SSH müştərilərində OpenSSH və PuTTY
Müştərinin ilk dəfə qoşulmağa çalışdığını və hələ də onun tərəfində host açarının olmadığını bilən təcavüzkar əlaqəni özü (MITM) vasitəsilə yayımlaya bilər və müştəriyə SSH müştərisinin hesab edəcəyi host açarını verə bilər. əsas barmaq izini yoxlamazsa, hədəf hostun açarı olun. Beləliklə, təcavüzkar istifadəçi şübhəsi yaratmadan MITM-i təşkil edə bilər və müştəri tərəfinin artıq host açarlarının keşlənmiş olduğu sessiyalara məhəl qoymur, əvəz etmək cəhdi host açarının dəyişdirilməsi barədə xəbərdarlıqla nəticələnir. Hücum ilk dəfə qoşulduqda host açarının barmaq izini əl ilə yoxlamayan istifadəçilərin diqqətsizliyinə əsaslanır. Açar barmaq izlərini yoxlayanlar bu cür hücumlardan qorunur.
İlk qoşulma cəhdini müəyyən etmək üçün bir əlamət olaraq dəstəklənən host açarı alqoritmlərinin siyahıya alınması qaydasında dəyişiklik istifadə olunur. İlk əlaqə baş verərsə, müştəri standart alqoritmlərin siyahısını ötürür və əgər host açarı artıq keşdədirsə, onda əlaqəli alqoritm birinci yerə qoyulur (alqoritmlər üstünlük sırasına görə sıralanır).
Problem OpenSSH 5.7 - 8.3 və PuTTY 0.68 - 0.73 versiyalarında görünür. Problem
OpenSSH layihəsi SSH müştərisinin davranışını dəyişdirməyi planlaşdırmır, çünki ilk növbədə mövcud açarın alqoritmini təyin etməsəniz, keşlənmiş açara uyğun gəlməyən bir alqoritmdən istifadə etməyə cəhd ediləcəkdir. naməlum açar haqqında xəbərdarlıq göstərilir. Bunlar. seçim yaranır - ya məlumat sızması (OpenSSH və PuTTY), ya da saxlanan açar standart siyahıdakı ilk alqoritmə uyğun gəlmirsə, açarın dəyişdirilməsi ilə bağlı xəbərdarlıqlar (Dropbear SSH).
Təhlükəsizliyi təmin etmək üçün OpenSSH DNSSEC və host sertifikatlarında (PKI) SSHFP girişlərindən istifadə edərək host açarının yoxlanılması üçün alternativ üsullar təklif edir. Siz həmçinin HostKeyAlqoritmləri seçimi vasitəsilə host açarı alqoritmlərinin adaptiv seçimini deaktiv edə və autentifikasiyadan sonra müştəriyə əlavə host açarları əldə etməyə icazə vermək üçün UpdateHostKeys seçimindən istifadə edə bilərsiniz.
Mənbə: opennet.ru