Secure Shell, alebo skrátená SSH, je jednou z najpokročilejších bezpečnostných technológií na prenos dát. Použitie takého režimu na tom istom routeri môže zabezpečiť nielen dôvernosť prenášaných informácií, ale aj zrýchlenie výmeny paketov. Je pravda, že nie každý vie, ako otvoriť port SSH a prečo potrebuje všetko. V tomto prípade budeme musieť poskytnúť konštruktívne vysvetlenie.
Port SSH: čo je to a prečo?
Pokiaľ ide o bezpečnosť, v tomto prípade by mal byť port SSH chápaný ako vyhradený kanál vo forme tunelu, ktorý poskytuje šifrovanie údajov.
Najprimitivnejšou schémou fungovania takéhoto tunelu je, že otvorený port SSH sa štandardne používa na šifrovanie informácií v zdrojovom zariadení a dešifrovanie informácií v koncovom bode. Vysvetlite to takto: či chcete alebo nie, prenášaná doprava, na rozdiel od IPSec, je zašifrovaná núteným príkazom a na výstupe jedného sieťového terminálu a na vstupe hostiteľskej strany. Ak chcete dešifrovať informácie prenášané na tomto kanáli, prijímajúci terminál používa špeciálny kľúč. Inými slovami, nikto nemôže zasahovať do prenosu alebo porušiť integritu dát prenášaných v súčasnej dobe bez kľúča.
Práve otvorením portu SSH na každom smerovači alebo použitím vhodných nastavení ďalšieho klienta, ktorý priamo komunikuje so serverom SSH, vám umožňuje plne využiť všetky bezpečnostné funkcie zabezpečovacieho systémumoderné siete. Ide o použitie predvoleného portu alebo vlastných nastavení. Tieto možnosti sa môžu ťažko aplikovať, ale bez pochopenia organizácie takéhoto spojenia to nemožno urobiť.
Štandardný port SSH
Ak sa chcete naozaj dostať z parametrov ktoréhokoľvek smerovača, mali by ste najskôr rozhodnúť, ktorý softvér sa použije na použitie tohto komunikačného kanálu. V skutočnosti môže mať predvolený port SSH rôzne nastavenia. Všetko závisí od toho, ktorá metodika sa momentálne používa (priame pripojenie k serveru, inštalácia ďalšieho klienta, zrušenie portov atď.).
Napríklad, ak sa Jabber používa ako klient, port 443 musí byť použitý na správne pripojenie, šifrovanie a prenos dát, hoci port 22 je nastavený ako štandardná verzia.
Aby ste prekonfigurovali smerovač s uvoľnením konkrétneho programu alebo procesu potrebných podmienok, budete musieť vykonať posun SSH portu. Čo to je? To je účel špecifického prístupu pre konkrétnu aplikáciu, ktorá používa internetové pripojenie bez ohľadu na to, ktoré nastavenie má aktuálny protokol o výmene údajov (IPv4 alebo IPv6).
Technické odôvodnenie
Ako je už zrejmé, štandardný port SSH 22 nie je vždy používaný. Tu je však potrebné zdôrazniť niektoré funkcie a nastavenia, ktoré používate pri konfigurácii.
Prečo dôvernosť prenosu šifrovaných údajovznamená použitie SSH ako jediného externého (hosťa) portu používateľa? Ale práve preto, že tunelovanie umožňuje používať tzv. Vzdialený shell (SSH), prístup k riadeniu terminálu cez slogan a použiť procedúry vzdialeného skenovania (scp). Okrem toho môže byť použitý aj port SSH, ak používateľ potrebuje spustiť vzdialené X windows skripty, čo je v najjednoduchšom prípade prenos informácií z jedného stroja do druhého, ako už bolo uvedené, s povinným šifrovaním údajov , V takýchto situáciách bude použitie algoritmov založených na AES veľmi naliehavé. Ide o algoritmus pre symetrické šifrovanie, ktorý pôvodne poskytuje technológia SSH. A nielen to je možné, ale aj nevyhnutné.
História implementácie
Samotná technológia sa objavila už dávno. Keď ponecháme otázku, ako upustiť od SSH portov, zabudnite na to, ako to všetko funguje. Zvyčajne to všetko spočíva v používaní servera proxy typu Socks alebo pomocou VPN tunelu. V prípade, že je softvérová aplikácia schopná pracovať s VPN, je lepšie túto možnosť uprednostňovať. Faktom je, že prakticky všetky známe dnešné programy, ktoré využívajú internetový prenos, s VPN, môžu fungovať, a konfigurácia smerovania špeciálnej práce nie je. Toto, ako v prípade serverov proxy, umožňuje ponechať externú adresu terminálu, z ktorého sa práve uskutočňuje.prístup do siete, neidentifikovaný. To je prípad s proxy adresy sa neustále mení, a možnosť VPN zostane nezmenený s ktorým sa určitý región iný, než kde je prístup k zákazu. Rovnaká technológia, keď sa otvorí port SSH, bola vyvinutá už v roku 1995 na Technickej univerzite vo Fínsku (SSH-1). V roku 1996 boli pridané vylepšenia ako SSH-2 protokol, ktorý bol celkom rozšírený v pošte, aj keď to, rovnako ako v niektorých západoeurópskych krajinách občas potrebujú oprávnenie používať tento tunel, a od vládnych agentúr. Hlavnou výhodou otvorenie SSH-port, na rozdiel od telnet alebo rlogin, je použitie digitálnych podpisov RSA alebo DSA (vo forme pary otvoreného a pochoval kľúč). Okrem toho, že táto situácia môže použiť takzvaný kľúč relácie na základe algoritmu Diffie-Hellman, ktorý zahŕňa použitie symetrického šifrovania výstupu, aj keď nevylučuje použitie algoritmov pre asymetrické šifrovanie počas prenosu dát a príjem inom stroji.
Servery a shell
Windows alebo Linux nie je ťažké otvoriť port SSH. Otázkou je, aký druh súboru nástrojov bude použitý. V tomto zmysle by sa mala venovať pozornosť otázke prenosu informácií a autentifikácie. Po prvé, samotný protokol je dostatočne chránený pred takzvaným čuchaním, čo je najbežnejšie "poslucháč" dopravy. SSH-1 bol pred útokmi bezbranný. Intervencia v tomto proceseDáta ako schéma "man in the middle" má svoje výsledky. Informácie by mohli byť jednoducho zachytené a dekódované vo všetkých základných. Ale druhá verzia (SSH-2) bol imúnny proti takým zásahom nazýva únos, a tak získal najväčšiu distribúciu.
Bezpečnostné zákazy
Pokiaľ ide o bezpečnosť, pokiaľ ide o dát odoslaných a prijatých dát, organizáciu spojenie vytvorené pomocou technológie zabraňuje týmto problémom:
, definujúce kľúč k hostiteľovi v kroku prenosu pri použití, cast »odtlačok;
pre podporu systému Windows a UNIX-like systémy;
, substitúcia IP adries a DNS (spoofing);
záchytnej heslá otvoriť s fyzickým prístupom na dátovom kanáli.
Celá organizácia takéhoto systému je postavená na princípe "klient-server", čo znamená, že určený stroj na začiatku používa špeciálny program alebo doplnok na prístup k serveru, ktorý produkuje zodpovedajúce presmerovanie.
Tunelovanie
Je samozrejmé, že na vytvorenie spojenia tohto typu musí byť na systém inštalovaný špeciálny ovládač. V systéme Windows je to typicky ovládač Microsoft Teredo, ktorý je zabudovaný do programového prostredia, čo je druh virtuálnej emulácie protokolov IPv6 v sieťach iba pre protokol IPv4. Adaptér tunera je v predvolenom stave aktívny. V prípade zlyhaní, ktoré s ňou súvisia, môžete jednoducho reštartovať systém alebo spustiť príkazy na vypnutie a reštartovať príkazykonzoly. Nasledujúce riadky sa používajú na deaktiváciu:
netsh;
rozhranie teredo rozhranie zakázané;
stav rozhrania isatap je zakázaný.
Po zadaní príkazov je potrebné vykonať reštart. Ak chcete znova povoliť adaptér a kontrolovať jej stav skôr než povolenú zakázaná predpísané povolenie, a potom znova, mali reštartovať celý systém.
SSH server
Teraz uvidíme, ktorý port SSH sa používa ako primárny, a pokračuje zo schémy klient-server. Zvyčajne sa štandardne používa 22. port, ale, ako už bolo spomenuté vyššie, môže byť tiež použitý 443. port. Otázkou je len nadradenosť samotného servera. Najbežnejším SSH-server sa považuje nasledovné:
pre Windows: Tectite SSH servera OpenSSH na Cygwin, MobaSSH, KpyM Telnet /SSH server, WinSSHD, copssh, freeSSHd;
pre FreeBSD: OpenSSH;
, na Linux: Tectite SSH server, SSH, openssh-server, LSH-server, dropbear.
Všetky vyššie uvedené servery sú bezplatné. Nájdete však platené služby, ktoré sa vyznačujú zvýšenou úrovňou bezpečnosti, čo je mimoriadne nevyhnutné pre organizáciu prístupu k sieti a zabezpečenie informácií v podnikoch. Náklady na takéto služby nie sú v súčasnosti prejednávané. Ale všeobecne sa dá povedať, že je to pomerne lacné, a to aj v porovnaní s inštaláciou špecializovaného softvéru, alebo "železný" firewall.
, SSH klient
Zmena portu SSH môžu byť založené na klientovi alebo príslušné nastavenia pre presmerovanie portov na routeri. Avšak, ak sa dotknete klienta škrupiny pre rôzne systémy môžu byť použité nasledujúce softvér:
Okná - SecureCRT, PuTTYKiTTY, Axessh, ShellGuard, SSHWindows, Zoc, XShell,ProSSHD a tak ďalej;
Mac OS X: iTerm2 vSSH, NiftyTelnet SSH;
Linux a BSD: lsh-klient, kdessh, openssh-client, Vinagre, tmel.
Otvorenie overovania kľúča a zmena portu
Teraz niekoľko slov o tom, ako je server overený a nakonfigurovaný. V najjednoduchšom prípade musíte použiť konfiguračný súbor (sshd_config). Môžete to však urobiť bez použitia napríklad programov typu PuTTY. Port SSH môžete zmeniť zo štandardnej hodnoty
na čokoľvek iné na veľmi základnej úrovni.
Hlavná vec - že počet otvoreného prístavu nepresahuje hodnotu 65535 (nad prístavmi sa v prírode nestane). Okrem toho by ste mali venovať pozornosť niektorým otvoreným portom, ktoré môžu používať klienti, ako sú databázy MySQL alebo FTPD. Ak zadáte ich konfiguráciu pre SSH, samozrejme, jednoducho prestane pracovať. Stojí za to, že ten istý klient Jabber musí bežať v jednom prostredí pomocou SSH servera, napríklad na virtuálnom počítači. Samotný server localhost bude musieť priradiť hodnotu 4430 (namiesto 443, ako je uvedené vyššie). Táto konfigurácia sa môže použiť, ak brána firewall zablokuje prístup k hlavnému súboru jabber.example.com.
Na druhej strane je možné previesť porty na samotný smerovač pomocou nastavenia rozhrania na tento účel s vytvorením pravidiel vylúčenia. Na väčšine modelov sa záznam uskutočňuje zadaním adries začínajúcich na 192168 s prídavkom 0,1 alebo 1,1, ale na smerovačoch, ktoré kombinujú možnosti ADSL modemov, ako je Mikrotik, konečná adresapredpokladá použitie 88.1. V tomto prípade vytvorte nové pravidlo a potom nastavte požadované parametre, napríklad pre inštaláciu externé pripojenie dst-nat a ručne porty sú predpísané v všeobecnom nastavenia a preferencie v akcii (akcie). Tu nie je nič zvláštne. Najdôležitejšie je špecifikovať požadované parametre a nastaviť správny port. V predvolenom nastavení môžete použiť port 22, ale ak budete používať špecializovaný klient (vyššie pre rôzne systémy), môže byť hodnota ľubovoľne meniť, ale len preto, že táto možnosť neprekročí stanovenú hodnotu, pri ktorej prekročení čísla portov sú jednoducho nie sú k dispozícii. Pri nastavovaní pripojenia by ste mali venovať pozornosť aj nastaveniam klientskej aplikácie. Je možné, že jeho nastavenie je potrebné zadať minimálnu dĺžku kľúča (512), aj keď je predvolená je zvyčajne nastavená na hodnotu 768. Tiež je žiaduce, aby nastaviť čas prihlásenia na 600 sekúnd a umožní vzdialený prístup s využitím ľudského koreň. Po uplatnení takýchto inštalácií musíte tiež dať povolenie na používanie všetkých autentifikačných práv okrem tých, ktoré sú založené na použití .rhost (ale len pre správcov systému). Okrem iného v prípade, že užívateľské meno zaregistrovaný v systéme, sa nezhoduje s tými, ktoré v súčasnej dobe je potrebné zadať explicitne pomocou ssh master príkazu užívateľa sa zavedením ďalších parametrov (pre tých, ktorí pochopili, čo je v stávke ).
Prevod kľúča aPríkaz ~ /.ssh /id_dsa (alebo rsa) môže byť použitý pre samotnú metódu šifrovania. Ak chcete vytvoriť verejný kľúč, použije sa transformácia pomocou riadku ~ /.ssh /identity.pub (ale nie nevyhnutne). Ale ako ukazuje prax, je najjednoduchšie použiť príkazy ako ssh-keygen. Tento predmet je obmedzený, aby sa pridali kľúč k nástrojov dostupných povolení (~ /.ssh /authorized_keys). Ale išli sme príliš ďaleko. Ak sa vrátite k problému nastavenia SSH, ako je už zrejmé, zmena portu SSH nie je príliš zložitá. Avšak, v niektorých situáciách, hovoria, budú musieť potiť, pretože budete musieť vziať do úvahy všetky základné nastavenia. Zvyšok problému konfigurácie zostúpi do vchodu do vnútornej alebo externej aplikácie (ak je na začiatku), alebo použiť prebudení portu routera. Ale aj keď zmeníte port 22, predvolené, s rovnakým 443 th, malo by byť jasné, že takýto systém nefunguje vždy, ale v prípade inštalácie rovnaký doplnok Jabber (iné analógy môžu aktivovať ich zodpovedajúce porty, odlišné od štandardných. Navyše, osobitná pozornosť by sa mala venovať možnosti fakturačného SSH-klient, ktorý bude priamo komunikovať s SSH serverom, ak je to naozaj mal použiť existujúce pripojenie. V opačnom prípade, ak sa obsadenie porty poskytnutej na prvý pohľad (aj keď je vhodné vykonať nasledujúce), nie je možné meniť nastavenia a preferencie pre prístup cez protokol SSH. Tu sú niektoré špeciálne problémy pri vytváraní spojenia a jej následnom používaní,Vo všeobecnosti sa to neočakáva (ak samozrejme nebude použitá manuálna konfigurácia konfigurácie na serveri a klientovi). Všeobecne platí, že vytvorenie výnimky pravidiel na smerovači vám umožňuje opraviť všetky problémy alebo ich vyhnúť.
Hlavná vec - že počet otvoreného prístavu nepresahuje hodnotu 65535 (nad prístavmi sa v prírode nestane). Okrem toho by ste mali venovať pozornosť niektorým otvoreným portom, ktoré môžu používať klienti, ako sú databázy MySQL alebo FTPD. Ak zadáte ich konfiguráciu pre SSH, samozrejme, jednoducho prestane pracovať. Stojí za to, že ten istý klient Jabber musí bežať v jednom prostredí pomocou SSH servera, napríklad na virtuálnom počítači. Samotný server localhost bude musieť priradiť hodnotu 4430 (namiesto 443, ako je uvedené vyššie). Táto konfigurácia sa môže použiť, ak brána firewall zablokuje prístup k hlavnému súboru jabber.example.com.
Na druhej strane je možné previesť porty na samotný smerovač pomocou nastavenia rozhrania na tento účel s vytvorením pravidiel vylúčenia. Na väčšine modelov sa záznam uskutočňuje zadaním adries začínajúcich na 192168 s prídavkom 0,1 alebo 1,1, ale na smerovačoch, ktoré kombinujú možnosti ADSL modemov, ako je Mikrotik, konečná adresapredpokladá použitie 88.1. V tomto prípade vytvorte nové pravidlo a potom nastavte požadované parametre, napríklad pre inštaláciu externé pripojenie dst-nat a ručne porty sú predpísané v všeobecnom nastavenia a preferencie v akcii (akcie). Tu nie je nič zvláštne. Najdôležitejšie je špecifikovať požadované parametre a nastaviť správny port. V predvolenom nastavení môžete použiť port 22, ale ak budete používať špecializovaný klient (vyššie pre rôzne systémy), môže byť hodnota ľubovoľne meniť, ale len preto, že táto možnosť neprekročí stanovenú hodnotu, pri ktorej prekročení čísla portov sú jednoducho nie sú k dispozícii. Pri nastavovaní pripojenia by ste mali venovať pozornosť aj nastaveniam klientskej aplikácie. Je možné, že jeho nastavenie je potrebné zadať minimálnu dĺžku kľúča (512), aj keď je predvolená je zvyčajne nastavená na hodnotu 768. Tiež je žiaduce, aby nastaviť čas prihlásenia na 600 sekúnd a umožní vzdialený prístup s využitím ľudského koreň. Po uplatnení takýchto inštalácií musíte tiež dať povolenie na používanie všetkých autentifikačných práv okrem tých, ktoré sú založené na použití .rhost (ale len pre správcov systému). Okrem iného v prípade, že užívateľské meno zaregistrovaný v systéme, sa nezhoduje s tými, ktoré v súčasnej dobe je potrebné zadať explicitne pomocou ssh master príkazu užívateľa sa zavedením ďalších parametrov (pre tých, ktorí pochopili, čo je v stávke ).
Prevod kľúča aPríkaz ~ /.ssh /id_dsa (alebo rsa) môže byť použitý pre samotnú metódu šifrovania. Ak chcete vytvoriť verejný kľúč, použije sa transformácia pomocou riadku ~ /.ssh /identity.pub (ale nie nevyhnutne). Ale ako ukazuje prax, je najjednoduchšie použiť príkazy ako ssh-keygen. Tento predmet je obmedzený, aby sa pridali kľúč k nástrojov dostupných povolení (~ /.ssh /authorized_keys). Ale išli sme príliš ďaleko. Ak sa vrátite k problému nastavenia SSH, ako je už zrejmé, zmena portu SSH nie je príliš zložitá. Avšak, v niektorých situáciách, hovoria, budú musieť potiť, pretože budete musieť vziať do úvahy všetky základné nastavenia. Zvyšok problému konfigurácie zostúpi do vchodu do vnútornej alebo externej aplikácie (ak je na začiatku), alebo použiť prebudení portu routera. Ale aj keď zmeníte port 22, predvolené, s rovnakým 443 th, malo by byť jasné, že takýto systém nefunguje vždy, ale v prípade inštalácie rovnaký doplnok Jabber (iné analógy môžu aktivovať ich zodpovedajúce porty, odlišné od štandardných. Navyše, osobitná pozornosť by sa mala venovať možnosti fakturačného SSH-klient, ktorý bude priamo komunikovať s SSH serverom, ak je to naozaj mal použiť existujúce pripojenie. V opačnom prípade, ak sa obsadenie porty poskytnutej na prvý pohľad (aj keď je vhodné vykonať nasledujúce), nie je možné meniť nastavenia a preferencie pre prístup cez protokol SSH. Tu sú niektoré špeciálne problémy pri vytváraní spojenia a jej následnom používaní,Vo všeobecnosti sa to neočakáva (ak samozrejme nebude použitá manuálna konfigurácia konfigurácie na serveri a klientovi). Všeobecne platí, že vytvorenie výnimky pravidiel na smerovači vám umožňuje opraviť všetky problémy alebo ich vyhnúť.
