SSH клиенттерінде OpenSSH және PuTTY
Клиент бірінші рет қосылуға тырысып жатқанын және оның жағында әлі хост кілті жоқ екенін біле отырып, шабуылдаушы қосылымды өзі (MITM) арқылы тарата алады және клиентке SSH клиенті қарастыратын хост кілтін бере алады. мақсатты хосттың кілті болыңыз, егер ол кілт саусақ ізін растамаса. Осылайша, шабуылдаушы пайдаланушының күдігін тудырмай MITM ұйымдастыра алады және клиент жағында хост кілттері кэштелген сеанстарды елемейді, ауыстыру әрекеті хост кілтінің өзгеруі туралы ескертуге әкеледі. Шабуыл бірінші рет қосылған кезде хост кілтінің саусақ ізін қолмен тексермейтін пайдаланушылардың абайсыздығына негізделген. Кілт саусақ іздерін тексеретіндер мұндай шабуылдардан қорғалған.
Бірінші қосылу әрекетін анықтау белгісі ретінде қолдау көрсетілетін хост кілті алгоритмдерін тізімдеу ретін өзгерту пайдаланылады. Егер бірінші қосылым орын алса, клиент әдепкі алгоритмдер тізімін жібереді, ал егер хост кілті кэште әлдеқашан болса, онда байланысты алгоритм бірінші орынға қойылады (алгоритмдер қалау ретімен сұрыпталады).
Мәселе OpenSSH 5.7-8.3 және PuTTY 0.68-0.73 нұсқаларында пайда болады. Мәселе
OpenSSH жобасы SSH клиентінің әрекетін өзгертуді жоспарламайды, өйткені егер сіз бірінші кезекте бар кілттің алгоритмін көрсетпесеңіз, кэштелген кілт пен сәйкес келмейтін алгоритмді пайдалануға әрекет жасалады. белгісіз кілт туралы ескерту көрсетіледі. Анау. таңдау туындайды - ақпараттың ағып кетуі (OpenSSH және PuTTY) немесе сақталған кілт әдепкі тізімдегі бірінші алгоритмге сәйкес келмесе, кілтті өзгерту туралы ескертулер (Dropbear SSH).
Қауіпсіздікті қамтамасыз ету үшін OpenSSH DNSSEC және хост сертификаттарында (PKI) SSHFP жазбаларын пайдаланып хост кілтін тексерудің балама әдістерін ұсынады. Сондай-ақ, HostKeyAlgorithms опциясы арқылы хост кілтінің алгоритмдерін бейімдеу таңдауын өшіруге және клиентке аутентификациядан кейін қосымша хост кілттерін алуға мүмкіндік беру үшін UpdateHostKeys опциясын пайдалануға болады.
Ақпарат көзі: opennet.ru