Beim Versuch, aus zwei unterschiedlichen Netzwerken auf einen Server zu wechseln, werden zwei RSA-Fingerabdrücke erzeugt

506
Fabio A.

Ein Versuch, effingham.dreamhost.comüber SSH eine Verbindung zum Remote-Server über das Netzwerk meines Unternehmens herzustellen, führte dazu, dass SSA einen Fehler wegen eines RSA-Fingerabdruckfehlers ergab. Ich untersuchte und fand heraus, dass alles gut lief, wenn ich mich über das Mobilfunknetz meines Mobiltelefons mit dem Server verband.

Im Folgenden finden Sie den korrekten effingham.dreamhost.comRSA-Fingerabdruck, wie von Dreamhost gemeldet.

The correct effingham fingerprint as reported by dreamhost

Beim Verbinden mit dem Server über das Mobilfunknetz meines Mobiltelefons stimmen die Schlüssel überein.

# ssh -o FingerprintHash=md5 effingham.dreamhost.com The authenticity of host 'effingham.dreamhost.com (208.113.186.1)' can't be established. RSA key fingerprint is MD5:90:8e:91:ac:f5:8c:9b:31:0c:5e:5e:8c:9c:b7:12:72. Are you sure you want to continue connecting (yes/no)?

Wenn ich jedoch zum Netzwerk meines Unternehmens wechsle, stimmen die Schlüssel nicht überein, obwohl die IP-Adresse die gleiche ist wie im vorherigen Beispiel.

# ssh -o FingerprintHash=md5 effingham.dreamhost.com The authenticity of host 'effingham.dreamhost.com (208.113.186.1)' can't be established. RSA key fingerprint is MD5:fb:58:8d:e7:47:b6:b4:32:79:b9:da:12:87:23:33:cc. Are you sure you want to continue connecting (yes/no)?

Ich weiß nicht, was hier vor sich geht. Ich verstehe, dass es sich nicht um DNS-Hijacking handeln kann, da die IP-Adressen unterschiedlich sein müssen. Ist das korrekt? Wenn ja, was könnte die Ursache für dieses Verhalten sein, und sollte ich befürchten, dass jemand die Verbindung belauscht, oder ähnliches?

1
Verwendet Ihr Unternehmen einen transparenten Proxy für andere Protokolle, beispielsweise für HTTPS? Könnten sie Anfragen an einen Interception-Server an der Firewall umleiten? Silas Parker vor 8 Jahren 1
Sie haben Regeln, die bestimmten Datenverkehr blockieren. Dies ist einer der Gründe, warum ich mein Dreamhost-Konto als Stellvertreter verwenden wollte. Ich hatte erwartet, dass Port 22 auf externen Servern blockiert wird, jedoch nicht transparent an wer-weiß-wo weitergeleitet wird. Sie sagen also, es ist möglich, dass ihre Firewall die Verbindung zu einem anderen SSH-Server hijackt? Übrigens kann ich mich nur mit Passwortauthentifizierung anmelden, keine gemeinsamen Schlüssel, während ich gemeinsame Schlüssel mit dem ursprünglichen Server verwenden kann. Fabio A. vor 8 Jahren 0
Ich habe trotzdem versucht, eine Verbindung herzustellen, und ssh antwortete mit 'PTY-Zuordnungsanforderung auf Kanal 0 fehlgeschlagen'. Es sieht definitiv fischig aus. Fabio A. vor 8 Jahren 0

1 Antwort auf die Frage

1
Silas Parker

Ich vermute, Ihr Unternehmen leitet ausgehende TCP-Verbindungen des Ports 22 an einen Dummy-SSH-Server um. Es wird wahrscheinlich die IP-Adresse protokolliert, die die Verbindung herstellt, sodass die IT-Abteilung weiß, wer versucht hat, die Anfrage zu stellen.

Während der Datenverkehr ein Gateway oder eine Firewall durchläuft, können Verbindungen blockiert oder umgeleitet werden.

Sie könnten versuchen, Ihren Server für die Ausführung auf einem Port mit einer höheren Nummer (z. B. 22222) neu zu konfigurieren, da dies möglicherweise nicht blockiert ist. Am besten ist es jedoch am besten, wenn Sie Ihre IT-Abteilung bitten, SSH für Sie zuzulassen.

Verwandte Probleme