Eviter les attaques Man In The Middle en SSH

Inscrit le 21/02/2011
984 messages publiés
Envoyer un message privé
Simon Robic , sujet ouvert le 27/03/2012 à 10:18
Le SSH permet d'établir une connexion sécuriser entre votre ordinateur et la machine à laquelle vous souhaitez accéder. Lors de la première connexion, cette machine distante vous demande d'accepter une clé publique, afin de valider l'authentification.

Problème : comment s'assurer que cette clé n'a pas été générée par une personne s'étant introduite sur la machine ? Elle pourrait alors surveillez ce que vous faites et obtenir vos informations. Nous allons donc voir comment vérifier que la clé que l'on vous donne est bonne.

Pour cela, nous allons nous baser sur l'empreinte et le randomart générés en même temps que la clé. Générons une nouvelle clé :

$ ssh-keygen -t rsa -C newserver -f .ssh/newkey
Generating public/private rsa key pair.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in .ssh/newkey.
Your public key has been saved in .ssh/newkey.pub.
The key fingerprint is:
44:90:8c:62:6e:53:3b:d8:1a:67:34:2f:94:02:e4:87 newserver
The key's randomart image is:
Image IPB

Faites une copie de cette empreinte (fingerprint) et du randomart obtenus.

Désormais, à chaque connexion, vous pouvez vérifiez ces deux éléments en tapant la commande suivante :

$ ssh-keygen -lvf nomDeLaClé

Vous pouvez aussi automatiser cet affichage. Pour cela, modifiez /etc/ssh/ssh_config sur votre ordinateur. Il suffit d'y décommenter la ligne VisualHostKey et de passer l'option à oui :

VisualHostKey yes

A chaque connexion, l'empreinte et le randomart seront affichés.

Evidemment, il faut que, de votre côté, la copie de l'empreinte et du randomart soit bien protégée et qu'on ne puisse pas la trouver et la copier.

Vous avez d'autres conseils pour éviter les attaques MITM en SSH ?
2 réponses
-->
Inscrit le 19/10/2009
7268 messages publiés
Envoyer un message privé
Remplacer les hubs par des switchs ?
Inscrit le 04/05/2009
1495 messages publiés
Envoyer un message privé
Gnommy, le 27/03/2012 - 17:26
Remplacer les hubs par des switchs ?

C'est mieux mais c'est loin d'être fiable (ARP poisoning)
Surtout que dans la plus part des cas le problème de MITM se situe ailleurs. (cas classique proxy d'entreprise "menteur")
Répondre

Tous les champs doivent être remplis.

OU

Tous les champs doivent être remplis.

FORUMS DE NUMERAMA
Poser une question / Créer un sujet
vous pouvez aussi répondre ;-)
Numerama sur les réseaux sociaux