SSH: se cambió la identificación del host remoto

6

Como parte de mi rutina diaria, me conecté por SSH a uno de los servidores corporativos. Sin embargo, esta vez me presentaron el siguiente mensaje

@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
The fingerprint for the RSA key sent by the remote host is
XX:XX..............
Please contact your system administrator.
Add correct host key in /Users/<user>/.ssh/known_hosts to get rid of this message.
Offending key in /Users/<user>/.ssh/known_hosts:43
RSA host key for <SERVER> has changed and you have requested strict checking.
Host key verification failed.

Explique que los ataques MiTM son posibles en este escenario.

    
pregunta Novice User 12.05.2012 - 10:37
fuente

2 respuestas

8

Si un atacante obtiene el control de uno de los enrutadores entre usted y la máquina a la que se está conectando, puede redirigir sus paquetes IP a otra máquina, que luego afirmaría ser el objetivo real. Podría reenviar tanto su autenticación como el siguiente tráfico.

Obviamente, esa máquina aprenderá su contraseña si usa una, verá lo que está haciendo en la máquina remota y podría alterar todos los datos enviados en cualquier dirección. Todo lo que un hombre en el ataque medio permite hacer (que es diferente de observar pasivamente el tráfico).

    
respondido por el Christopher Creutzig 12.05.2012 - 12:36
fuente
0

Los ataques MITM son ataques de LAN. Cuando el tráfico fluye por cable, utiliza direcciones físicas para las comunicaciones. Cuando inicias una conexión, cualquier conexión, digamos una conexión SSH, entonces, en ese caso, primero tu máquina verifica si conoce la dirección MAC de la IP del servidor; si sabe, comienza a enviar paquetes de datos; de lo contrario, intenta obtener la dirección mac. . Cuando se conecta por primera vez a cualquier servidor ssh, su clave se almacena en su buzón. Ahora que viene a MITM, es la manipulación de ARP (envenenamiento de arp). Significa que un atacante agrega entradas complicadas en su máquina que dicen que la IP del servidor es su mac. Ahora, cuando se conecta a su servidor ssh, su máquina abre la conexión al cuadro del atacante y, como la huella digital de la clave del servidor es diferente y no coincide con la anterior, usted obtener advertencia Esto no significa que este ataque no se pueda realizar a través de diferentes redes, sino que lo es. Un atacante solo necesita estar en el flujo de datos entre el cliente y el servidor.

Al estar en el flujo de datos, un atacante puede hacer cualquier cosa, obtener su contraseña en una prueba clara, lo que usted sintió encriptado, reproducir el ssh al servidor para comprometer el servidor, etc. etc.

    
respondido por el Auditor 12.05.2012 - 20:46
fuente

Lea otras preguntas en las etiquetas