L'identificazione dell'host remoto è diversa su reti diverse

Question

L'identificazione dell'host remoto è diversa su reti diverse

#1 da (2 voti)

0

Quando eseguo l'ssh su un server - chiamiamolo x.x.x.x - su una rete, Rete A, ricevo un messaggio che l'identificazione dell'host remoto è cambiata.

Se utilizzo una delle due altre reti - chiamiamole Rete B e Rete C - per connetterti a x.x.x.x, non ricevo il messaggio.

Cioè, per lo stesso indirizzo IP di x.x.x.x, la rete A restituisce un'identificazione dell'host remoto diversa dalla rete B e dalla rete C.

Quindi la mia teoria è che, dal momento che Network B e Network C sono d'accordo, sono corretti e Network A deve darmi la chiave sbagliata in qualche modo.

La rete A fornisce gli stessi risultati su Wi-Fi o Ethernet. La rete B è la mia casa Wi-Fi e la rete C è un hotspot mobile Wi-Fi.

Ho riavviato il router della rete A, ma il diverso identificativo dell'host remoto persiste.

Indica un attacco MITM? C'è qualcos'altro che potrebbe essere? Quali sono i prossimi passi?

E per essere chiari, il problema non è solo che è stato aggiornato. Se cambio il mio known_hosts per contenere la chiave che la rete A si aspetta, funziona, ma la rete B e C non funzionano, e viceversa. Cioè, sono al momento in attesa di chiavi diverse.

ssh man-in-the-middle key-generation

posta AmadeusDrZaius 25.05.2018 - 19:38

fonte

1 risposta

Leggi altre domande sui tag ssh man-in-the-middle key-generation

Qual è il vettore di attacco per CVE-2018-3639 Speculative Store Bypass? Quanta entropia è richiesta per una Grid Card?

score 2 · Accepted Answer

La chiave errata implica certamente che la crittografia viene terminata in un luogo diverso dall'host previsto. Potrebbe trattarsi di un attacco mitm, potrebbe essere un attacco di reindirizzamento o potrebbe essere che la rete che si è connessi implementa una tecnologia sofisticata per il monitoraggio dell'attività. Ma riconoscere un host server in SSH è basato esclusivamente sulla prima connessione a quell'host - quindi è anche possibile che la rete A stia fornendo una connessione ininterrotta mentre B e C sono la connessione compromessa anche se meno probabile dell'ipotesi originale.

Un'ulteriore possibilità è che ti stai connettendo a un servizio SSH implementato su più di un host. Sebbene tutte le best practice che ho incontrato (Reds, VMware, SSH software corp, AWS) raccomandino di utilizzare la stessa chiave server su tutti gli host che implementano il servizio, quando di recente ho implementato tale infrastruttura, l'architetto e il consulente di sicurezza hanno insistito sul fatto che il le istanze dovevano usare chiavi univoche (perché è quello che dice nella lista di controllo CIS).

Ma la versione breve è questa: non possiamo dire quale sia la vera connessione.

Se accedi con una password, potresti esporla a un destinatario previsto. Ma se si esegue l'autenticazione utilizzando una coppia di chiavi, un intruso non può compromettere l'accesso.

Per quanto riguarda la domanda su quale chiave è la vera chiave, se riesci ad accedere usando una coppia di chiavi, e puoi verificare che l'host sia quello che intendi (es. i tuoi file sono nella tua directory home) quindi prova a SSH localhost e vedere quale chiave è presentata.