ssh spontán javul - MITM?

Security-all

Lokális otthoni hálózat egy OpenWrt/LEDE router-rel. Desktop gépről ssh-znék a notebook-omra, erre közli, hogy nem sikerült az autentikáció, vagy új kulcspár lett generálva, vagy man in the middle attack áldozata vagyok. Hirtelen az jutott eszembe, a desktop gépen upgrade-eltem oprendszert, azóta nem is próbáltam ssh-zni a notebook-ra. Aztán elméláztam azon, hogy egy oprendszer frissítésnek mi köze van a kulcsokhoz, pláne úgy, hogy a másik gépen nem történt változás.

Közben gondoltam arra, hogy itt kérdezek, de mivel hozzáférek a másik géphez, inkább fingerprintet kérdeznék le előbb. Gondoltam, teszek egy próbát, hogy újra lássam a hibaüzenetet, erre másodjára, nagyjából egy óra elteltével kérdés nélkül beengedett. Jelszót nem kér, mert kulcsos auth van. A known_hosts file-hoz nem nyúltam.

Mi történhetett?

  • 2050 megtekintés

( NevemTeve | 2018. 09. 27., cs – 22:26 )

Esetleg DHCP van a történetben?

A router osztja a címet, de MAC alapján mindig ugyanazt ennek a két gépnek. Bár ezt csak IPv4-en csináltam, mindamellett észrevettem, hogy ezen két gép között legtöbbször IPv6-on jön kétre az ssh kapcsolat, viszont IPv6 esetében semmiféle szabályt nem adtam meg a címek kiosztására.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( uid_4263 v | 2018. 09. 28., p – 20:28 )

Azért egy ssh MITM attackre szerény esély van otthoni hálózat esetén. Szinte biztos, hogy ezen a címen korábban volt már egy másik gép / korábbi telepítés ugyanazon a gépen, a kliens ismert hostjai között pedig ott volt, de eltérő fingerprinttel mint amit most mutat fel.

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

A linkelt oldalon nem látom a wifi jelszó elszipkázását. Éppenséggel lehet szinkronizálni wifi jelszavakat az eszközeid között egy Live ID-val, de ez egy opt-in szolgáltatás, aligha igaz rá a "csúnya MS ellopta az adataim" mantra.

Amúgy minek használsz windows-t, ha ennyire aggasztó a viselkedése?

Jó volt, írtam egy kifejtő választ, erre a HUP szervere too busy, el is buktam a hozzászólást. Röviden:

Igen, eladom. Szeretem a munkám, a számítógép eszköz. Nem vagyok IT-s, legalább is a hagyományos értelemben. Hardware fejlesztő vagyok. Kínjaimat enyhítendő Windows-on használom a WSL-t, illetve vittem be egy saját gépet, amin Fedora fut.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ha a routered kifelé nem nyitott ki portokat, akkor felesleges aggódni. A web és ssh interfész nyilván csak befelé figyel, UPNP offon, bejönni meg maximum VPN-en lehet. Ugye? :)

--
debian,libreelec,openmediavault,ubuntu,windows,arch,lineageOS
zbook/elitebook/rpi3/nexus5_hammerhead

Mi bajod az ssh-val? Titkosított, s szerintem, ha megtörték, akkor kb. úgy, hogy kiszivárgott a jelszó. Az pedig csak a windows-os munkahelyi gépről lehetett, mivel az MS privacy policy-jében is le van írva, hogy gyűjtik ezeket az adatokat. Meggyőződésem, hogy az USA a jelszavakból épít nagy adatbázist, kihasználják azt az emberi tulajdonságot, hogy sok jelszót kellemetlen megjegyezni, így a begyűjtött jelszavak egy rakás más helyen is működni fognak.

A Fedorámról aligha került ki a jelszó.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Kulcsos auth hogyan néz ki? Hol van a privát és hol a publikus kulcs? Csináltam, de odáig nem jutottam, hogy az authentikáció folyamatát megértsem. A kérdésem azt feszegeti, hogy ha windows-os gépről kulcsos authentikációval lépek be a router-emre, akkor az MS bármit le tud-e ebből nyúlni?

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Ha már szóba került, nem engedem el a témát. Így viszont a privát kulcs a Windows karmai közé kerülhet, s épp az az érzékenyebb, már, ha szabad ilyet mondani. Vagy emiatt írtad a passphrase-t? Ez mit csinál, hogyan? Nem látom, milyen üzenetek merről merre mikor mennek, s mikor megy csak egy valamiből képzett hash, amelynek inverzeként a valami nem állítható elő, s mikor megy maga a valami a csatornán.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Amig nincs keylogger a gepeden, nem kell ettol tartani. A passphrase kvazi a kulcs jelszava, amikor autentikalni akarod magad vele, megadod, majd belepsz a szerverre, ezert ha kelloen eros a passphrase, azt visszafejteni igen nehez lesz akkor is, ha a tamado mondjuk egy, kozbeekelodne, ketto, megszerzi valamelyik kulcsot, ezert is beszelunk kulcsparrol ilyen esetben. Nyilvan az autentikacio soran hash kepzodik es az "kozlekedik", nem plain text. :)

Generálsz egy dsa, vagy rsa kulcsot a szerveren az adott userrel bejelentjezve (ssh-keygen -t dsa), ilyenkor a ~user/.ssh-ban lesz a privát és a publikus kulcs. A privát kulcsot lehuzod windows alá és a PuTTY konverterevel csinálsz belőle egy kompatibilis kulcsot, amit betallozol a sessionbe a megfelelő helyen. Ennyi. Ha adsz meg passphraset is, akkor valóban csak keyloggerrel lehet lefulelni, a kulcs fájl önmagában még használhatatlan. A kulcsos auth remekül megy android alatt is.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Azt igen, de a jelszavad csak akkor, ha logolja minden egyes billentyű leutésed! Ez nyilván bizalom kérdése, ha ennyire paranoid módban működik valaki, akkor már régen nem windows alatt dolgozik. Illetve ez azért a net felől egy lényegesen biztonságosabb megoldás a sima jelszonal.

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Hát ja, mindenki a Google-t szidja, de igazából a windows maga a globális beépített lehallgató és adattovábbító rendszer - azt nem értem, hogy akkor miért nem adják már ingyen? Több lenne az adatforrás...

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

( eff | 2018. 09. 29., szo – 15:37 )

Esetleg jo lenne tudni, hogy milyen bejegyesre haklis (offending line is ...), meg mi volt a pontos warning, ugyanis abbol esetleg kiderul, hogy dns, ipv4, vagy ipv6 miatt van.
Mert ugye adott host key-hez menti az IP-t, ha hostnevvel mentel be, akkor azt is.