SSH клиенттерінде OpenSSH және PuTTY ( PuTTY және OpenSSH-де), қосылу келіссөздер алгоритмінде ақпараттың ағып кетуіне әкеледі. Осалдық клиенттік трафикті ұстауға қабілетті шабуылдаушыға (мысалы, пайдаланушы шабуылдаушы басқаратын сымсыз кіру нүктесі арқылы қосылғанда) клиент хост кілтін әлі кэштемеген кезде клиентті бастапқыда хостқа қосу әрекетін анықтауға мүмкіндік береді.
Клиент бірінші рет қосылуға тырысып жатқанын және оның жағында әлі хост кілті жоқ екенін біле отырып, шабуылдаушы қосылымды өзі (MITM) арқылы тарата алады және клиентке SSH клиенті қарастыратын хост кілтін бере алады. мақсатты хосттың кілті болыңыз, егер ол кілт саусақ ізін растамаса. Осылайша, шабуылдаушы пайдаланушының күдігін тудырмай MITM ұйымдастыра алады және клиент жағында хост кілттері кэштелген сеанстарды елемейді, ауыстыру әрекеті хост кілтінің өзгеруі туралы ескертуге әкеледі. Шабуыл бірінші рет қосылған кезде хост кілтінің саусақ ізін қолмен тексермейтін пайдаланушылардың абайсыздығына негізделген. Кілт саусақ іздерін тексеретіндер мұндай шабуылдардан қорғалған.
Бірінші қосылу әрекетін анықтау белгісі ретінде қолдау көрсетілетін хост кілті алгоритмдерін тізімдеу ретін өзгерту пайдаланылады. Егер бірінші қосылым орын алса, клиент әдепкі алгоритмдер тізімін жібереді, ал егер хост кілті кэште әлдеқашан болса, онда байланысты алгоритм бірінші орынға қойылады (алгоритмдер қалау ретімен сұрыпталады).
Мәселе OpenSSH 5.7-8.3 және PuTTY 0.68-0.73 нұсқаларында пайда болады. Мәселе мәселеде алгоритмдерді тұрақты ретпен тізімдеу пайдасына хост кілтін өңдеу алгоритмдерінің тізімінің динамикалық құрылысын өшіру опциясын қосу арқылы.
OpenSSH жобасы SSH клиентінің әрекетін өзгертуді жоспарламайды, өйткені егер сіз бірінші кезекте бар кілттің алгоритмін көрсетпесеңіз, кэштелген кілт пен сәйкес келмейтін алгоритмді пайдалануға әрекет жасалады. белгісіз кілт туралы ескерту көрсетіледі. Анау. таңдау туындайды - ақпараттың ағып кетуі (OpenSSH және PuTTY) немесе сақталған кілт әдепкі тізімдегі бірінші алгоритмге сәйкес келмесе, кілтті өзгерту туралы ескертулер (Dropbear SSH).
Қауіпсіздікті қамтамасыз ету үшін OpenSSH DNSSEC және хост сертификаттарында (PKI) SSHFP жазбаларын пайдаланып хост кілтін тексерудің балама әдістерін ұсынады. Сондай-ақ, HostKeyAlgorithms опциясы арқылы хост кілтінің алгоритмдерін бейімдеу таңдауын өшіруге және клиентке аутентификациядан кейін қосымша хост кілттерін алуға мүмкіндік беру үшін UpdateHostKeys опциясын пайдалануға болады.
Ақпарат көзі: opennet.ru