Implicazioni di sicurezza di un proxy ssh vs tunnel ssh tramite una casella che non possiedo

4

Per accedere al mio desktop o al cluster hpc della mia università, ho bisogno di un server intermedio gestito dall'università.

Attualmente utilizzo il "metodo netcat" (ssh -W) per accedere al desktop e al cluster hpc. Ho anche usato il tunneling (-L) per accedere a queste caselle.

Qual è la differenza di sicurezza tra questi metodi, dato che non mi fido del server intermedio?

    
posta James Tocknell 26.02.2014 - 03:56
fonte

1 risposta

4

Non c'è differenza tra questi due metodi per quanto riguarda la sicurezza.

In entrambi i casi, per prima cosa stabilisci una connessione tra il tuo computer corrente e il proxy ssh e poi fai un tunnel con un'altra connessione al tuo desktop o cluster all'interno della connessione originale.

Se non ti fidi del server intermedio, la tua preoccupazione principale dovrebbe essere quella di assicurarti che ti stia effettivamente connettendo ai veri computer alla fine e che la tua connessione non sia stata manomessa dal proxy ssh.

Per verificarlo, dovresti confrontare le impronte digitali dei tasti dell'host ssh dal tuo desktop e dai computer del cluster con quello che hai accettato nel tuo file ~ / .ssh / known_hosts. Se c'è una mancata corrispondenza, le sessioni ssh sono state intercettate (MITM) sin dall'inizio.

Questo è un perfetto esempio dell'importanza della domanda spesso sottovalutata posta su una prima connessione ssh:

The authenticity of host 'example.com (192.168.0.1)' can't be established.
RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx.
Are you sure you want to continue connecting (yes/no)?
    
risposta data 15.05.2014 - 17:43
fonte

Leggi altre domande sui tag