SSH3: SSHv2 usando HTTP/3 e QUIC

 (github.com/francoismichel)
4 pontos por GN⁺ 2023-12-17 | 1 comentários | Compartilhar no WhatsApp

SSH3: um shell seguro mais rápido e mais completo usando HTTP/3

  • Visão geral do SSH3: o SSH3 revisita completamente o protocolo SSH, mapeando sua semântica sobre mecanismos do HTTP. O SSH3 usa QUIC+TLS1.3 para estabelecer canais seguros e aproveita mecanismos de autenticação HTTP para autenticar usuários.

O SSH3 é mais rápido

  • Velocidade de estabelecimento de sessão: o SSH3 estabelece sessões muito mais rapidamente que o SSHv2. Enquanto o SSHv2 exige de 5 a 7 idas e voltas de rede, o SSH3 precisa de apenas 3.

O SSH3 é seguro

  • Mecanismos de segurança: o SSH3 depende de mecanismos robustos e testados ao longo do tempo, como TLS 1.3, QUIC e HTTP. Esses protocolos já são amplamente usados em aplicações críticas para segurança na internet.

Servidores públicos SSH3 podem ser ocultados

  • Ocultação do servidor: servidores SSH3 podem ficar escondidos atrás de links secretos e responder apenas a tentativas de autenticação feitas por requisições HTTP para um link específico. Isso permite tornar servidores SSH3 invisíveis para usuários da internet.

O SSH3 já é rico em recursos

  • Novos recursos: permite encaminhamento de porta UDP, uso de certificados X.509, ocultação de servidor e autenticação de usuário sem chave (OpenID Connect).
  • Implementação de recursos do OpenSSH: implementa recursos populares do OpenSSH, como parsing de ~/.ssh/authorized_keys, parsing de ~/.ssh/config, autenticação de servidor baseada em certificado, mecanismo known_hosts, uso automático de ssh-agent, encaminhamento de agente SSH, encaminhamento de porta TCP e outros.

Instalando o SSH3

  • Compilando a partir do código-fonte: é necessária a versão mais recente do Golang, além de baixar o código-fonte e compilar os binários.
  • Implantação do servidor SSH3: é preciso implantar o servidor SSH3 no host, e são necessários um certificado X.509 e uma chave privada. É fornecido o modo de uso do executável ssh3-server.
  • Uso do cliente SSH3: depois que o servidor SSH3 estiver em execução, é possível se conectar usando o cliente SSH3. É fornecido o modo de uso do executável ssh3.

Opinião do GN⁺

  • Importância: o SSH3 oferece estabelecimento de sessão mais rápido e segurança reforçada em comparação com o protocolo SSH existente. Em especial, o novo método de autenticação baseado em HTTP/3 e o recurso de ocultação do servidor trazem grandes vantagens de segurança.
  • Interesse: para usuários atuais de SSH, é atraente poder continuar usando os recursos populares do OpenSSH. Além disso, novos recursos como encaminhamento de porta UDP abrem novas possibilidades para administradores de rede e usuários.
  • Diversão: a natureza experimental do SSH3 e seus novos recursos oferecem aos profissionais de TI o prazer de explorar e testar uma nova ferramenta. O método de autenticação sem chave via OpenID Connect tem potencial para transformar de forma inovadora a experiência do usuário.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-12-17
Comentários do Hacker News
  • Há opiniões variadas sobre SSH over QUIC:
    • Um usuário considera SSH over QUIC muito sensato e expressa uma visão positiva sobre o uso de um canal QUIC sobre UDP em vez de TCP. No entanto, questiona como o HTTP/3 se encaixa nisso e se ele não estaria apenas adicionando overhead.
    • Outro usuário aponta que os modelos de segurança de HTTP e SSH são diferentes, dizendo que o QUIC é adequado para HTTP, mas que não tem certeza sobre seu uso com SSH. Também demonstra preocupação de que tecnologias como certificados x509 ou OAuth possam não ser apropriadas para SSH.
    • Outro usuário acha que adicionar HTTP/3 não traz vantagem além de “esconder” o servidor SSH em um caminho de URL, e argumenta que a host key tradicional do SSH, SSHFP e TOFU são mais seguros.
    • Um usuário observa que este projeto é um projeto pessoal sem relação com o OpenSSH ou com o RFC de SSH3 da IETF.
    • Há também usuários mencionando desejos para uma versão 3 do protocolo SSH, defendendo a necessidade de SNI criptografado ou de um bloco de metadados padronizado.
    • Um usuário compartilha sua experiência usando SSH via WebSocket e demonstra interesse em suportar diferentes formas de transporte.
    • Há quem aponte a falta de benchmarks que mostrem os benefícios potenciais do QUIC, mencionando que o tamanho fixo da janela no OpenSSH limita a largura de banda.
    • Um usuário explica o SSHv2 over HTTP/3, dizendo que existem vários servidores e clientes SSH e que este projeto não introduziu uma nova criptografia. Ele também afirma torcer pelo sucesso do projeto e critica a resistência do OpenSSH a mudanças.
    • Há também um usuário compartilhando informações sobre tunelamento de UDP ou TCP por meio do protocolo WebSocket.
    • Um usuário menciona que uma conexão SSH via HTTP/3 pode parecer tráfego padrão de um site e comenta a possibilidade de contornar o firewall da China.

Essas opiniões variadas oferecem uma discussão interessante sobre o conceito de SSH over QUIC, abordando vantagens e desvantagens técnicas, além de considerações de segurança.