elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Arreglado, de nuevo, el registro del warzone (wargame) de EHN


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  falsificar fingerprint en servidor SSH en ataque in the middle
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: falsificar fingerprint en servidor SSH en ataque in the middle  (Leído 3,144 veces)
Javincy

Desconectado Desconectado

Mensajes: 5


Ver Perfil
falsificar fingerprint en servidor SSH en ataque in the middle
« en: 21 Noviembre 2011, 16:37 pm »

Buenas tardes,

Quisiera saber que tan fácil es falsificar el fingerprint de un servidor SSH.

Estoy auditando mi servidor ssh y me ha surgido la duda:

En el caso de que se realizase un ataque "in the middle". En cuanto se tantea el servidor aparece su fingerprint por pantalla.

¿Qué evita que el atacante lo copie y lo cambie por el suyo en "ssh_host_rsa_key.pub"?

La unica defensa de comprobar el fingerprint en primeras conexiones desapareciria.

Gurus a Mí!!
En línea

adastra
Endless Learner
Ex-Staff
*
Desconectado Desconectado

Mensajes: 885


http://thehackerway.com/


Ver Perfil WWW
Re: falsificar fingerprint en servidor SSH en ataque in the middle
« Respuesta #1 en: 21 Noviembre 2011, 17:16 pm »

Supongo que te refieres a un mecanismo de autenticación por clave pública... veras, en un mecanismo de cifrado por clave publica, cualquier cliente puede conocer la clave publica de un servidor SSH, (es pública) pero para que esta tenga algun sentido, debe coincidir con la clave privada que se almacena en el servidor SSH, NO obstante, no significa que un servidor SSH no sea sensible a este tipo de ataques, de hecho puede conseguirse una situación de MITM con relativa "facilidad" por ejemplo, si se tiene acceso a la máquina donde se encuentra el servidor, es posible acceder al hash de la clave RSA y tratar de obtener dicha clave, por ejemplo:
http://thehackerway.com/2011/06/18/penetrando-sistemas-bajo-plataforma-gnulinux-vulnerable-con-metasploit-framework-%E2%80%93-parte-ii/

El mecanismo (hasta donde sé) más seguro es utilizar clave publica/privada. Si quieres auditar un servicio SSH, te recomiendo que utilices SSHMITM que es una herramienta incluida en DSNIFF.
Un Saludo.
En línea

Javincy

Desconectado Desconectado

Mensajes: 5


Ver Perfil
Re: falsificar fingerprint en servidor SSH en ataque in the middle
« Respuesta #2 en: 21 Noviembre 2011, 21:24 pm »

Ok, entiendo que la clave privada no puede decubrirse aunque el atacante disponga de la clave publica ya que no tiene el algoritmo, imagino que aleatorio, con el que se crean las dos claves...

Estoy valorando incluir tambien sistemas anti fuerza bruta como el programa sshguard, que modifica las iptables directamente ¿es aconsejable? ¿que experiencia teneis con programas del estilo de denyhosts?

Gracias adastra.
En línea

adastra
Endless Learner
Ex-Staff
*
Desconectado Desconectado

Mensajes: 885


http://thehackerway.com/


Ver Perfil WWW
Re: falsificar fingerprint en servidor SSH en ataque in the middle
« Respuesta #3 en: 21 Noviembre 2011, 21:38 pm »

Me parece una buena opción, sin embargo he tenido mejores resultados con Fanban (utiliza el mismo mecanismo que sshguard cambiando dinamicamente las reglas del firewall usando iptables, pero me parece un poco más eficiente, a lo mejor han sido impresiones mías ya que no he hecho un análisis comparativo de ambos)  por otro lado, creo que también viene bien en muchos casos configurar un NIDS para que te alerte sobre cualquier eventualidad o intento de ataque en tu red, personalmente utilizo Snort para ello, (en Snort existen algunos preprocessors que te permiten saber cuando se realiza un ataque contra un servicio SSH) pero existen otras soluciones como Suricata que también son bastante buenas.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Ataque Man in the middle « 1 2 »
Hacking
darkvidhack 13 8,183 Último mensaje 18 Abril 2012, 09:30 am
por gerck
Como implementar un ataque man in the middle
Redes
FW-BROKEN 0 1,664 Último mensaje 29 Marzo 2012, 03:11 am
por FW-BROKEN
Novato con dudas ataque Man in the middle // ARP-Poisoning
Hacking
rul3s 2 2,566 Último mensaje 24 Abril 2012, 22:56 pm
por Isótopo
libro man in the middle ataque y deteccion
Seguridad
AALD666 0 1,189 Último mensaje 16 Junio 2012, 21:42 pm
por AALD666
Duda Ataque Man-in-the-middle
Hacking
vanchopper 2 1,464 Último mensaje 19 Febrero 2013, 22:53 pm
por vanchopper
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines