Более безопасное подключение к SSH с помощью DNSSEC / forpes.ru

Главная
Более безопасное подключение к SSH с помощью DNSSEC

Более безопасное подключение к SSH с помощью DNSSEC +34

15.04.2020 11:47

zhovner 23 6200 Источник

Все, кто использует SSH знают, что при первом подключении к серверу, появляется сообщение с подтверждением отпечатка ключа. Дальше ключ сохраняется на стороне клиента, и больше это сообщение не показывается до момента пока сохраненный ключ не изменится. Но в чем практический смысл этой процедуры?

В реальной жизни почти никто не проверяет отпечаток SSH-ключа сервера не особенно задумываясь о возможности MiTM-атаках. С появлением DNS-записи SSHFP отпечаток ключа сервера можно хранить в DNS и проверять его подлинность с помощью DNSSEC. При этом не нужно даже подтверждать ключ при первом подключении. В статье разберем, как настроить запись SSHFP для своего SSH-сервера.

Сервер для тестов

Для начала нам потребуется сервер.В панели RuVDS реквизиты для SSH-доступа находятся сразу на карточке сервера. Сохраняем IP-адрес и пароль для подключения.

Вы также можете настроить файрвол прямо из контрольной панели, чтобы разрешить доступ по SSH только для своего IP.

Для настройки SSHFP на IP-адрес сервера должен быть направлен домен, именно для этого домена мы будем настраивать DNS-записи.

Как работают ключи в SSH

В примерах мы будем рассматривать только пакет OpenSSH, так как это самый популярный вариант.

При установке нового сервера генерируются случайные SSH-ключи, обычно это происходит сразу при установке пакета OpenSSH или при первой загрузке, если используются готовые образы систем.

Файлы с ключами находятся здесь:

$ ls -la /etc/ssh/ssh_host_*_key*

/etc/ssh/ssh_host_dsa_key
/etc/ssh/ssh_host_dsa_key.pub
/etc/ssh/ssh_host_ecdsa_key
/etc/ssh/ssh_host_ecdsa_key.pub
/etc/ssh/ssh_host_ed25519_key
/etc/ssh/ssh_host_ed25519_key.pub
/etc/ssh/ssh_host_rsa_key
/etc/ssh/ssh_host_rsa_key.pub

В этом списке есть сразу несколько ключей разного типа: dsa, rsa, ecdsa, ed25519. Это сделано для совместимости с разными SSH-клиентами. На этапе подключения клиент и сервер согласовывают, какой алгоритм ключа будет использоваться. Клиент может попросить сервер использовать другой алгоритм, если предложенный не поддерживается. Сервер посылает публичную часть своего ключа клиенту и пользователю предлагается проверить его отпечаток вручную.

Сервер посылает клиенту отпечаток публичного ключа в момент подключения

Если это первое подключение, клиенту будет показано сообщение с требованием проверить отпечаток ключа вручную:

The authenticity of host 'example.com (123.45.67.89)' can't be established.
ECDSA key fingerprint is SHA256:7Q4nIqjuo/lSXWFkt9RaJYVHrT6LUAc6KWrdQ4/DDeA.
Are you sure you want to continue connecting (yes/no/[fingerprint])?

На этом этапе мы все обычно нажимаем Yes не задумываясь и отпечаток ключа сохраняется в файл ~/.ssh/known_hosts. Теперь если ключ на сервере изменится, клиенту будет показано сообщение о возможной MiTM-атаке. Предполагается, что в самый первый раз клиент выполнил проверку ключа самостоятельно и убедился, в его подлинности.

Такой подход довольно рискованный, ведь если атакующий успел перехватить момент первого подключения, то сможет подсунуть свой ключ и перехватить подключение. В случае c HTTPS у нас есть третья сторона, которая подтверждает ключ сервера с помощью сертификата. Если такой же подход как в SSH использовался в вебе, нас бы постоянно мучали сообщения о проверке ключа и MiTM-атаки были повсеместно, ведь никто не станет проверять ключи, а будет просто всегда соглашаться.

Храним отпечаток ключа в DNS. Что такое записи SSHFP

Как узнать, что предложенный сервером SSH-ключ действительно настоящий и это не MiTM-атака? Ведь для того чтобы зайти на сервер и проверить ключ нужно сперва ввести пароль. Но тогда атакующий сможет моментально взломать сервер и подменить все данные на нем, да так, что мы и не заметим подвоха. Поэтому нужен способ проверить подлинность ключа еще ДО реального подключения.

Долгое время, единственным способом проверить SSH-ключ сервера до подключения, было использовать другой канал, например, попросить, администратора сервера сообщить отпечаток ключа сервера. Это неудобно, поэтому проще игнорировать проблему и всегда соглашаться не задумываясь.

SSHFP позволяет проверить подлинность ключа сервера до подключения через DNS

SSHFP — тип записей DNS для хранения SSH-ключей. Отпечаток SSH-ключа помещается в DNS-сервер подобно TXT записи и подписывается ключом DNSSEC. То есть при первом подключении к серверу с использованием имени хоста, клиент сможет заранее узнать отпечаток ключа сервера через DNS, и если он совпадает с предложенным сервером, то подключаться без предупреждения.

Настройка DNSSEC

Для использования SSHFP потребуется доменное имя с настроенным DNSSEC. Есть множество публичных DNS-сервисов, которые предлагают панель управления DNS сразу с функцией DNSSEC. Самый популярный такой сервис — CloudFlare. Рассмотрим настройку на его примере. Для следующий действий домен должен быть делегирован NS-сервера Cloudflare.

?Шаг 1 — сгенерировать ключ

Заходим в панель DNS --> Enable DNSSEC

В этот момент будут сгенерированы ключи для подписания вашей доменной зоны. Вам будут показаны публичные ключи. Их нужно будет добавить на стороне регистратора домена.

?Шаг 2 — добавление публичных ключей у регистратора

Далее, нужно создать DS-записи, содержащие публичный ключ, у регистратора домена.
В зависимости от вашего регистратора, интерфейс добавления ключей DNSSEC может выглядеть по-разному. Важно только не перепутать значения, так как они могут называться по-разному и отличаться от названий показанных в CloudFlare.

На примере ниже показано как соотносятся значения, показанные в панели CloudFlare со значениями в панели управления доменом у регистратора Uniregistry.

?Шаг 3 — проверка добавленных DS-записей

После добавления DS-записей на стороне регистратора можно проверить корректность настроек. На стороне CloudFlare подписание DNS-записей будет активировано, только когда будет пройдена проверка корректности добавления DS-записей на стороне регистратора.

Ожидание добавления DS-записей

Через пару минут или часов, если записи были добавлены корректно, вы увидите такое сообщение. Это значит, что DNS-ответы теперь подписываются с помощью DNSSEC.

?Шаг 4 — проверка работы DNSSEC

Теперь можно проверить работу DNSSEC на нашем домене с помощью онлайн-сервисов вроде dnssec-analyzer.verisignlabs.com. Все галочки должны быть зелеными.

Результат проверки DNSSEC

Добавление записей SSHFP

Сгенерируем SSHFP-записи на сервере. В нашем примере мы администрируем сервер с адресом myserver.com. Для этого доменного имени мы ранее настроили DNSSEC.

На сервере выполняем команду:

# Сгенерировать записи SSHFP из существующих SSH-ключей
sudo ssh-keygen -r myserver.com

myserver.com IN SSHFP 1 1 057ecce168ace29d5a0099e3b63df2850e4c8e20
myserver.com IN SSHFP 1 2 52cd6099a304b9b8f57f2cd914e96a1b7477eb2f88c98c602
myserver.com IN SSHFP 2 1 42d677482e4450ee515d3aac94d96302a99bd4ec
myserver.com IN SSHFP 2 2 edda5fa445dc0da570c772a6df0d4012037e1a102840d29c4
...

Будут сгенерированы отпечатки для всех ключей из папки /etc/ssh/. Вы можете выборочно сгенерировать отпечатки для конкретных ключей, указав путь к файлу.

Теперь все эти записи нужно добавить в панели DNS, в нашем случае Cloudflare.

Добавление записи SSHFP в панели Cloudflare

Так, нужно добавить все ключи, полученные на предыдущем шаге. Теперь можно проверить, что ключи добавлены:

dig SSHFP myserver.com

В ответе вы должны увидеть все добавленные ключи. На подписание новых записей может потребоваться время, поэтому ключи в ответе могут появиться не сразу. Обычно это не занимает дольше 10-15 минут.

Подключаемся к серверу

Чтобы SSH-клиент проверял валидность ключей через DNS, нужно добавить включить это в настройках. Конфиг клиента находится в домашней папке пользователя. Добавляем туда одну строку.

# Редактируем конфиг
vi ~/.ssh/config

VerifyHostKeyDNS yes

Теперь можно подключаться к серверу. Для чистоты эксперимента можно удалить строку с отпечатком ключа из ~/.ssh/known_hosts. Для наглядности можно добавить опцию -v

# Подключаемся к серверу
ssh -v root@myserver.com


# DNS настроен неправильно, записей SSHFP нет
debug1: kex: host key algorithm: ecdsa-sha2-nistp256
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
.....
DNS lookup error: data does not exist

# DNS настроен правильно, но системный резолвер
# не поддерживает валидацию DNSSEC
debug1: kex: host key algorithm: ecdsa-sha2-nistp256
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
....
debug1: found 8 insecure fingerprints in DNS
debug1: matching host key fingerprint found in DNS


# DNS настроен правильно, системный резолвер поддерживает DNSSEC
debug1: kex: host key algorithm: ecdsa-sha2-nistp256
debug1: expecting SSH2_MSG_KEX_ECDH_REPLY
....
debug1: found 8 secure fingerprints in DNS
debug1: matching host key fingerprint found in DNS
debug1: ssh_rsa_verify: signature correct

Если все настроено правильно, то при первом подключении к серверу не будет запрошена ручная проверка отпечатка ключа. Для этого также нужно, чтобы системный DNS-резолвер поддерживал валидацию DNSSEC.

Важно помнить, что SSHFP будет работать только при подключении к серверу по доменному имени и не будет работать при подключении по IP или другому домену, на котором нет SSHFP-записей.

Комментарии (23)

zkutch
15.04.2020 16:07
#21503008
Чтобы обезопасить первое подключение можно использовать fwknop, хотя там есть и своя слабина.
1. YourChief
  15.04.2020 19:54
  #21503756
  Каким образом? fwknop это портнокер по сути, он наоборот ограничивает клиентов пока они не пришлют аутентифицированный пакет.
  
  Из альтернатив тут только использование сертификатов SSH (подчеркну: не ключей — сертификатов), распространяемых отдельно. Такое решение лучше масштабируется и не требует внедрения DNSSEC. Вот руководство, правда не очень свежее: www.digitalocean.com/community/tutorials/how-to-create-an-ssh-ca-to-validate-hosts-and-clients-with-ubuntu
  1. zkutch
    15.04.2020 22:17
    #21504254
    -1
    Да, и как раз именно этим можно обезопасить первое подключение: ссш открывается только тому клиенту, который присылает нужный пакет. Для остальных, в основном, даже не видно, что порт назначен для ссш. После того как я настроил fwknop боты фактически сканируют впустую.
    
    YourChief
    15.04.2020 22:23
    #21504276
    Смысл статьи в противоположном: защитить не сервер от левых клиентов, а клиентов от подложного сервера. Ситуация такая: клиент делает первое подключение, он ещё не знает, какой у сервера должен быть host key. Первый раз обычно мы просто его принимаем на веру, не зная, к кому подключаемся на самом деле. А вот с DNSSEC можно опубликовать подписанную запись, какой должен быть ключ.
    
    zkutch
    15.04.2020 22:36
    #21504310
    -1
    Рассмотрим схематичную связку — fwknop && ssh — если не прошел fwknop, то это ложный сервер и ssh не начинается.
    
    YourChief
    15.04.2020 22:46
    #21504330
    Во-первых, как Вы узнаете, прошёл он или нет? Там отправляется с клиента один UDP-пакет больше ничего. Можно узнать только если порт UDP закрыт.
    
    Во-вторых, это никак не поможет защитить само TCP-соединение от перехвата. Атакующий может даже и не знать про какой-то там fwknop — он просто зарулит соединение SSH себе и всё. А SPA-пакет fwknop спокойно дойдёт до сервера, и сервер может его даже получит и что-то там откроет.
    
    zkutch
    15.04.2020 23:09
    #21504386
    -1
    У fwknop на сервере есть возможность отсылать на мейл сообщения на открытии и закрытии доступа.
    
    zhovner Автор
    15.04.2020 22:51
    #21504342
    +1
    YourChief прав, порт кнокинг не защтит вас от MiTM-атаки. Представьте, что атакующий сидит на стороне провайдера и использует DPI для обнаружения SSH хендшейка и автоматически подменяет ключ на свой. Ему не важно что вы делали до этого, ведь TCP-подключение с SSH все равно будет обнаружено и перехвачено.
    
    zkutch
    16.04.2020 01:23
    #21504622
    -1
    речь о fwknop, а не о простом кнокинге.

GennPen
15.04.2020 18:32
#21503490
На сколько понял, SSHFP запись просто предоставляет в открытую fingerprint и не работает если домен не поддерживает DNSSEC?
А почему не использовать обычную TXT запись?
1. YourChief
  15.04.2020 19:57
  #21503770
  +2
  Если не использовать DNSSEC, то запись не подписана и может быть так же подменена по пути.
  
  Вопрос почему это сделали отдельным типом записи — хороший вопрос, могли по идее так же пихнуть ключ в TXT-запись, защищённую DNSSEC.
  
  Из альтернатив тут только использование сертификатов SSH (подчеркну: не ключей — сертификатов), распространяемых отдельно. Такое решение лучше масштабируется и не требует внедрения DNSSEC. Вот руководство, правда не очень свежее: www.digitalocean.com/community/tutorials/how-to-create-an-ssh-ca-to-validate-hosts-and-clients-with-ubuntu

YourChief
15.04.2020 20:06
#21503808
VerifyHostKeyDNS yes

Этого недостаточно. У SSH-клиента должен быть резолвер, валидирующий DNSSEC. В общем случае это не так.
1. zhovner Автор
  15.04.2020 20:10
  #21503820
  Да, об этом сказано в конце.
  1. YourChief
    15.04.2020 20:26
    #21503872
    Это довольно нетривиальная часть — речь не просто о системном резолвере, а буквально о резолвере в локалке, который тоже должен поддерживать и валидировать DNSSEC. Если компьютер переносной, то придётся использовать что-то вроде dnssec-trigger. Либо иметь ssh, собранный с поддержкой ldns и unbound-anchor.
    
    Довольно громоздко получается в результате, я бы сказал.

YourChief
15.04.2020 22:47
#21504332
+1
TIL: для аутентификации публичным ключом валидация ключа хоста по сути не нужна: www.gremwell.com/ssh-mitm-public-key-authentication

VitalKoshalew
16.04.2020 00:40
#21504562
А в чём заключается проблема, которую решают? Лень проверять fingerprint сервера? Потому как для получения пароля или для передачи своего публичного ключа нужно уже иметь доверенный канал связи. Почему по этому каналу стандартно не запрашивать fingerprint? Если нам это лень сделать, то почему нам не лень найти ОС и SSH-клиент, которые поддерживают SSHFP, настроить DNSSEC, изменить конфигурацию по умолчанию SSH-клиента?
1. VolCh
  16.04.2020 07:50
  #21504928
  +1
  Фишка публичного ключа в том, что ему не нужен доверительный канал, он предназначен для передачи по открытым каналам, потому и зовётся публичным
  1. VitalKoshalew
    17.04.2020 01:44
    #21508358
    +1
    Это самая распространенная ошибка при развёртывании каналов на основе асимметричного ключа. Если вы пошлёте ваш публичный ключ по недоверенному каналу, например по e-mail с opportunistic шифрованием и где-то между вами и получателем будет полноценный MiTM, то все ваши коммуникации будут проходить через MiTM с возможностью расшифровки. Атакующий перехватывает ваш первый e-mail и подменяет ваш публичный ключ на свой. После этого он перехватывает все адресованные вам сообщения, расшифровывает своим private ключём, шифрует для вашего публичного и отправляет вам. Аналогично в обратную сторону.
    
    Публичный ключ называется публичным потому, что его можно распространять на публичных площадках: опубликовать у себя на HTTPS-сайте, разместить на корпоративном (доверенном) сервере, тогда можно проверить, что это ваш ключ, а не MiTM-атакующего. Если ваш публичный ключ станет известен всем, ничего плохого в этом нет, даже наоборот.
    
    Применительно к SSH, если вы пошлёте ваш публичный SSH-ключ владельцу SSH-сервера по e-mail, а между вами MiTM, ваш e-mail может быть перехвачен, публичный ключ подменен. После этого атакующий либо заходит на SSH-сервер со своим ключём и делает там то, что хочет, либо перехватывает вашу SSH-сессию, проксирует её и наблюдает за всеми вашими действиями.
    
    VolCh
    17.04.2020 12:48
    #21509496
    и где-то между вами и получателем будет полноценный MiTM, то все ваши коммуникации будут проходить через MiTM с возможностью расшифровки
    Не очень понимаю как. Ключ передаётся по одному каналу, а сообщения потом идут по другому же.
    
    VitalKoshalew
    17.04.2020 17:10
    #21510404
    Не очень понимаю, где вы видите другой канал, разве что в середине, на просторах «большого» Интернета, и то магистральные провайдеры могут быть одни и те же, не говоря уже про СОРМ и прочие системы, которые могут и на многих провайдеров распространяться.
    
    Запустите traceroute с вашего рабочего места до SSH-сервера, а затем запустите traceroute с рабочего места (или, скорее, почтового сервера вашего предприятия) до следующего(-их) hop на пути e-mail и от администратора SSH-сервера до последнего или пред-последнего почтового сервера, через который прошла почта. Каждый совпавший hop в traceroute даст вам некое представление о количестве мест где и ваш e-mail трафик и SSH-сессии могут перехватить. На самом деле, таких мест значительно больше, если учитывать L2-оборудование и даже физические L1-каналы. Как минимум, это оборудование провайдеров вашей компании и компании, где размещён SSH-сервер, но, в большинстве случаев, там ещё масса неявных мест, вроде магистральных провайдеров между городами, IX-точек и т.д. Также, достаточно вероятным вектором (развития) атаки будет взломанное оборудование вашей компании или контрагента.
    
    Более того, как я написал выше, одним из типов атаки будет подмена вашего публичного ключа в e-mail и заход со своим ключом на SSH-сервер, для этого вообще больше ничего перехватывать не надо, только e-mail.
1. lizergil
  16.04.2020 11:32
  #21505494
  +1
  Первое, что хочу сказать — автор молодец, что поднимает такие темы. Этот кейс действительно игнорируют множество разработчиков. Что касается самого способа, то он предназначен больше для случаев, когда надо ходить на большое количество хостов через публичную сеть. Для стандартной схемы с бастион-хостом конечно проще проверить отпечаток самостоятельно один раз и разместить known_hosts файл в репозитории с инструментами управления.

ElegantBoomerang
16.04.2020 00:50
#21504574
sudo ssh-keygen …
Зачем sudo, публичные части ключей и так кто угодно читать может ;)

firk
16.04.2020 03:43
#21504746
Эм, всё не так.
По поводу веба: естественно никто не станет сверять ключи для посещения очередного развлекательного сайта, так что там придумали систему, которая хоть как-то работает в расчёте на незаинтересованного в безопасности и в среднем малограмотного пользователя.
Если у вас SSH относится к той же категории, то ок, хорошая идея, но не надо её выставлять как топовую безопасность. Особенно вот это:

узнать отпечаток ключа сервера через DNS, и если он совпадает с предложенным сервером, то подключаться без предупреждения.
Для пользователей, которым плевать на безопасность, и которые не хотят на неё вообще что-то тратить ("нажимаем Yes не задумываясь", "ведь никто не станет проверять ключи, а будет просто всегда соглашаться"), это всё действительно несколько её увеличит. А те, кому не плевать, будут сверять ключи с полученными по действительно надёжному каналу, который не подвержден перехвату третьими сторонами (DNSSEC, как и общепринятый SSL для сайтов, таковым очевидно не является).