La identificación del host remoto es diferente en diferentes redes

Navega tus respuestas
0

Cuando comparto con un servidor, llamémoslo x.x.x.x, en una red, Red A, recibo un mensaje que indica que la identificación del host remoto ha cambiado.

Si uso una de las otras dos redes, llámelas Red B y Red C, para conectarme a x.x.x.x, no recibo el mensaje.

Es decir, para la misma dirección IP de x.x.x.x, la Red A está devolviendo una identificación de host remoto diferente a la Red B y la Red C.

Mi teoría es que, dado que la Red B y la Red C están de acuerdo, son correctas, y la Red A debe darme la clave incorrecta de alguna manera.

La red A proporciona los mismos resultados a través de Wi-Fi o Ethernet. La red B es mi Wi-Fi doméstica y la Red C es un punto de acceso móvil Wi-Fi.

He reiniciado el enrutador de la red A, pero la identificación del host remoto diferente persiste.

¿Esto indica un ataque MITM? ¿Podría ser algo más? ¿Cuáles son los próximos pasos?

Y para ser claros, el problema no es solo que se haya actualizado. Si cambio mi know_hosts para que contenga la clave que la red A espera, funciona, pero luego las redes B y C no funcionan, y viceversa. Es decir, están actualmente esperando diferentes claves.

    
pregunta AmadeusDrZaius 25.05.2018 - 19:38
fuente

1 respuesta

2

La clave incorrecta implica que el cifrado se termina en otro lugar que no sea el host deseado. Eso podría ser un ataque mitm, podría ser un ataque de redirección o puede ser que la red a la que está conectado implemente alguna tecnología sofisticada para monitorear la actividad. Pero reconocer un servidor host en SSH se basa únicamente en la primera vez que se conecta a ese servidor; por lo tanto, también es posible que la red A le brinde una conexión ininterrumpida, mientras que B y C son la conexión comprometida, aunque son menos probables que la hipótesis original.

Otra posibilidad es que se esté conectando a un servicio SSH implementado en más de un host. Aunque todas las mejores prácticas que he encontrado (Redhat, VMware, SSH software corp, AWS) recomiendan el uso de la misma clave de servidor en todos los hosts que implementan el servicio, cuando implementé recientemente una infraestructura de este tipo, el arquitecto y consultor de seguridad insistió en que las instancias tuvieron que usar claves únicas (porque eso es lo que dice la lista de verificación del CIS).

Pero la versión corta es esta: no podemos saber cuál es la verdadera conexión.

Si inicia sesión con una contraseña, podría estar exponiéndolo a un destinatario. Pero si se autentica utilizando un par de claves, un interloper no puede comprometer su acceso.

En cuanto a la pregunta de qué clave es la verdadera, si puede iniciar sesión con un par de claves y puede verificar que el host es el que desea (por ejemplo, sus archivos están en el directorio de su casa), intente SSH localhost y ver qué clave se presenta.

    
respondido por el symcbean 25.05.2018 - 21:28
fuente

Lea otras preguntas en las etiquetas

¿Cuánta entropía se requiere para una Grid Card? ¿Cuál es el vector de ataque para el desvío de tienda especulativa CVE-2018-3639?