Cum se configurează și se utilizează portul SSH? Instrucțiuni pas-cu-pas

Secure Shell,

Portul SSH: Ce este și de ce?

În ceea ce privește securitatea, în acest caz portul SSH ar trebui să fie înțeles ca un canal de comunicare dedicat sub forma unui tunel care oferă criptarea datelor.

Schema cea mai primitivă a funcționării unui astfel de tunel este aceea deschideți portul ssh În mod implicit, acesta este folosit pentru criptarea informațiilor din sursă și pentru decriptarea acestora la punctul final. Pentru a clarifica acest lucru este posibil ca: fie că vă place sau nu, traficul transmis, spre deosebire de IPSec, este criptat forțat și la ieșirea unui terminal de rețea și la intrarea părții receptoare. Pentru a decripta informațiile transmise prin acest canal, terminalul de destinație utilizează o cheie specială. Cu alte cuvinte, nimeni nu poate interfera cu transferul sau poate perturba integritatea datelor transmise în momentul actual fără o cheie.

Doar deschiderea unui port SSH pe orice router sau utilizarea setărilor corespunzătoare unui client suplimentar care interacționează cu serverul SSH vă permite să profitați în mod direct de toate caracteristicile de securitate ale rețelelor moderne. Este vorba despre utilizarea portului implicit sau a setărilor personalizate. Acești parametri din aplicație pot părea destul de dificil, dar fără a înțelege organizarea acestei conexiuni este indispensabilă.

Port SSH standard

Dacă începeți într-adevăr de la parametrii unui router, trebuie mai întâi să determinați ce software va fi folosit pentru a activa acest canal de comunicare. De fapt, portul SSH implicit poate avea setări diferite. Totul depinde de tehnica utilizată în acest moment (conectarea directă la server, instalarea unui client suplimentar, redirecționarea porturilor etc.).

De exemplu, dacă Jabber este folosit ca client, portul 443 ar trebui să fie utilizat pentru conexiune corectă, criptare și transfer de date, deși portul 22 este instalat în versiunea standard.

Pentru a reconfigura routerul prin evidențierea condițiilor necesare pentru un anumit program sau proces, va trebui să efectuați port forwarding SSH. Ce este? Asta este există o alocare a anumitor accesuri pentru un program individual care utilizează o conexiune la Internet, indiferent de setările pe care le are protocolul de comunicație curent (IPv4 sau IPv6).

Rațiunea tehnică

După cum puteți vedea, portul standard SSH 22 nu este întotdeauna utilizat. Cu toate acestea, aici trebuie să evidențiați câteva caracteristici și parametri utilizați în configurație.

De ce criptate protocolul confidențialitatea datelor implică utilizarea de SSH ca pur extern (Guest) Port utilizator? Dar numai pentru că tunelare este aplicat permite utilizarea unei așa-numita coajă de la distanță (SSH), pentru a avea acces la gestionarea terminalului prin conectare la distanta (slogin), și se aplică procedura de copiere la distanță (scp).

În plus, SSH-port poate fi activat în cazul în care utilizatorul este necesar pentru a executa script-uri de la distanță X Windows, care, în cel mai simplu caz este un transfer de informații de la o mașină la alta, așa cum sa spus, cu o criptare a datelor forțată. În astfel de situații, cel mai necesar se va utiliza pe baza algoritmului AES. Acesta este un algoritm de criptare simetrică, care a fost prevăzut inițial în tehnologia SSH. Și de a folosi nu numai posibil, ci este necesar.

Istoricul implementării

Tehnologia în sine a apărut cu mult timp în urmă. Să lăsăm deoparte întrebarea cum să redirecționăm portul SSH, dar ne oprim la modul în care funcționează toate.

De obicei, totul se bazează pe utilizarea unui proxy bazat pe șosete sau folosind tuneluri VPN. În cazul în care orice aplicație software poate funcționa cu VPN, este mai bine să preferați această opțiune. Faptul este că aproape toate programele cunoscute în prezent care utilizează traficul Internet cu VPN pot funcționa, iar configurarea rutei nu face mult efort. Aceasta, ca și în cazul serverelor proxy, vă permite să lăsați nerecunoscută adresa externă a terminalului, care este în prezent accesat la rețea. Adică, în cazul unui proxy, adresa se schimbă constant, iar în versiunea VPN rămâne neschimbată cu fixarea unei anumite regiuni, diferită de cea în care operează interdicția de acces.

Aceeași tehnologie care oferă portul SSH, a fost dezvoltat în 1995 în cadrul Universității de Tehnologie din Finlanda (SSH-1). În 1996, îmbunătățiri au fost adăugate sub formă de SSH-2 protocol, care a fost destul de răspândită în spațiul post-sovietic, deși pentru acest lucru, precum și în unele țări din Europa de Vest, este uneori necesar pentru a obține permisiunea de a utiliza acest tunel, și de la agențiile guvernamentale.

Principalul avantaj al deschiderii SSH-port, spre deosebire de telnet sau rlogin, este utilizarea semnăturii digitale RSA sau DSA (utilizarea unei perechi de deschis și o cheie îngropată). Mai mult decât atât, în această situație, puteți utiliza așa-numita cheie de sesiune bazată pe Diffie-Hellman, care implică utilizarea de o ieșire de criptare simetrică, cu toate că nu exclude utilizarea de algoritmi de criptare asimetrică în timpul transmisiei de date și recepția de către o altă mașină.

Servere și Shell-uri

În Windows sau Linux, portul SSH nu este atât de dificil de deschis. Singura întrebare este care set de instrumente va fi folosit pentru acest lucru.

În acest sens, este necesar să se acorde atenție problemei transferului de informații și autentificării. În primul rând, protocolul în sine este suficient protejat de așa-numitul "sniffing", care este cel mai frecvent "interceptat" de trafic. SSH-1 a fost fără apărare înainte de atacuri. Interferența în procesul de transfer de date sub forma unei scheme "persoană în mijloc" a avut rezultate. Informațiile ar putea fi pur și simplu interceptate și descifrate pur și simplu. Dar cea de-a doua versiune (SSH-2) a fost asigurată împotriva acestui tip de intervenție, numită deturnare de sesiune, care a făcut-o cea mai comună.

Interdicții privind siguranța

În ceea ce privește securitatea în ceea ce privește datele transmise și primite, organizarea unei conexiuni create folosind astfel de tehnologii evită apariția următoarelor probleme:

• definiția cheii pentru gazdă în stadiul de transmisie, atunci când se utilizează amprenta "amprentă digitală";
• suport pentru sistemele Windows și UNIX;
• substituirea adreselor IP și DNS (spoofing);
• interceptarea parolelor deschise cu acces fizic la canalul de transmisie de date.

De fapt, întreaga organizare a unui astfel de sistem este construită pe principiul "client-server", adică, în primul rând, mașina utilizatorului prin intermediul unui program special sau a unor adrese adiționale către server, care efectuează redirecționarea corespunzătoare.

tunelelor

Este de la sine înțeles că un driver special trebuie instalat în sistem pentru a implementa acest tip de conexiune.

În mod obișnuit, în sistemele bazate pe Windows, acesta este driverul Microsoft Teredo integrat în shell-ul de software, care este un fel de instrument virtual de emulare IPv6 în rețelele IPv4. Tunnel adapter în mod implicit, este în stare activă. În cazul unor defecțiuni asociate cu aceasta, puteți restarta sistemul sau executa comenzile de închidere și repornire în consola de comandă. Pentru dezactivare, se utilizează următoarele linii:

• netsh;
• interfața cu interfața teredo este dezactivată;
• interfața isatap starea dezactivată.

După introducerea comenzilor, trebuie să reporniți. Pentru a reactiva adaptorul și pentru a verifica starea lui în loc de dezactivare, permisiunea este activată, după care, din nou, întregul sistem ar trebui să fie repornit.

Server SSH

Acum, să vedem ce port SSH este folosit ca port principal, pornind de la schema "client-server". În mod obișnuit, portul 22 este utilizat în mod implicit, dar, așa cum am menționat deja mai sus, putem folosi modelul 443rd. Singura întrebare este preferința serverului în sine.

Cele mai comune servere SSH sunt considerate a fi următoarele:

• pentru Windows: Server Tectia SSH, OpenSSH cu Cygwin, MobaSSH, Server KpyM Telnet / SSH, WinSSHD, copssh, freeSSHd;
• pentru FreeBSD: OpenSSH;
• pentru Linux: serverul Tectia SSH, ssh, openssh-server, lsh-server, dropbear.

Toate serverele listate sunt gratuite. Cu toate acestea, puteți găsi servicii cu plată, caracterizate printr-un nivel sporit de securitate, care este extrem de necesar pentru organizarea accesului la rețea și protejarea informațiilor la nivelul întreprinderilor. Costul acestor servicii nu este discutat acum. Dar, în general, putem spune că este relativ ieftin, chiar și în comparație cu instalarea unui software specializat sau a unui firewall "de fier".

SSH Client

Portul SSH poate fi modificat în funcție de programul client sau de setările corespunzătoare atunci când se rulează porturile de pe router.

Cu toate acestea, dacă atingeți cochilii client, următoarele produse software pot fi utilizate pentru diferite sisteme:

• Windows - SecureCRT, PuTTY KiTTY, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD etc;
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux și BSD: lsh-client, kdessh, openssh-client, Vinagre, chit.

Autentificare bazată pe chei publice și schimbarea portului

Acum câteva cuvinte despre modul în care are loc verificarea și configurarea serverului. În cel mai simplu caz, trebuie să utilizați fișierul de configurare (sshd_config). Cu toate acestea, puteți face acest lucru fără, de exemplu, în cazul programelor precum PuTTY. Modificarea portului SSH de la valoarea standard (22) la oricare alta poate fi destul de elementară.

Principalul lucru este că numărul portului deschis nu depășește valoarea de 65535 (pur și simplu nu există un astfel de lucru în natura de deasupra porturilor). În plus, trebuie să fiți atenți la unele porturi deschise în mod implicit, care pot fi folosite de clienți cum ar fi bazele de date MySQL sau FTPD. Dacă specificați configurația lor pentru SSH, desigur, acestea nu mai funcționează.

Trebuie remarcat faptul că același client Jabber ar trebui să ruleze în același mediu folosind un server SSH, de exemplu, într-o mașină virtuală. Și serverul localhost propriu-zis va trebui să atribuie o valoare de 4430 (și nu 443, așa cum sa menționat mai sus). Această configurație poate fi utilizată atunci când accesul la fișierul principal jabber.example.com este blocat de paravanul de protecție.

Pe de altă parte, puteți transfera porturi pe routerul însuși, utilizând setările interfeței sale pentru a crea reguli de excludere pentru acest lucru. În cele mai multe modele de intrare prin intermediul adreselor de intrare, începând cu 192.168 suplimentat cu 0,1 sau 1,1, dar routere ADSL capabilitatilor-modemuri cum ar fi Mikrotik, adresa final implică utilizarea de 88,1.

În acest caz, se creează o nouă regulă, apoi se stabilesc parametrii necesari, de exemplu, pentru a stabili o conexiune externă dst-nat și pentru a atribui manual și porturi care nu sunt în secțiunea setări generale și în secțiunea Preferințe de acțiune. Nu este nimic deosebit de complicat aici. Principalul lucru este să specificați setările necesare și să setați portul corect. În mod implicit, puteți utiliza portul 22, dar în cazul în care clientul folosește un special (unele dintre cele de mai sus pentru sisteme diferite), valoarea poate fi modificată în mod arbitrar, ci doar pentru ca acest parametru să nu depășească valoarea declarată, peste care numerele de port nu sunt pur și simplu disponibile.

Când configurați conexiunea, ar trebui să acordați atenție și parametrilor programului client. Acesta poate fi bine că în setările sale trebuie să specificați lungimea minimă a cheii (512), deși implicit este de obicei setat 768. De asemenea, este de dorit să se stabilească timpul de expirare pentru a vă conecta la nivelul de 600 de secunde și permisiunea de acces de la distanță cu drepturi de root. După aplicarea acestor setări, trebuie să acordați permisiunea de a utiliza toate drepturile de autentificare, cu excepția celor bazate pe utilizarea .rhost (dar acest lucru este necesar doar pentru administratorii de sistem).

Printre altele, în cazul în care numele de utilizator înregistrat în sistem, nu la fel cum a fost introdus în acest moment, acesta trebuie să fie specificat în mod explicit, folosind comanda de master ssh utilizator cu introducerea unor parametri suplimentari (pentru cei care înțeleg ce este în joc).

Comanda ~ / .ssh / id_dsa (sau rsa) poate fi folosită pentru a converti cheia și metoda de criptare în sine. Pentru a crea o cheie publică, conversia se face folosind șirul ~ / .ssh / identity.pub (dar acest lucru nu este necesar). Dar, după cum arată practica, este mai ușor să folosiți comenzi precum ssh-keygen. Aici esența problemei se reduce doar la adăugarea unei chei la instrumentele de autorizare disponibile (~ / .ssh / authorized_keys).

Dar noi am mers prea departe. Dacă te duci înapoi la problema setările portului SSH, astfel cum a fost clar port de schimbare SSH nu este atât de dificil. Cu toate acestea, în unele situații, spun ei, va trebui să transpire, deoarece necesitatea de a lua în considerare toate valorile parametrilor cheie. Restul problemă de configurare a se reduce la intrarea oricărui program de server sau client (în cazul în care este prevăzut inițial), sau de a folosi port forwarding pe router. Dar chiar și în caz de schimbare a portului 22, implicit, la același 443, ar trebui să fie înțeles în mod clar că un astfel de sistem nu funcționează întotdeauna, dar numai în cazul instalării aceluiași add-in Jabber (alți analogi pot activa și porturile lor respective, Acesta diferă de standard). În plus, o atenție deosebită trebuie acordată setarea SSH-client, care va interacționa direct cu SSH-server, în cazul în care este într-adevăr ar trebui să utilizeze conexiunea curentă a parametrului.

În caz contrar, dacă nu există o redirecționare inițială a porturilor (deși este recomandabil să efectuați astfel de acțiuni), setările și parametrii pentru accesul SSH nu pot fi modificați. Nu există probleme speciale când se creează conexiunea și utilizarea ei ulterioară, în general, nu este de așteptat (cu excepția cazului în care se utilizează desigur configurația manuală a configurației bazate pe server și client). Cea mai comună creare a unei reguli de excepție pe router vă permite să remediați toate problemele sau să evitați apariția acestora.