SSH: Identificazione host remoto modificata

6

Come parte della mia routine quotidiana, stavo facendo SSH su uno dei server aziendali. Tuttavia questa volta mi è stato presentato il seguente messaggio

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
XX:XX..............
Please contact your system administrator.
Add correct host key in /Users/<user>/.ssh/known_hosts to get rid of this message.
Offending key in /Users/<user>/.ssh/known_hosts:43
RSA host key for <SERVER> has changed and you have requested strict checking.
Host key verification failed.

Si prega di spiegare come gli attacchi MiTM sono possibili in questo scenario.

    
posta Novice User 12.05.2012 - 10:37
fonte

2 risposte

8

Se un utente malintenzionato ottiene il controllo su uno dei router tra te e la macchina a cui ti stai connettendo, può reindirizzare i tuoi pacchetti IP su un'altra macchina, che quindi rivendicherebbe di essere il vero bersaglio. Potrebbe inoltrare sia l'autenticazione che il traffico seguente.

Ovviamente, quella macchina potrebbe imparare la tua password se la usi, vedere cosa stai facendo sulla macchina remota e potrebbe alterare tutti i dati inviati in qualsiasi direzione. Tutto ciò che un uomo nel mezzo dell'attacco permette di fare (che è diverso dall'osservare passivamente il traffico).

    
risposta data 12.05.2012 - 12:36
fonte
0

Gli attacchi MITM sono stati attacchi LAN. Quando il traffico scorre sul filo, utilizza gli indirizzi fisici per le comunicazioni. Quando si avvia una connessione, qualsiasi connessione, diciamo connessione SSH, allora in quel caso prima la macchina controlla se conosce l'indirizzo MAC dell'IP del server, se sa, inizia a inviare pacchetti di dati, altrimenti tenta di ottenere l'indirizzo mac . Quando ti connetti per la prima volta a qualsiasi server ssh la sua chiave è memorizzata nella tua casella. Ora venendo al MITM, è la manipolazione di ARP (avvelenamento di arp). Significa che un utente malintenzionato aggiunge voci fisse nel computer dicendo che l'IP del server è il suo mac, ora quando si connette al server ssh, la macchina apre la connessione alla casella dell'attaccante e poiché l'impronta digitale della chiave del server è diversa e non corrisponde alla precedente, ricevi un avvertimento Questo non significa che questo attacco non può essere fatto su reti diverse, può essere, Un utente malintenzionato deve semplicemente essere nel flusso di dati tra client e server.

Essendo nel flusso di dati, un utente malintenzionato può fare qualsiasi cosa, ottenere la tua password in chiaro test, cosa hai sentito crittografato, riprodurre lo ssh al server per compromettere il server ecc. ecc.

    
risposta data 12.05.2012 - 20:46
fonte

Leggi altre domande sui tag