Автор Тема: xfreerdp жалуется на смену отпечатка ключа  (Прочитано 2701 раз)

Оффлайн kiav

  • Участник
  • *
  • Сообщений: 535
  • Стич-спасатель
Пишет "WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!" и пояснения. Среди возможных причин - атака "man-in-the-middle". Вот этого и хочу избежать.

Сначала подумал, что дело в обращении к чужому ПК. Я выхожу на свой по Инет, использую динамический dns, т.к. адрес не фиксированный (фиксированным не может быть, провайдер их выдает только юрлицам). Есть человек в той же домашней сети, на myip.ru он выйти способен. IP оказался верен.

Тогда нужно проверять действительно ли теперь на моем ПК такой ключ. У меня есть альтернативный способ попасть на него (VNC), но если за мной следят, то нужно знать точный порядок действий, прежде чем входить на него.

Возможно, пришло какое-то обновление безопасности и все хорошо. Но все-таки, сначала нужно разобраться, а не тупо удалять ~/.freerdp/known_hosts (подобными советами забит весь Инет).

Что я могу сделать когда войду на ПК:
  • Зайти на домашний маршрутизатор и сделать проброс портов так, чтобы внешний порт RDP был нестандартным. Тогда можно будет увидеть изменился ли отпечаток. Но это поможет, если следят за определенным портом.
  • Каким-то образом (каким?) узнать отпечаток действующего ключа RDP и сравнить с тем, что показывает xfreerdp. Тогда можно успокоиться, если ключ действительно теперь другой.

Проблема также в том, что я не знаю достоверно почему может измениться ключ. В инете тоже не нашел. Я почти месяц работаю по RDP в таком режиме, проблема возникла для меня внезапно. Да, на моем Windows 8.1 включены автоматические обновления.

Как разобраться точно что произошло? На сайте MS ответа не нашел.

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 361
  • Учиться .... Телепатами не рождаются, ими ....
Ещё раз - в чём заключается ваш вопрос?

Оффлайн kiav

  • Участник
  • *
  • Сообщений: 535
  • Стич-спасатель
в чём заключается ваш вопрос?

1.) Узнать как зайдя на сервер RDP альтернативным путем проверить отпечаток действующего ключа.
2.) Выяснить почему ключ вообще изменился, если я сам ничего для этого не делал.
« Последнее редактирование: 11.07.2015 19:45:49 от sb »

Оффлайн ksa

  • Модератор глобальный
  • *****
  • Сообщений: 9 049
2.) Выяснить почему ключ вообще изменился, если я сам ничего для этого не делал.
Это вопрос к микрософт.

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 361
  • Учиться .... Телепатами не рождаются, ими ....
Каким-то образом (каким?) узнать отпечаток действующего ключа RDP и сравнить с тем, что показывает xfreerdp. Тогда можно успокоиться, если ключ действительно теперь другой.
это надо спецов по Windows спрашивать, где он хранит такие ключи. Возможно где-нибудь в реестре.
« Последнее редактирование: 11.07.2015 20:31:11 от sb »

Оффлайн kiav

  • Участник
  • *
  • Сообщений: 535
  • Стич-спасатель
Возможно где-нибудь в реестре
Возможно. Вижу в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM ключи  Certificate и CertificateOld. Пробовал вернуть старый - не помогло.
Пробрасывал другой порт с маршрутизатора. Тоже все по прежнему - отпечаток другой.

В раздел HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\RCM\Secrets попасть не могу - отказ в доступе. Запускал с правами админа regedit.

Последние два дня обновлений (помимо Windows Defender) не было. Не могу понять это атака или нет ....
« Последнее редактирование: 11.07.2015 21:11:19 от kiav »

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 361
  • Учиться .... Телепатами не рождаются, ими ....
спросите на http://forum.oszone.net/ в разделе http://forum.oszone.net/forum-97.html, я думаю - там быстрее вам помогут спецы по Windows

Оффлайн kiav

  • Участник
  • *
  • Сообщений: 535
  • Стич-спасатель
спросите на http://forum.oszone.net/ в разделе http://forum.oszone.net/forum-97.html, я думаю - там быстрее вам помогут спецы по Windows

Спасибо, пока Вы писали это сообщение спросил на форуме Windows. Пока плодить темы в Интернетах не буду ....

Добавлено: Нашел как посмотреть сертификат сам. Для этого я запустил mmc.exe и добавил оснастку Сертификаты с режимом работы с сертификатами компьютера. Вижу один сертификат. Он действителен с 9 июля (что странно, 9-го я работал и проблем не видел) до 8 января.
Отпечаток сертификата дан в консоли по алгоритму sha1 и не совпадает, ни со старым, ни с новым, которые я вижу в xfreerdp. Как установить алгоритм отпечатка в клиенте RDP?

Нашел статью на английском, описывающие действия по просмотру сертификата. Аналогичное есть и по-руссски.

Добавлено 2: В английской статье по просмотру сертификата сервера RDP сказано как получить отпечаток для xfreerdp. Мне потребовалось удалить только один байт впереди, чтобы получить отпечаток, который показывается сейчас (так там и написано - уберите первые две цифры).

Получается, что никакой атаки нет, переиздан сертификат. Правда непонятно почему и неясно почему всего на полгода. Вот из-за этого сомнения остаются.

9 июля устанавливалось обновление безопасности для Flash. Только там ничего не сказано о переиздании сертификата RDP.

Добавлено 3: Я не одинок во вселенной. В другой клиентской Windows (у меня 8.1, а пострадавший с 7) таже проблема - система переиздает сертификат каждые 6 месяцев. Есть также что-то полезное о создании самоподписанных сертификатов в Windows из командной строки.
« Последнее редактирование: 12.07.2015 03:22:17 от kiav »