
Moin, On Fri, Apr 17, 2020 at 04:39:16PM +0200, Jens Hektor wrote:
Am 17.04.20 um 13:16 schrieb Frank Knoben:
Wenn ich mich beim ssh vertippe, z.b server.rwth-aache.de und die Adresse ist gerade registriert und hört auf port 22 zu.
Dagegen gibts aber was: SSH Fingerprint Records im DNS.
Hilft das wirklich? Oder eher im Gegenteil? Ich meine, wenn ich mich _nicht_ vertippe, "ssh server.rwth-aachen.de" mache, und da antwortet dann irgendein MITM, dann hilft mir der Host Fingerprint, und wenn ich den nicht auswendig kenne, dann hilft mir der passende DNS-Record (vorausgesetzt man hat DNSSEC oder der MITM kann zufällig nur SSH und nicht DNS angreifen). Aber wenn ich mich beim Hostnamen vertippe und "ssh server.rwth-aache.de" eingebe, was hindert dann den Angreifer daran, einen passenen DNS-Eintrag mit dem dort tatsächlich verwendeten SSH-Key anzubieten? Da hilft mir dann auch kein DNSSEC mehr. Und ich bekomme noch nichtmal mehr eine Warnung über einen unbekannten Host-Key. (Bei VerifyHostKeyDNS=yes) Ich denke, das ist eher ein Nachteil an den SSHFP-Einträgen. Grüße, Jan