SSH ověření klíčem a kontrola SSH na firewallu

M Z

SSH ověření klíčem a kontrola SSH na firewallu
« kdy: 22. 03. 2022, 21:24:29 »
Zdravim,
zkousime na firewallu kontrolovat ssh spojeni (klasicky MITM utok  ;)), ale nefunguje nam overeni uzivatele klicem. SSH server i klient maji klice podepsane CA, bez kontroly na  FW prihlaseni bez hesla bez problemu funguje i bez pub klice v "authorized_keys". Pokud na firewallu zapneme kontrolu ssh, overeni host klice stale funguje. Firewall ma k dispozici CA, takze muze podepsat host klic a klient nic nepozna, zadna hlaska "WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED" se nekona, ale overeni uzivatele klicem bez hesla nefunguje.

Pokud jsem to dobre z popisu ssh protokolu pochopil je to vlastne dobre, protoze nesouhlasi session ID, ktere se predava podepsane privatnim klicem mezi serverem a klientem. Otazka je jestli to muze alespon teoreticky fungovat. Potreboval by k tomu firewall  nejen CA, ale i napr. public a privatni klice ssh serveru? Nebo neni vubec sance overeni klicem pri kontrole na FW zprovoznit?

p.s. Mate nekdo nasazenou kontrolu SSH spojeni na FW, nebo tak paranoidni nejste?
« Poslední změna: 22. 03. 2022, 22:55:53 od Petr Krčmář »


Re:SSH ověření klíčem a kontrola SSH na firewallu
« Odpověď #1 kdy: 22. 03. 2022, 23:45:48 »
No z principu věci je to dobře a pokud FW není součástí serveru a kontrola neprobíhá pasivně nad procesem navazujícím komunikaci tak jakykoli "FW" po ceste znemozni navazani spojeni.

Na FW lze tak maximálně omezit přístup k SSH, případně se dvoustupňově autorizovat firewallu a poté se připojit na ssh.

Re:SSH ověření klíčem a kontrola SSH na firewallu
« Odpověď #2 kdy: 23. 03. 2022, 00:18:41 »
Je fajn dočíst se, že se SSH protokol umí útokům dobře bránit. Můžete ale napsat, co jste si od té kontroly sliboval? Chtěl jste hledat signatury nebezpečného kódu v příkazech na terminálu a ve výstupu aplikací? Nebo jste je chtěl hledat v souborech přenášených přes SFTP a doufal jste, že když někdo bude umět napadnout vaše SSH uživatele nezvládne už poslat škodlivý kód skrz SFTP třeba v zašifrovaném ZIPu? Nebo máte software, který aspoň trochu rozumí SSH komunikaci, takže by tušil, co zadávané příkazy dělají a byl by schopen detekovat použití „divných“ příkazů?

Mimochodem, jste si jist, že to zařízení pro MitM útoky a příslušnou CA máte zabezpečené lépe, než ty SSH účty?

Pokud chcete SSH lépe zabezpečit, doporučil bych dvoufaktorovou autentizaci.

M Z

Re:SSH ověření klíčem a kontrola SSH na firewallu
« Odpověď #3 kdy: 23. 03. 2022, 07:33:32 »
Popravde ja si od toho neslibuji nic, nejsem ten kdo o tom rozhoduje, ale v podstate jste to trefil. Hlavni duvody jsou dva, kontrola signatur a potom zamezeni tunelovani pres ssh na serverech kde sdilime root ucet s jinym oddelenim nebo externisty. Pro stourali, servery kde nemame root jsou v oddelene vlan, ale stale bezi na nasem HW a pouzivaji nase pripojeni do  internetu. Rekl bych, ze je to spis snaha vyhovet nejakemu auditu nez zvyseni zabezpeceni.

p.s. O firewallu se nepochybuje, ten prece zadne bezpecnostni problemy mit nemuze ;D a 2fa uz mame.

Re:SSH ověření klíčem a kontrola SSH na firewallu
« Odpověď #4 kdy: 23. 03. 2022, 08:47:02 »
hledej ssh bastion, existuje velké množství SW, které tohle celé řešení bezpečnou cestou, tohle experimentování bez znalosti protokolu vede pouze k chybám a dírám. Je malá šance, že to uděláte správně.



M Z

Re:SSH ověření klíčem a kontrola SSH na firewallu
« Odpověď #5 kdy: 23. 03. 2022, 08:57:17 »
No my s tim neexperimentujeme, nastaveni na firewallu je dane. Jen me zajimalo jestli jsme neco nezapomneli nastavit nebo neni overeni klicem pri kontrole na FW mozne z principu. Uz treti den s tim otravujeme support, ale zatim se k tomu nebyli schopni vyjadrit.

Re:SSH ověření klíčem a kontrola SSH na firewallu
« Odpověď #6 kdy: 24. 03. 2022, 06:50:43 »
To by musel firewall plnit funkcionalitu ssh serveru(overenie kluca). To co hladate by mohlo byt:
  • default zahadzovat komunikaciu na ssh a script ktory pocuva mimo ssh po overeni prida pravidlo ktore ssh port pre konkretnu IP(z ktorej bolo volane na sctipt) ssh port povoli
  • default povoluje ssh port a pri niekolkych neuspesnych pokusoch dostane pravidlo ktore konkretnu IP zakaze. Napr. pomocou fail2ban

Re:SSH ověření klíčem a kontrola SSH na firewallu
« Odpověď #7 kdy: 24. 03. 2022, 09:21:43 »
mluvíš o firewall, ale pro mě je firewall něco co šahá max. do 4. úrovně OSI modelu, ssh je až na 7, na které se přenáší a ověřují host keys. Takže spíše popiš, co vlastně je váš firewall, co má dělat a jak funguje.

Ta chybová hláška nastává, když nesouhlasí host key, který má klient u sebe uložený s tím, co mu druhá strana pošle. Takže pokud tvůj "firewall" posílá svůj host key, tak kontrola selže. Musíš ale asi lépe popsat, co vlastně děláš.