Kako konfigurirati in uporabljati vrata SSH? Navodila po korakih

Secure Shell ali skrajšana SSH je ena najnaprednejših varnostnih tehnologij za prenos podatkov. Uporaba takega načina na istem usmerjevalniku lahko zagotovi ne le zaupnost poslanih informacij, temveč tudi pospeši izmenjavo paketov. Res je, ni vsakdo ve, kako odpreti vrata SSH in zakaj vse to potrebuje. V tem primeru bomo morali dati konstruktivno razlago.

SSH pristanišče: kaj je to in zakaj?

Kar zadeva varnost, je treba v tem primeru pristanišče SSH razumeti kot namenski kanal v obliki predora, ki zagotavlja šifriranje podatkov.
Najbolj primitivna shema delovanja takšnega predora je, da se odprta vrata SSH privzeto uporabljajo za šifriranje informacij v viru in njihovo dešifriranje na končni točki. To razložite tako: če želite ali ne, se preusmerjeni promet, v nasprotju z IPSec, šifrira v prisilnem nalogu in na izhodu enega omrežnega terminala in na vhodu gostiteljske stranke. Za dešifriranje informacij, poslanih na tem kanalu, sprejemni terminal uporablja poseben ključ. Z drugimi besedami, brez ključa nihče ne more posegati v prenos ali prekiniti celovitost podatkov, poslanih v tem trenutku.


Če odprete vrata SSH na vsakem usmerjevalniku ali uporabite ustrezne nastavitve dodatnega odjemalca, ki neposredno sodeluje s strežnikom SSH, lahko v celoti izkoristite vse varnostne funkcije varnostnega sistema.sodobnih omrežij. Gre za uporabo privzetih vrat ali nastavitev po meri. Te možnosti je težko uporabiti, vendar brez razumevanja organizacije takšne povezave tega ni mogoče storiti.

Standardna vrata SSH

Če se resnično želite izogniti parametrom katerega koli usmerjevalnika, se najprej odločite, katero programsko opremo boste uporabljali za uporabo tega komunikacijskega kanala. Pravzaprav imajo lahko privzeta vrata SSH različne nastavitve. Vse je odvisno od tega, katero metodologijo trenutno uporabljamo (neposredna povezava s strežnikom, namestitev dodatne odjemalke, spuščanje vrat itd.).


Na primer, če se Jabber uporablja kot odjemalec, morajo biti vrata 443 uporabljena za pravilno povezavo, šifriranje in prenos podatkov, čeprav so vrata 22 nastavljena kot standardna različica.
Za ponovno konfiguracijo usmerjevalnika s sproščanjem določenega programa ali procesa potrebnih pogojev boste morali opraviti vrganje vrat SSH. Kaj je to? To je namen posebnega dostopa za določeno aplikacijo, ki uporablja internetno povezavo, ne glede na to, katera nastavitev ima trenutni protokol izmenjave podatkov (IPv4 ali IPv6).

Tehnična utemeljitev

Kot je že jasno, standardna vrata SSH 22 niso vedno uporabljena. Vendar pa morate tukaj poudariti nekatere funkcije in nastavitve, ki jih uporabljate pri konfiguriranju.
Zakaj zaupnost prenosa šifriranih podatkovpomeni uporabo SSH kot edinega zunanjega (gostujočega) porta uporabnika? Ampak samo zato, ker se uporablja tuneliranje, omogoča uporabo tako imenovane oddaljene lupine (SSH), dostopa do upravljanja terminala prek slogina in uporabe postopkov oddaljenega skeniranja (scp).
Poleg tega je mogoče uporabiti tudi vrata SSH, če mora uporabnik izvajati oddaljene skripte za okna X, kar je v najenostavnejšem primeru prenos informacij iz enega računalnika v drugega, kot je bilo že omenjeno, z obveznim šifriranjem podatkov . V takšnih situacijah bo uporaba algoritmov, ki temeljijo na AES, najbolj nujna. To je algoritem za simetrično šifriranje, ki ga prvotno zagotavlja SSH tehnologija. In da ga uporabite ne le, da je mogoče, ampak tudi je potrebno.

Zgodovina izvajanja

Tehnologija sama se je pojavila že zdavnaj. Če pustimo ob strani vprašanje, kako spustiti vrata SSH, se pogovorimo o tem, kako deluje. Običajno je vse to povezano z uporabo proxyja, ki temelji na Socksu ali z uporabo tunela VPN. V primeru, da lahko katera koli programska oprema deluje z VPN-jem, je bolje izbrati to možnost. Dejstvo je, da skoraj vsi znani danes programi, ki uporabljajo internetni promet, z VPN lahko delajo, in konfiguracija usmerjanja posebnega dela ne. To, kot v primeru proxy strežnikov, vam omogoča, da zapustite zunanji naslov terminala, s katerega se trenutno izvaja.dostop do omrežja, neznan. To pomeni, da se v primeru posrednika naslovi nenehno spreminjajo, pri variante VPN pa ostane nespremenjena s fiksiranjem regije, ki ni v veljavi prepoved dostopa. Ista tehnologija, ko se odpira vrata SSH, je bila razvita leta 1995 na Tehnološki univerzi na Finskem (SSH-1). Leta 1996 so bile narejene izboljšave v obliki protokola SSH-2, ki je prejel precej razširjeno distribucijo na post-sovjetskem območju, čeprav je za to, kot v nekaterih zahodnoevropskih državah, včasih potrebno pridobiti dovoljenje za uporabo takšnega predora in od vladnih agencij.
Glavna prednost odpiranja vrat SSH, za razliko od telnet ali rlogin, je uporaba digitalnega podpisa RSA ali DSA (uporaba para kot odprtega in zakopanega ključa). Poleg tega se lahko v tem primeru tako imenovani ključ seje uporabi na podlagi Diffie-Hellmanovega algoritma, ki vključuje uporabo simetričnega šifriranja na izhodu, čeprav ne izključuje uporabe asimetričnih algoritmov šifriranja v procesu prenosa podatkov in njihovega sprejemanja z drugim strojem.

Strežniki in ukazne lupine

Windows ali Linux ni težko odpreti vrat SSH. Vprašanje je samo, kakšno orodje bo uporabljeno. V tem smislu je treba pozornost nameniti vprašanju prenosa informacij in preverjanja pristnosti. Prvič, sam protokol je dovolj zaščiten pred ti sniffingom, ki je najpogostejši "poslušalec" prometa. SSH-1 je bil pred napadom brez obrambe. Posredovanje v procesuPrenos podatkov v obliki sheme "človek na sredini" je imel svoje rezultate. Informacije se lahko preprosto prestrežejo in dekodirajo. Druga različica (SSH-2) pa je bila zavarovana pred tovrstnimi motnjami, ki se imenujejo ugrabitev seje, zaradi česar je bila najbolj razširjena.

Varnostne ovire

V zvezi z varnostjo v zvezi s posredovanimi in prejetimi podatki se vzpostavitev povezave, ustvarjene s takšnimi tehnologijami, izogiba naslednjim težavam:
  • določanje ključa gostitelju na stopnji prenosa, kadar se uporablja "posnetek" »Prstni odtis;
  • podpora za sisteme, podobne Windows in UNIX;
  • zamenjava naslovov IP in DNS (prevara);
  • prestrezanje odprtih gesel s fizičnim dostopom do kanala za prenos podatkov.
  • Pravzaprav je celotna organizacija takega sistema zgrajena na načelu "odjemalec-strežnik", to je na prvem mestu, imenovani stroj uporablja poseben program ali dodatek za dostop do strežnika, ki ustvari ustrezno preusmeritev.

    Predor

    Samoumevno je, da mora biti za tovrstno povezavo v sistem nameščen poseben voznik. Značilno je, da je v sistemih Windows to gonilnik Microsoft Teredo, vgrajen v programsko lupino, ki je navidezno emulacijo protokola IPv6 na omrežjih samo za IPv4. Prilagoditveni sprejemnik je privzeto v aktivnem stanju. V primeru zrušitev, povezanih z njim, lahko preprosto znova zaženete sistem ali izvedete ukaze za zaustavitev in ukaze za ponovni zagon.konzola Za deaktiviranje se uporabljajo naslednje vrstice:
  • netsh;
  • stanje vmesnika teredo je onemogočeno;
  • nastavitev stanja vmesnika je onemogočena.
  • Po vnosu ukazov je treba ponovno zagnati. Če želite ponovno omogočiti vmesnik in preveriti njegov status namesto neveljavnega, je dovoljenje omogočeno, nato pa je treba ponovno zagnati preostali del sistema.

    SSH strežnik

    Zdaj pa si poglejmo, katera vrata SSH se uporabljajo kot primarna in izhajajo iz sheme odjemalec-strežnik. Ponavadi se privzeto uporabi 22. pristanišče, vendar, kot je že bilo omenjeno zgoraj, lahko uporabimo tudi 443. vrata. Vprašanje je le v superiornosti samega strežnika. Najpogostejši strežnik SSH velja za naslednje:
  • za Windows: strežnik Tectia SSH, OpenSSH s Cygwin, MobaSSH, strežnik KpyM Telnet /SSH, WinSSHD, copssh, freeSSHd;
  • za FreeBSD: OpenSSH;
  • za Linux: strežnik Tectia SSH, ssh, openssh-server, lsh-server, dropbear.
  • Vsi zgoraj navedeni strežniki so brezplačni. Vendar pa lahko najdete plačane storitve, za katere je značilna višja raven varnosti, kar je izjemno potrebno za organizacijo dostopa do omrežja in varnost informacij v podjetjih. O stroških takih storitev trenutno ne razpravljamo. Toda na splošno lahko rečemo, da je to relativno poceni, celo v primerjavi z namestitvijo specializirane programske opreme ali "železnega" požarnega zidu.

    SSH odjemalec

    Spreminjanje vrat SSH se lahko izvede na podlagi odjemalskega programa ali ustreznih nastavitev pri usmerjanju vrat usmerjevalnika. Če pa se dotaknete ukaznih lupin, lahko za različne sisteme uporabite naslednje programske izdelke:
  • Windows - SecureCRT, PuTTYKiTTY, Axessh, ShellGuard, SSHWindows, ZOC, XShell,ProSSHD itd.
  • Mac OS X: iTerm2 vSSH, NiftyTelnet SSH;
  • Linux in BSD: lsh-client, kdessh, openssh-odjemalec, Vinagre, kit.
  • Preverjanje pristnosti odprtih ključev in spreminjanje vrat

    Zdaj nekaj besed o tem, kako je strežnik preverjen in konfiguriran. V najenostavnejšem primeru morate uporabiti konfiguracijsko datoteko (sshd_config). Vendar pa lahko to storite brez njega, na primer pri uporabi programov, kot je PuTTY. Vrata SSH lahko spremenite iz standardne vrednosti

    v katerokoli drugo na zelo osnovni ravni.
    Glavna stvar - da število odprtih vrat ne presega vrednosti 65535 (nad pristanišči se v naravi ne zgodi). Poleg tega morate biti pozorni na nekatera odprta vrata, ki jih lahko uporabljajo odjemalci, kot so MySQL ali FTPD baze podatkov. Če določite njihovo konfiguracijo za SSH, bodo seveda preprosto prenehali delovati. Treba je razmisliti, da mora biti isti Jabber odjemalec zagnan v enem okolju z uporabo strežnika SSH, na primer na navideznem računalniku. Sam strežnik localhost bo moral dodeliti vrednost 4430 (namesto 443, kot je navedeno zgoraj). To konfiguracijo lahko uporabite, če požarni zid blokira dostop do glavne datoteke jabber.example.com.
    Po drugi strani pa je mogoče preusmeriti vrata na samem usmerjevalniku z uporabo vmesnika za ta namen z ustvarjanjem pravil izključitve. Na večini modelov je vnos opravljen z vnosom naslovov, ki se začnejo z 192168 z dodatkom 0,1 ali 1,1, vendar na usmerjevalnikih, ki združujejo zmožnosti modemov ADSL, kot sta Mikrotik, končni naslovpredvideva uporabo 88.1. V tem primeru se ustvari novo pravilo, po katerem se nastavijo zahtevani parametri, na primer za vzpostavitev zunanje povezave dst-nat, kot tudi ročno dodeljevanje vrat v razdelku splošne nastavitve in v razdelku prednosti aktivnih dejanj (Dejanje). Tukaj ni nič posebnega. Glavna stvar je, da določite potrebne parametre in nastavite pravilna vrata. Privzeto lahko uporabite vrata 22, vendar če uporabite specializiranega odjemalca (ki je zgoraj naveden za različne sisteme), lahko vrednost spremenite samovoljno, vendar le tako, da ta parameter ne presega vrednosti, za katero je številka vrat preprosto odsotna. Ko nastavljate povezavo, bodite pozorni tudi na nastavitve odjemalske aplikacije. Morda bo v svojih nastavitvah potrebno določiti minimalno dolžino ključa (512), čeprav je privzeto običajno 768. Zaželeno je tudi, da nastavite čas prekinitve prijave 600 sekund in oddaljeno dovoljenje s korenskimi pravicami. Po uporabi takšnih namestitev morate dovoliti tudi uporabo vseh pravic za preverjanje pristnosti, razen tistih, ki temeljijo na uporabi .rhost (vendar samo za sistemske skrbnike). Poleg tega, če se uporabniško ime, registrirano v sistemu, ne ujema z trenutno vnesenim, ga boste morali izrecno podati z uporabo glavnega ukaza uporabnika ssh z uvedbo dodatnih parametrov (za tiste, ki razumejo, kaj se razpravlja. )
    Za pretvorbo ključa inUkaz ~ /.ssh /id_dsa (ali rsa) se lahko uporablja za samo metodo šifriranja. Za ustvarjanje javnega ključa se uporablja pretvorba z uporabo vrstice ~ /.ssh /identity.pub (vendar ne nujno). Vendar, kot kaže praksa, je najlažje uporabiti ukaze, kot je ssh-keygen. Bistvo vprašanja je le, da dodate ključ k razpoložljivim orodjem za avtoring (~ /.ssh /authorized_keys). Toda šli smo predaleč. Če se vrnete na vprašanje nastavitve SSH, kot je že jasno, sprememba vrat SSH ni pretežka. Res je, da v določenih situacijah, ki se imenuje, se bo moral potiti, ker bo moral upoštevati vse vrednosti glavnih parametrov. V nasprotnem primeru se vprašanje konfiguracije zmanjša na notranji ali zunanji program (če je prvotno zagotovljen) ali na usmerjanje usmerjevalnih vrat. Toda tudi če spremenite privzeto pristanišče 22, na isti 443, morate jasno razumeti, da taka shema ne deluje vedno, ampak samo v primeru namestitve istega dodatka Jabber (drugi analogi lahko uporabljajo tudi ustrezna vrata, ki drugačni od standardnih). Poleg tega je treba posebno pozornost nameniti nastavitvi parametrov odjemalca SSH, ki bo neposredno sodeloval s strežnikom SSH, če se to dejansko pričakuje, da bo uporabil trenutno povezavo. V nasprotnem primeru, če na začetku ni padca priključkov (čeprav je to zaželeno), se nastavitve in možnosti dostopa do SSH ne morejo in ne morejo spreminjati. Tukaj je nekaj posebnih težav pri ustvarjanju povezave in njeni nadaljnji uporabi,na splošno se ne pričakuje (razen če se seveda ne bo uporabljala ročna konfiguracija konfiguracije, ki temelji na strežniku in odjemalcu). Na splošno ustvarjanje izjeme pravila na usmerjevalniku omogoča, da odpravite vse težave ali se jim izognete.

    Sorodne publikacije