Qualcosa da tenere a mente durante l'utilizzo di MOSH ... Sebbene molti di noi utilizzino SSH per avviare la connessione, MOSH non richiede che funzioni per farlo funzionare (SSH avvia solo un nuovo server mosh sul lato server e restituisce due valori sul lato client: port-# e chiave simmetrica a 22 byte). Pertanto, se si mettono le mani sui due elementi che il server produce, QUALCUNO può utilizzare la propria connessione (ovvero, poiché non dipende dalla sorgente dell'IP, se si ha accesso a queste due informazioni, si efficacemente sono il proprietario della connessione).
Ciò significa che ci sono fondamentalmente un paio di superfici di attacco da affrontare.
-
Il protocollo stesso e la sua decrittografia "in-flight". Questo è altamente improbabile per chiunque non sia il tuo governo, il tuo ISP o qualcuno nella stessa caffetteria di te. Il costo per farlo e l'esigenza di essere in linea con la trasmissione rende questo altamente improbabile (ma non del tutto sconosciuto)
-
Attacca la porta UDP aperta quando il server mosh è attivo. Questo è più probabile ed è qui che il protocollo richiede più indagini. Ad esempio, c'è già stato un collaudato attacco DOS contro il sistema MOSH (non so ancora dirottare). E naturalmente se qualcuno ottiene la tua chiave simmetrica, probabilmente può indovinare la porta abbastanza facilmente.
Quindi, come usare questo protocollo con tutte queste incertezze? Bene, è possibile limitare tramite iptables (o firewall, ecc.) Da cui possono provenire i pacchetti IP oppure è possibile impostare la porta knocking sulla porta per "riattivare" se succede qualcosa. Ovviamente puoi sempre lasciarlo da solo e andare con il rischio generale di un protocollo non controllato.
Personalmente, uso un battiporta (lo so, molti motivi sono dolorosi, insicuri, problematici, ecc.) per bloccare gli indirizzi 60000. Poiché la maggior parte delle volte le mie riconnessioni provengono dallo stesso IP (il wireless va giù, ecc.), Raramente ho bisogno di "re-bussare" per continuare la mia connessione MOSH. Ovviamente se chiudo il laptop, esco dalla caffetteria, passa al treno WiFi, ecc., Quindi devo bussare di nuovo per accedere alle mie porte MOSH.
Per me, o bussare alla porta o MOSH sono rischi intrinseci, ma messi insieme, riducono la superficie bersaglio di un bel po '. MOSH mitiga molti dei problemi che ho con i battiporta e il battiporta riduce la mia connessione di sicurezza non controllata.