¿Alguien puede monitorear mis transferencias de archivos ssh (scp)

8

Estoy trabajando en arquitectura distribuida donde tenemos distribuciones de datos automatizadas utilizando bit-torrent. Pero a veces necesitamos acceso instantáneo a algunos datos almacenados en el servidor remoto. Así que quería saber qué tan seguras son las transferencias de archivos SSH (SCP) (generalmente tar.gz de imágenes o registros de acceso de 2-3GB). ¿Puede mi ISP o alguien más sentir lo que estoy transfiriendo e interceptarlos?

¿Cómo verá la red estos datos en su servidor de monitoreo?

ssh Sin bordes.Nomad
fuente

Respuestas:

13

El tráfico SSH / SCP será prácticamente inmune a las intromisiones (suponiendo que valide las huellas digitales del servidor la primera vez que se conecte para evitar travesuras de hombre en el medio).

Desde el punto de vista de los atacantes, se verá un poco como este cómic de XKCD:

http://xkcd.com/538/

Básicamente, un atacante encontrará más útil comprometer los puntos finales (tal vez al golpearlo con una llave inglesa de $ 5) que intentar espiar el tráfico en sí.

cjc
fuente
¿Todavía cuenta como descarga HTTP? Quiero decir, ¿se podrá rastrear el tamaño y el tipo de contenido?
Sin
55
Tamaño: más o menos, en el sentido de que cualquier persona que esté monitoreando la red sabrá cuántos bits pasaron por el cable. Sin embargo, no podrán distinguir entre el tráfico de comandos y las descargas de archivos. Y el tipo de contenido no existe en SCP, así que no.
mfinni
2
El tráfico @whoru SSH / SCP no es tráfico HTTP, por lo que alguien que esté mirando la red puede decir que no está utilizando HTTP y posiblemente bloquearlo. Pero no podrán decir qué es realmente ese tráfico SSH, ya sea documentos de alto secreto, registros financieros o videos de la fiesta de cumpleaños de su hijo. Todo será un galimatías para alguien que no tenga las claves SSH.
cjc
44
Además, si está utilizando compresión con SSH ( -Cindicador), no hay forma de que un intermediario sepa cuántos datos sin comprimir se transfieren; podría transferir un archivo de texto sin formato de 500 MB (altamente compresible) y usar unos pocos megabytes de ancho de banda real, que es todo lo que verían.
Tom Marthenal
4

SCP es tan seguro como cualquier otro tráfico basado en SSH, a menos que sean particularmente talentosos y / o determinados, entonces su ISP o cualquier otra persona no podrá decir qué datos está enviando, a ellos les parecerá solo un montón de tráfico SSH.

Así que no estoy diciendo que es imposible para ellos saber lo que estás haciendo (lo que están haciendo? :)), pero es improbable que lo hagan.

Chopper3
fuente
77
Solo tenga en cuenta que DEBE verificar la clave pública remota la primera vez o se expone a MITM, generalmente la firma de la clave pública remota se almacena localmente después de la primera conexión.
Shadok
4

Si está utilizando SSH, los datos están encriptados. Mientras sus claves estén seguras, sus datos estarán seguros. Cualquiera que ejecute un sniffer o netflow, etc., solo verá que hay una conexión SSH entre las dos direcciones IP. El contenido será seguro.

Ahora, dices "interceptar", lo cual considero que solo significa "leer" o posiblemente "secuestrar / inyectar". Podrían inyectar paquetes, pero no se descifrarían en nada útil (para usted o para ellos). Podrían bloquearlos y usted lo sabría de inmediato.

¿Qué modo (s) de ataque le preocupan?

mfinni
fuente
3

SSH es un protocolo totalmente encriptado para la comunicación punto a punto. Verán el origen y el destino, pero no el contenido de los paquetes.

Secure Shell en Wikipedia

El cifrado utilizado por SSH está destinado a proporcionar confidencialidad e integridad de los datos a través de una red no segura, como Internet.

Aaron Copley
fuente