Fórum Root.cz

Hlavní témata => Server => Téma založeno: M Z 22. 03. 2022, 21:24:29

Název: SSH ověření klíčem a kontrola SSH na firewallu
Přispěvatel: M Z 22. 03. 2022, 21:24:29
Zdravim,
zkousime na firewallu kontrolovat ssh spojeni (klasicky MITM utok  ;)), ale nefunguje nam overeni uzivatele klicem. SSH server i klient maji klice podepsane CA, bez kontroly na  FW prihlaseni bez hesla bez problemu funguje i bez pub klice v "authorized_keys". Pokud na firewallu zapneme kontrolu ssh, overeni host klice stale funguje. Firewall ma k dispozici CA, takze muze podepsat host klic a klient nic nepozna, zadna hlaska "WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED" se nekona, ale overeni uzivatele klicem bez hesla nefunguje.

Pokud jsem to dobre z popisu ssh protokolu pochopil je to vlastne dobre, protoze nesouhlasi session ID, ktere se predava podepsane privatnim klicem mezi serverem a klientem. Otazka je jestli to muze alespon teoreticky fungovat. Potreboval by k tomu firewall  nejen CA, ale i napr. public a privatni klice ssh serveru? Nebo neni vubec sance overeni klicem pri kontrole na FW zprovoznit?

p.s. Mate nekdo nasazenou kontrolu SSH spojeni na FW, nebo tak paranoidni nejste?
Název: Re:SSH ověření klíčem a kontrola SSH na firewallu
Přispěvatel: Mio_CZ 22. 03. 2022, 23:45:48
No z principu věci je to dobře a pokud FW není součástí serveru a kontrola neprobíhá pasivně nad procesem navazujícím komunikaci tak jakykoli "FW" po ceste znemozni navazani spojeni.

Na FW lze tak maximálně omezit přístup k SSH, případně se dvoustupňově autorizovat firewallu a poté se připojit na ssh.
Název: Re:SSH ověření klíčem a kontrola SSH na firewallu
Přispěvatel: Filip Jirsák 23. 03. 2022, 00:18:41
Je fajn dočíst se, že se SSH protokol umí útokům dobře bránit. Můžete ale napsat, co jste si od té kontroly sliboval? Chtěl jste hledat signatury nebezpečného kódu v příkazech na terminálu a ve výstupu aplikací? Nebo jste je chtěl hledat v souborech přenášených přes SFTP a doufal jste, že když někdo bude umět napadnout vaše SSH uživatele nezvládne už poslat škodlivý kód skrz SFTP třeba v zašifrovaném ZIPu? Nebo máte software, který aspoň trochu rozumí SSH komunikaci, takže by tušil, co zadávané příkazy dělají a byl by schopen detekovat použití „divných“ příkazů?

Mimochodem, jste si jist, že to zařízení pro MitM útoky a příslušnou CA máte zabezpečené lépe, než ty SSH účty?

Pokud chcete SSH lépe zabezpečit, doporučil bych dvoufaktorovou autentizaci.
Název: Re:SSH ověření klíčem a kontrola SSH na firewallu
Přispěvatel: M Z 23. 03. 2022, 07:33:32
Popravde ja si od toho neslibuji nic, nejsem ten kdo o tom rozhoduje, ale v podstate jste to trefil. Hlavni duvody jsou dva, kontrola signatur a potom zamezeni tunelovani pres ssh na serverech kde sdilime root ucet s jinym oddelenim nebo externisty. Pro stourali, servery kde nemame root jsou v oddelene vlan, ale stale bezi na nasem HW a pouzivaji nase pripojeni do  internetu. Rekl bych, ze je to spis snaha vyhovet nejakemu auditu nez zvyseni zabezpeceni.

p.s. O firewallu se nepochybuje, ten prece zadne bezpecnostni problemy mit nemuze ;D a 2fa uz mame.
Název: Re:SSH ověření klíčem a kontrola SSH na firewallu
Přispěvatel: _Tomáš_ 23. 03. 2022, 08:47:02
hledej ssh bastion, existuje velké množství SW, které tohle celé řešení bezpečnou cestou, tohle experimentování bez znalosti protokolu vede pouze k chybám a dírám. Je malá šance, že to uděláte správně.

Název: Re:SSH ověření klíčem a kontrola SSH na firewallu
Přispěvatel: M Z 23. 03. 2022, 08:57:17
No my s tim neexperimentujeme, nastaveni na firewallu je dane. Jen me zajimalo jestli jsme neco nezapomneli nastavit nebo neni overeni klicem pri kontrole na FW mozne z principu. Uz treti den s tim otravujeme support, ale zatim se k tomu nebyli schopni vyjadrit.
Název: Re:SSH ověření klíčem a kontrola SSH na firewallu
Přispěvatel: Death Walker 24. 03. 2022, 06:50:43
To by musel firewall plnit funkcionalitu ssh serveru(overenie kluca). To co hladate by mohlo byt:
Název: Re:SSH ověření klíčem a kontrola SSH na firewallu
Přispěvatel: _Tomáš_ 24. 03. 2022, 09:21:43
mluvíš o firewall, ale pro mě je firewall něco co šahá max. do 4. úrovně OSI modelu, ssh je až na 7, na které se přenáší a ověřují host keys. Takže spíše popiš, co vlastně je váš firewall, co má dělat a jak funguje.

Ta chybová hláška nastává, když nesouhlasí host key, který má klient u sebe uložený s tím, co mu druhá strana pošle. Takže pokud tvůj "firewall" posílá svůj host key, tak kontrola selže. Musíš ale asi lépe popsat, co vlastně děláš.