Первое подключение к VDS по SSH - компрометация ключей?

SSL, TLS, Web protect, etc.

Модераторы: Art.i, vasya

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение wiki » Сб сен 06, 2014 7:35 pm

pinokkio писал(а):как причем, речь про ссш идет. дешифровать, значит расшифровать что-то, а подглядывать, просто видеть пакеты. если кто-то будет расшифровывать ссш, флаг тому в руки))

Так и не надо ничего расшифровывать, промежуточный сервер, который будет благополучно расшифровывать все трафик, включая пароли, и передавать их далее на целевую машину.
Ключи да, но как их безопасно загрузить на сервер? VNC не подходит, как я понял, там шифрования нет и даже https не работает.
wiki
 
Сообщений: 23
Зарегистрирован: Вт авг 26, 2014 4:57 pm

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение wiki » Сб сен 06, 2014 7:37 pm

swg писал(а):
wiki писал(а):Чуть выше я писал, что VNC работает без шифрования, т.е. тут даже все еще хуже чем с SSH
А как самое простое через SSH-туннель или VPN-туннель? (+еще можно IPsec и SSL)

Честно говоря, я Вас не понял. Что вы имеете ввиду?
wiki
 
Сообщений: 23
Зарегистрирован: Вт авг 26, 2014 4:57 pm

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение swg » Сб сен 06, 2014 7:38 pm

На любой виртуализации, http://habrahabr.ru/post/81607/ в отличие от VPN.
swg
флудит форум
 
Сообщений: 2373
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение wiki » Сб сен 06, 2014 7:42 pm

swg писал(а):На любой виртуализации, http://habrahabr.ru/post/81607/ в отличие от VPN.

Хм и какое отношение это имеет к теме поста? Как мне это поможет безопасно настроить мой сервер?
wiki
 
Сообщений: 23
Зарегистрирован: Вт авг 26, 2014 4:57 pm

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение swg » Сб сен 06, 2014 7:47 pm

Это имеет отношение, к тому, что цитировано: VNC трафик можно шифровать. Да никак вы безопасно не настроите, если трафик уже слушается. Есть, например, такой вариант: некоторые хостеры позволяют добавить ssh ключи при установке VDS.
swg
флудит форум
 
Сообщений: 2373
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение wiki » Сб сен 06, 2014 7:56 pm

swg писал(а):Это имеет отношение, к тому, что цитировано: VNC трафик можно шифровать. Да никак вы безопасно не настроите, если трафик уже слушается. Есть, например, такой вариант: некоторые хостеры позволяют добавить ssh ключи при установке VDS.

я говоря про VNC подразумеваю конкретный сервис конкретного хостера, на чьем форуме мы находимся.
Ну вот все таки можно, я еще не пробовал использовать панель ISP managera, через нее надо полагать можно загрузить ключи, т.е. сразу в /etc/ssh/. Но вот подключать ее только ради однократного применения... жалко денег, ведь поди ж спишут сразу за месяц. Все таки хотя бы шифрованное VNC, ну или хотя бы по SSL. Ведь ничего ж этому не мешает, или мешает?
wiki
 
Сообщений: 23
Зарегистрирован: Вт авг 26, 2014 4:57 pm

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение swg » Сб сен 06, 2014 8:01 pm

Не знаю, позволяет ли это ISPManager, но речь о загрузке ключей еще до установки сервера. Когда SSL сертификат самоподписан (в случае ISPManager) - та же ситуация, всё дешифруется, если трафик на момент соединения слушается. А чтобы настроить VNC на сервере нужен SSH. Упс, да? ;-) Правильное решение - "забить, проблема надумана".
swg
флудит форум
 
Сообщений: 2373
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение wiki » Сб сен 06, 2014 8:10 pm

swg писал(а):Не знаю, позволяет ли это ISPManager, но речь о загрузке ключей еще до установки сервера. Когда SSL сертификат самоподписан (в случае ISPManager) - та же ситуация, всё дешифруется, если трафик на момент соединения слушается. А чтобы настроить VNC на сервере нужен SSH. Упс, да? ;-) Правильное решение - "забить, проблема надумана".

VNC на моем сервере мне без надобности, сейчас речь о VNC провайдера. Зачем мне VNC если есть ssh. Может он кому то и нужен но не мне.

Есть элементарное решение ( с точки зрения логики), с точки зрения технический вроде тоже, но не уверен.
Можно выводить в ISP manager finger print свежесозданного сервера, и как говориться voila!
Какой нибудь командой ssh-keygen -l и всех делов.
wiki
 
Сообщений: 23
Зарегистрирован: Вт авг 26, 2014 4:57 pm

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение pinokkio » Сб сен 06, 2014 10:15 pm

т.е, ты не веришь в тот ап который у тебя приписан в лк(тот, что дам тебе 1вдс). думаешь там фейковый сервер.
pinokkio
 
Сообщений: 38
Зарегистрирован: Пн май 05, 2014 11:14 pm

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение wiki » Пн сен 08, 2014 3:28 am

pinokkio писал(а):т.е, ты не веришь в тот ап который у тебя приписан в лк(тот, что дам тебе 1вдс). думаешь там фейковый сервер.

Кстати об этом я не подумал, действительно, подделать IP довольно трудно, нужно заворачивать траффик, маршрутизировать его. Да довольно сложная задача.
Ну вообщем, разве что только по этой причине, начать думать, что проблемы нет.
Хотя выглядит непрофессионально, IMHO.
wiki
 
Сообщений: 23
Зарегистрирован: Вт авг 26, 2014 4:57 pm

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение swg » Пн сен 08, 2014 10:53 am

wiki писал(а):
pinokkio писал(а):...действительно, подделать IP довольно трудно, нужно заворачивать траффик, маршрутизировать его. Да довольно сложная задача.

- если на стороне провайдера, то задача тривиальная;
- если ваше подключение к Интернету через кабель и не через VPN (pppoe, pptp, l2tp), то воткнуть роутер между вами и свичом в подъезде, прописав статический маршрут;
- ну и наконец, если атака направлена на вас, то возможен вирус, прописывающий статический маршрут в вашей ОС или в вашем роутере (во многих "закладок" и дыр полно).
В общем, почитайте, что такое статическая маршрутизация.
swg
флудит форум
 
Сообщений: 2373
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение wiki » Пн сен 08, 2014 10:59 am

swg писал(а):- если на стороне провайдера, то задача тривиальная;
- если ваше подключение к Интернету через кабель и не через VPN (pppoe, pptp, l2tp), то воткнуть роутер между вами и свичом в подъезде, прописав статический маршрут;
- ну и наконец, если атака направлена на вас, то возможен вирус, прописывающий статический маршрут в вашей ОС или в вашем роутере (во многих "закладок" и дыр полно).
В общем, почитайте, что такое статическая маршрутизация.

Абсолютно с вами согласен, просто логика разговора сместилась из плоскости надежности технологий, в плоскость теории вероятности "верю не верю", поэтому и появляются фразы типа "довольно трудно, сложная задача" =)
wiki
 
Сообщений: 23
Зарегистрирован: Вт авг 26, 2014 4:57 pm

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение wiki » Пн сен 08, 2014 12:59 pm

Ну вот, зря я переживал. Переустанавливаем VM, и указываем SSH ключи. Затем подключаемся как обычно, с ключами (ppk файл в случае putty). Злоумышленник ключа не знает, поэтому вклиниться в процесс не сможет. Поправьте меня, если я не прав?
wiki
 
Сообщений: 23
Зарегистрирован: Вт авг 26, 2014 4:57 pm

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение swg » Пн сен 08, 2014 1:43 pm

Я где-то выше уже это написал, что так и надо. На этой странице, 2 раза.
swg
флудит форум
 
Сообщений: 2373
Зарегистрирован: Сб окт 07, 2006 9:09 am
Откуда: NNov

Re: Первое подключение к VDS по SSH - компрометация ключей?

Сообщение pinokkio » Пн сен 08, 2014 10:03 pm

swg писал(а):
wiki писал(а):
pinokkio писал(а):...
- если ваше подключение к Интернету через кабель и не через VPN (pppoe, pptp, l2tp), то воткнуть роутер между вами и

лирика. есть сервер, он же шлюз. он же все раздает хостам в локалке. локальный хост поднимая ssh соед-е так же будет шифровать трафик. шлюз просто будет видеть, что идет ssh и все. и хоть там 100500 сниферов в подъезде. если провик или враги будут снифать, они просто будут видить "жопу" сервера который принимает шифрованные пакеты, но не их содержимое. а стойкость шифрования енто уже др ?.
pinokkio
 
Сообщений: 38
Зарегистрирован: Пн май 05, 2014 11:14 pm

Пред.След.

Вернуться в Безопасность

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1