Implicaciones de seguridad de un proxy ssh vs túnel ssh a través de una caja que no tengo

4

Para acceder a mi escritorio o al clúster de HPC en mi universidad, necesito acceder a un servidor intermediario administrado por la universidad.

Actualmente utilizo el "método netcat" (ssh -W) para acceder al escritorio y al clúster hpc. También he usado túneles (-L) anteriormente para acceder a estos cuadros.

¿Cuál es la diferencia de seguridad entre estos métodos, dado que no confío totalmente en el servidor intermediario?

    
pregunta James Tocknell 26.02.2014 - 03:56
fuente

1 respuesta

4

No hay diferencia entre estos dos métodos en lo que respecta a la seguridad.

En ambos casos, primero establece una conexión entre su computadora actual y el proxy ssh y luego conecta otra conexión a su escritorio o clúster dentro de la conexión original.

Si no confía en el servidor intermediario, su principal preocupación debería ser asegurarse de que realmente se está conectando a las computadoras reales al final y de que su conexión no haya sido alterada por el proxy ssh.

Para verificar esto, debe comparar las huellas dactilares de la clave de host ssh desde su computadora de escritorio y clúster a la que aceptó en su archivo ~ / .ssh / known_hosts. Si hay una discrepancia, sus sesiones ssh han sido interceptadas (MITM) desde el principio.

Este es un ejemplo perfecto de la importancia de la pregunta, a menudo infravalorada, realizada en una primera conexión ssh:

The authenticity of host 'example.com (192.168.0.1)' can't be established.
RSA key fingerprint is xx:xx:xx:xx:xx:xx:xx:xx:xx:xx.
Are you sure you want to continue connecting (yes/no)?
    
respondido por el Siosm 15.05.2014 - 17:43
fuente

Lea otras preguntas en las etiquetas