Skip to main content

SSH-Schlüssel

Ein SSH-Schlüssel ist eine Zugangsberechtigung zu SSH-Netzwerkprotokollen. Diese ermöglichen Ihnen den Zugang zu einer verschlüsselten Verbindung zwischen Systemen. Sie können diese Verbindung nutzen, um das entfernte System zu verwalten.

SSH-Schlüssel authentifizieren die Verbindung, um einen sicheren Zugriff auf den Server mit verschiedenen Authentifizierungsmethoden zu gewährleisten.

Der Discovery-Sensor durchsucht Ihr Netzwerk (standardmäßig SSH-aktivierter Port 22) nach SSH-Schlüsseln, die auf Ihrem Server konfiguriert sind.

Discover-SSH-Schlüssel

Um die auf Ihrem Server konfigurierten SSH-Schlüssel zu ermitteln, müssen Sie einen Scan erstellen und ausführen.

  1. Wählen Sie in Ihrem CertCentral-Konto Discovery > Discovery verwalten.

  2. Wählen Sie auf der Seite Scans verwalten die Option Scan hinzufügen.

  3. Stellen Sie auf der Seite Einen Scan hinzufügen im Abschnitt Einen Scan einrichten die erforderlichen Informationen ein, um den Scan einzurichten. Wählen Sie dann Weiter.

  4. Wählen Sie im Abschnitt Scaneinstellungen unter Einstellungen > Scanoptionen die Option Wählen Sie, was gescannt werden soll > SSH-Schlüsselerkennung aktivieren aus.

  5. Wählen Sie Speichern und Ausführen.

Ergebnisse der Scans nach Schlüsseln anzeigen

  1. Wählen Sie in Ihrem CertCentral-Konto Discovery > Ergebnisse anzeigen.

  2. Verwenden Sie auf der Seite Ergebnisse auf der Registerkarte Schlüssel den Filter Scan-Name, um die mit dem Scan verbundenen Schlüssel zu identifizieren.

  3. Wählen Sie den Namen, um die Details des Schlüssels anzuzeigen.

Die folgenden Informationen über die gefundenen Schlüssel sind verfügbar:

Feld

Beschreibung

Name

„Name“ gibt den Fingerabdruck des Schlüssels an. Der „SSH-Schlüssel-Fingerabdruck“ wird aus dem Hashing des öffentlichen Schlüssels unter Verwendung verschiedener Hash-Algorithmen wie SHA, ECDSA usw. erzeugt.

Algorithmus

Algorithmus, der zum Hashing des SSH-Schlüssels verwendet wird, und die Größe (oder Länge) des SSH-Schlüssels in Bits.

Authentifizierungsmethoden

Methoden zur Authentifizierung der auf Ihrem Server konfigurierten SSH-Schlüssel.

Erstmals erkannt

Zeigt das Datum an, an dem der Schlüssel zum ersten Mal erkannt wurde.

Rotationslimit

Der von den Organisationen festgelegte Zeitrahmen, in dem der Schlüssel durch einen neuen Schlüssel ersetzt werden soll. Wird ab dem Datum berechnet, an dem der Schlüssel zum ersten Mal erkannt wurde

Protokoll

Protokolle, die zum Aufbau einer verschlüsselten Verbindung zwischen den Systemen verwendet werden, um über das Internet zu kommunizieren.

Secure Shell Version 1 (SSH1):

  • Bietet einen verschlüsselten Kanal für die Kommunikation.

  • Bietet eine stabile Host-to-Host-Verbindung und Benutzerauthentifizierung.

Anmerkung: SSH1-Protokolle sind schon seit langem veraltet, da sie zukünftige Upgrades nicht unterstützen, anfällig sind und keine Sicherheit gegen Bedrohungen bieten. Falls Ihr System noch auf das SSH1-Protokoll angewiesen ist, empfehlen wir Ihnen ein Upgrade auf das SSH2-Protokoll. Wenn die Discovery-Sensoren einen Schlüssel mit dem SSH1-Protokoll erkennen, melden wir ihn als nicht sicher.

Secure Shell Version 2 (SSH2):

  • Ausgereifter, effizienter, sicherer und portabler als SSH1.

  • Unterstützt Secure File Transfer Protocol (SFTP).

  • Verhindert Datendiebstahl durch Abhören, indem alle Daten verschlüsselt werden.

  • Verhindert DNS- und IP-Spoofing durch kryptografische Authentifizierung der Identität des Servers.

  • Verhindert Man-in-the-Middle-Angriffe durch stärkere Server-Host-Authentifizierung.

Duplikate

Gibt an, ob der betreffende Schlüssel Duplikate hat.

Sicherheitsstufe

Gibt den Sicherheitsstatus der Schlüssel an. Der Schlüssel wird als ungesichert betrachtet, wenn er:

  • Duplikate hat.

  • Sich der Rotationsgrenze nähert oder diese erreicht hat.

  • Das SSH1-Protokoll zum Aufbau der Verbindung verwendet.

Den Schlüssel löschen

  1. Wählen Sie in Ihrem CertCentral-Konto Discovery > Ergebnisse anzeigen.

  2. Suchen Sie auf der Seite Ergebnisse auf der Registerkarte Schlüssel den Schlüssel, den Sie löschen möchten.

  3. Wählen Sie Löschen in der Spalte Aktion des entsprechenden Schlüssels.

Anmerkung

Durch das Löschen eines Schlüssels wird der Schlüssel lediglich aus der CertCentral-Discovery entfernt. Der Schlüssel bleibt aktiv, zur Verwendung autorisiert und ist auf dem Server verfügbar. Löschen Sie den Schlüssel vom Server, um zu verhindern, dass Scans den Schlüssel in den gefundenen Daten erkennen und reproduzieren.

Den Schlüssel rotieren

Beim Rotieren eines Schlüssels wird ein Verschlüsselungsschlüssel entfernt und durch einen anderen ersetzt. Es gilt als bewährte Praxis, Schlüssel in regelmäßigen Abständen zu wechseln, um zu verhindern, dass sie kompromittiert werden.

Die Schlüsselrotation begrenzt die Menge der verschlüsselten Daten unter einem bestimmten Schlüssel. Folglich bleiben vergangene Kommunikationen sicher, wenn ein Schlüssel geknackt wird, da diese Kommunikationen unter einem anderen Schlüssel stattfanden.

Aus Sicherheitsgründen empfehlen wir, das Rotationslimit für Schlüssel einzuhalten und die Schlüssel zu wechseln, wenn sie ihr Rotationslimit (1 Jahr) überschritten haben oder Duplikate aufweisen.