Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
|
man ssh 21.02.03 16:42 Число просмотров: 1316
Автор: Ktirf <Æ Rusakov> Статус: Elderman
|
В начале сессии SSH хосты обмениваются ключами. Если попытаться устроить Main-in-the-middle, как ты предлагаешь, ключи не сойдутся => SSH-клиент будет громко кричать про Man-in-the-middle и откажется устанавливать соединение.
|
<networking>
|
Перехват SSH сессии 21.02.03 14:28 [Ktirf]
Автор: magnum Статус: Незарегистрированный пользователь
|
Хотел узнать, будет ли действовать такая схема:
КЛИЕНТ<--->ЛЖЭ_Сервер<--данные-->ЛЖЭ_Клиент<--->СЕРВЕР
Т.е. допустим, узер сидит в локалке, ему захотелось законнектится по SSH на свой сервак, все идет так: юзер дает запрос внутресетевому серверу а тот у же в инет, получается что во время SSH сессии внутресетевой сервак является посредником, он просто осуществляет обменн данными между КЛИЕНТОМ и СЕРВЕРОМ. А если сделать так: юзер коннектится на сервер www.server.com, запрос поступает на внутресетевой сервер, и всесто того, чтобы как обычно послать запрос на SSH сессию в инет, этот сервер сам коннектится к www.server.com т.е. грубо говоря получается две сессии SSH между которыми идут свободные данные, которые можно перехватить....
Такова моя мысля есл икто не понял, что я хотел сказать ссори, мне впадлу чтото писать, разъяснять etc %))
Прост охочу узнать, пройдет ли эта маза вообще и делал ли ктонибудь так хоть раз.....
|
|
man ssh 21.02.03 16:42
Автор: Ktirf <Æ Rusakov> Статус: Elderman
|
В начале сессии SSH хосты обмениваются ключами. Если попытаться устроить Main-in-the-middle, как ты предлагаешь, ключи не сойдутся => SSH-клиент будет громко кричать про Man-in-the-middle и откажется устанавливать соединение.
|
|
Перехват SSH сессии 21.02.03 16:15
Автор: cybervlad <cybervlad> Статус: Elderman
|
то, что ты описал, называется атака "человек посередине" - man in the middle. ей подвержены все несимметричные системы, не использующие сертификаты. это сработает только если у клиента нетвалидного открытого ключа сервера или он не может прорверить принадлежность сертификата (в случае самоподписанного или отсутствия корневого).
во многих самопальных ситемах, которых жаба задавила получить у Thawte или VeriSign нормальный серт, это может проканать, особенно при первом коннекте, как совершенно справедливо заметил Zadnica.
|
|
не получится 21.02.03 15:40
Автор: ZaDNiCa <indeed ZaDNiCa> Статус: Elderman
|
потому как хост к которому коннектится клиет имеет свой SSH ключ (которого у тебя нет) и если ты будешь подсовывать другой public-ключ для установления сессии, то у юзера будет варнинг: отпечаток этого ключа не совпадает с тем который был прошлый раз :-))
эта идея может прокатить если клиент заходит на удаленный сервер в первый раз.
|
|
|