dann hilft auch Deine Methode nichts,
denn dann sind es auch 10.000 IP Adressen. Und eine generelle
Begrenzung der Übertragungsrate kann man ganz ohne Logging der IP
Adressen umsetzen.
Wenn es 10.000 Rechner sind, dann hilft auch Deine Methode
nichts,
denn dann sind es auch 10.000 IP Adressen. Und eine generelle
Begrenzung der Übertragungsrate kann man ganz ohne Logging der
IP
Adressen umsetzen.
Aber bei mir ist nach 30.000 Paketen schluss mit SSH belasten.
Sorry, aber ich würde ein Mitloggen für einen begrenzten
Zeitraum (sagen wir mal: 24 Stunden, danach dürften Angreifer
eh eine neue IP haben) zum Schutze vor Brute-Force-Attacken
durchaus als „temporären Abwicklungszweck“ bezeichnen.
Der Abwickelungszweck ist im TMG klar festgelegt: …um die
Inanspruchnahme von Telemedien zu ermöglichen und abzurechnen.
Genau.
Und um die Inanspruchnahme für Berechtigte zu ermöglichen (sicherzustellen, einen gewissen Servicelevel sicherzustellen) ist es in diesem Falle halt nötig, um übermäßige Systemlast bei Brute-Force-Atakken abzuwehren.
Unabhängig davon: Gibt es überhaupt eine eindeutige Definition von „Logging“?
Ich meine, mal angenommen, du speicherst die IPs nicht ab. Also, nicht auf Platte, nur im RAM. Wenn du die Sperre zeitlich begrenzt (Im Prinizip sollten ja schon einige Minuten vor Brute-Force-Attacken schützen) sollte ja ein lagern im RAM ausreichend sein. Wäre das auch schon Logging?
Ich meine, mal angenommen, du speicherst die IPs nicht ab.
Also, nicht auf Platte, nur im RAM. Wenn du die Sperre
zeitlich begrenzt (Im Prinizip sollten ja schon einige Minuten
vor Brute-Force-Attacken schützen) sollte ja ein lagern im RAM
ausreichend sein. Wäre das auch schon Logging?
Der Begriff „Logging“ taucht in keinem Gesetz auf, ist also hier vollkommen irrelevant. Das Ablegen der Daten im RAM fällt auf jeden Fall unter den Begriff „Speichern“, wie er im BDSG §3 Abs4 Satz1 definiert ist.
Die Frage ist eher, wer von dieser Regelung betroffen ist, d.h. wer als Anbieter von Telemedien gilt, und wer nicht. Wenn man darunter fällt, dann liegt der Ausweg in so Fällen wie der Abwehr von Brute-Force-Attacken z.B. im TMG §15 Abs1, wo es heißt, dass eine Verwendung personenbezogener Daten erlaubt ist um die „Inanspruchnahme von Telemedien zu ermöglichen“. Man kann IMO gut argumentieren, dass die Abwehr von DoS- oder Brute-Force-Attacken eine Handlung ist, die die Inanspruchnahme sicherstellt. Das zeitlich begrenze Speichern von IP-Adressen wäre demnach in diesen Fällen erlaubt.
So einfach ist das IMO nicht. Das TMG findet zunächst einmal Anwendung auf alle „Diensteanbieter“. Laut TMG §2 Abs1 „ist Diensteanbieter jede natürliche oder juristische Person, die eigene oder fremde Telemedien zur Nutzung bereithält oder den Zugang zur Nutzung vermittelt“.
Die Frage ist also ob z.B. ein SSH-Server Telemediendienste bereitstellt oder nicht. Ob du das privat machst oder nicht, spielt nach dem TMG keine Rolle.
Auch das BDSG findet Anwendung bei „Nicht-öffentlichen Stellen“ und das sind laut BDSG §2 Abs4 „natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts“.
Die Frage ist also ob z.B. ein SSH-Server Telemediendienste
bereitstellt oder nicht. Ob du das privat machst oder nicht,
spielt nach dem TMG keine Rolle.
Es spielt aber ganz klar eine Rolle, ob ich diese Dienste öffentlich anbiete. Sofern du mit deiner Argumentation darauf hinauswillst, dass z. B. ich Diensteanbieter nach TMG sei, weil mein privater Rechner unter home.schorsch.de per ssh erreichbar ist - nein bin ich nicht!
Im übrigen liegt pumpkin da sowieso falsch, wenn er meint, er dürfe abgewiesene Zugriffsversuche nicht protokollieren. Hier wird ja dem Angreifer ganz offenkundig kein Dienst bereitgestellt, sonst käme es gar nicht erst zur Abweisung.
Es spielt aber ganz klar eine Rolle, ob ich diese Dienste
öffentlich anbiete. Sofern du mit deiner Argumentation darauf
hinauswillst, dass z. B. ich Diensteanbieter nach TMG sei,
weil mein privater Rechner unter home.schorsch.de per ssh
erreichbar ist - nein bin ich nicht!
Und das begründest du woraus? Du bietest einen SSH-Dienst im Internet an, schließlich kann jeder auf dieser Welt sich zu diesem Dienst verbinden. Woraus leitest du also im Gesetz ab, dass du davon überhaupt nicht betroffen bist?
Kannst du das begründen oder hast du dazu eventuell Quellen
wie Rechtskommentare?
Ich lese das TKG so. Mit Ausnahme evtl. von Shell-Providern
ist SSH im Sinne des Gesetzes sogar gar kein Dienst, meine
ich.
Tja, das ist aber halt die Frage…
In §1 TMG heißt es ja zum Anwendungsbereich des Gesetztes:
„Dieses Gesetz gilt für alle elektronischen Informations- und Kommunikationsdienste“
Als Informationsdienst würde ich SSH jetzt nicht bezeichnen, aber ein Kommunikationsdienst könnte es schon sein. Zumindest kommuniziere ich ja per SSH z.B. mit einem internen Netzwerk. Bloß: Was versteht der Gesetzgeber unter einem Kommunikationsdienst?
Es spielt aber ganz klar eine Rolle, ob ich diese Dienste
öffentlich anbiete. Sofern du mit deiner Argumentation darauf
hinauswillst, dass z. B. ich Diensteanbieter nach TMG sei,
weil mein privater Rechner unter home.schorsch.de per ssh
erreichbar ist - nein bin ich nicht!
Und das begründest du woraus?
Aus der alterprobten Tatsache, dass keinen Haufen Äpfel bekommt, wer Birnen zusammenschmeisst.
Du bietest einen SSH-Dienst im
Internet an, schließlich kann jeder auf dieser Welt sich zu
diesem Dienst verbinden.
Es spielt aber ganz klar eine Rolle, ob ich diese Dienste
öffentlich anbiete. Sofern du mit deiner Argumentation darauf
hinauswillst, dass z. B. ich Diensteanbieter nach TMG sei,
weil mein privater Rechner unter home.schorsch.de per ssh
erreichbar ist - nein bin ich nicht!
Und das begründest du woraus?
Aus der alterprobten Tatsache, dass keinen Haufen Äpfel
bekommt, wer Birnen zusammenschmeisst.
Könntest du das stichhaltiger begründen. Eine „alterprobte Tatsache“ sowie Äpfel und Birenen sind keine juristische Begründung.
Du bietest einen SSH-Dienst im
Internet an, schließlich kann jeder auf dieser Welt sich zu
diesem Dienst verbinden.
???
Ich habe deine Aussage so verstanden:
Du betreibst an deinem, am Internet hängenden Rechner mit der IP x.x.x.x, einen SSH-Dienst auf Port y. Es kann sich also dann jedermann zu x.x.x.x:stuck_out_tongue: verbinden. Logischerweise würde mir da natürlich eine sinnvolle Username/Passwort-Kombination fehlen, um diesen Dienst letztlich richtig beanspruchen zu können, aber ich kann mich ja sehr wohl zumindest mal verbinden.
Ich habe deine Aussage so verstanden:
Du betreibst an deinem, am Internet hängenden Rechner mit der
IP x.x.x.x, einen SSH-Dienst auf Port y. Es kann sich also
dann jedermann zu x.x.x.x:stuck_out_tongue: verbinden. Logischerweise würde
mir da natürlich eine sinnvolle Username/Passwort-Kombination
fehlen, um diesen Dienst letztlich richtig beanspruchen zu
können, aber ich kann mich ja sehr wohl zumindest mal
verbinden.
Wir diskutieren übers TMG. Und dort wird im ‚§ 1 Anwendungsbereich‘ ebenjener definiert.
Sogar, wenn du von meinem Rechner mal irgendwas downloaden dürftest, sogar wenn ich keine Sperre gegen beliebige Downloads errichtete - einen Informations- oder Kommunikationsdienst betriebe ich noch lange nicht.
Ich weiss schon, was du grade überlegst. Aber gegen diese Anwandlung hilft folgende Kontrollüberlegung: Stell dir vor, ich rufe dich an. Ich frage dich, wie’s dir grad geht. Nach deiner Logik betreibst du einen Kommunikationsdienst alleine schon deswegen, weil du das Gespräch entgegengenommen hast.