Skip to content

Eine neue VM wurde mit SSH (22) und RDP (3389) offen für 0.0.0.0/0 gestartet. Was ist die richtige Behebung?

Kurzantwort

Management-Ports, die für das gesamte Internet offen sind, werden innerhalb von Minuten gescannt und per Brute Force angegriffen, daher besteht die Lösung darin, die Angriffsfläche zu verkleinern: Beschränke den Security-Group-Ingress auf bekannte Admin-CIDRs oder VPN, oder entferne den eingehenden Verkehr ganz mittels Bastion oder SSM Session Manager. SSH auf einen Nicht-Standard-Port zu verschieben ist Security by Obscurity, die Scanner trivial aushebeln. Ein stärkeres Passwort verkleinert die exponierte Fläche nicht und stoppt kein Credential Stuffing. Auf eine Host-Firewall zu vertrauen ignoriert die Angriffsfläche, die die Security Group offen ins Internet bewirbt.

Management-Ports, die für 0.0.0.0/0 offen sind, gehören zu den meistausgenutzten Cloud-Fehlkonfigurationen. Der Interviewer will sehen, dass du die Angriffsfläche selbst verkleinerst und nicht nur die exponierte Fläche geringfügig schwerer missbrauchbar machst.

Warum das Beschränken des Ingress richtig ist

Das Internet wird kontinuierlich gescannt; eine frische VM mit 22 und 3389 offen für die Welt sieht innerhalb von Minuten Brute-Force- und Credential-Stuffing-Versuche. Die richtige Lösung ist, diese Ports nicht mehr für alle zu bewerben. Beschränke den Security-Group-Ingress auf eine kleine Menge vertrauenswürdiger Admin-CIDRs oder einen VPN-Bereich, oder – besser – entferne den eingehenden Management-Zugang ganz und erreiche den Host über eine Bastion oder AWS SSM Session Manager. SSM ist besonders stark, weil es überhaupt keinen offenen eingehenden Port braucht: Der Zugriff läuft über die AWS-API mit IAM-Autorisierung und vollständigem Audit-Logging.

Warum die Distraktoren scheitern

  • SSH auf einen Nicht-Standard-Port verschieben. Das ist Security by Obscurity. Massen-Scanner durchsuchen alle Ports, der Dienst ist also in Sekunden gefunden; du hast nichts Reales gewonnen und den Betrieb verwirrender gemacht.
  • Ein stärkeres Passwort setzen. Ein besseres Passwort mag einen Brute-Force-Vektor verlangsamen, aber der Port ist weiterhin für das gesamte Internet offen, zieht weiterhin konstanten Traffic an und bleibt jeder künftigen Auth-Schwachstelle oder jedem Key-/Passwort-Leak ausgesetzt. Es behandelt ein Netzwerk-Expositionsproblem als Anmelde-Problem.
  • So lassen – die VM hat eine Host-Firewall. Sich auf eine Host-Firewall zu verlassen, während die Cloud-Security-Group den Port für die Welt bewirbt, ist Defense in Depth verkehrt herum: eine falsch konfigurierte Host-Firewall, und du bist voll exponiert. Schließe ihn am Netzwerkrand.

Worauf Interviewer achten

Die Security Group als Kontrolle zu nennen, die Quell-CIDRs zu beschränken und idealerweise den offenen Port per Bastion oder SSM zu eliminieren. Starke Kandidaten erwähnen auch, alle fehlerhaften Security Groups organisationsweit zu finden, denn eine offene VM bedeutet meist, dass die Leitplanke (eine SCP oder Config-Regel, die 0.0.0.0/0 auf 22/3389 blockiert) fehlt.

Wahrscheinliche Anschlussfragen

  • Warum ist SSM Session Manager oft besser als selbst eine streng abgeriegelte Bastion?
  • Wie würdest du jede Security Group finden, die 22 oder 3389 für 0.0.0.0/0 freigibt, über die gesamte Organisation hinweg?
  • Wogegen schützt dich ein stärkeres Passwort hier nicht?

Quellen

Zertifizierungen

Erhalte 100 Cybersecurity-Interviewfragen + Antworten

Gib deine E-Mail-Adresse ein und wir senden dir das kostenlose PDF-Paket und das Flashcard-Deck.

Kein Spam. Jederzeit abbestellbar.