Secure Shell, ili skraćeno SSH, jedna je od najnaprednijih sigurnosnih tehnologija za prijenos podataka. Korištenje takvog načina na istom usmjerivaču može osigurati ne samo povjerljivost prenesenih informacija, već i ubrzati razmjenu paketa. Istina, ne zna svatko kako otvoriti SSH port i zašto sve to treba. U ovom slučaju morat ćemo dati konstruktivno objašnjenje.
SSH port: što je to i zašto?
Što se tiče sigurnosti, u ovom slučaju SSH port treba shvatiti kao namjenski kanal u obliku tunela koji osigurava šifriranje podataka.
Najprimitivnija shema rada takvog tunela je da se otvoreni SSH port po defaultu koristi za šifriranje informacija u izvoru i dešifriranje na krajnjoj točki. Objasnite na ovaj način: želite li to ili ne, promet koji se prenosi, za razliku od IPSec-a, šifriran je u prisilnom nalogu i na izlazu jednog mrežnog terminala i na ulazu stranke domaćina. Za dešifriranje informacija koje se prenose na ovom kanalu, prijemni terminal koristi poseban ključ. Drugim riječima, nitko ne može intervenirati u prijenosu ili slomiti integritet podataka koji se trenutačno prenose bez ključa.
Samo otvaranje SSH porta na svakom usmjerivaču ili upotreba odgovarajućih postavki dodatnog klijenta koji izravno djeluje s SSH poslužiteljem omogućuje vam da u potpunosti iskoristite sve sigurnosne značajke sigurnosnog sustavamoderne mreže. Radi se o korištenju zadanog porta ili prilagođenih postavki. Te se mogućnosti mogu teško primijeniti, ali bez razumijevanja organizacije takve veze, to se ne može učiniti.
Standardni SSH port
Ako doista želite izaći iz parametara bilo kojeg usmjerivača, prvo trebate odlučiti koji će se softver koristiti za korištenje ovog komunikacijskog kanala. Zapravo, zadani SSH port može imati različite postavke. Sve ovisi o tome koja se metodologija trenutno koristi (izravna veza s poslužiteljem, instalacija dodatnog klijenta, ispuštanje portova, itd.).
Na primjer, ako se Jabber koristi kao klijent, priključak 443 se mora koristiti za ispravnu vezu, šifriranje i prijenos podataka, iako je port 22 postavljen kao standardna verzija.
Da biste rekonfigurirali usmjerivač s izdavanjem određenog programa ili procesa potrebnih uvjeta, morat ćete izvršiti bacanje porta SSH. Što je ovo? To je svrha određenog pristupa za određenu aplikaciju koja koristi internetsku vezu, bez obzira na to koja postavka ima trenutni protokol razmjene podataka (IPv4 ili IPv6).
Tehnička opravdanost
Kao što je već jasno, standardni SSH 22 priključak nije uvijek korišten. Međutim, ovdje trebate istaknuti neke značajke i postavke koje koristite pri konfiguriranju.
Zašto povjerljivost prijenosa šifriranih podatakapodrazumijeva korištenje SSH-a kao jedinog vanjskog (gosta) porta korisnika? Ali samo zato što primijenjeno tuneliranje omogućuje korištenje takozvane udaljene ljuske (SSH), pristupa upravljanju terminalima putem slogin-a i primjene postupaka daljinskog skeniranja (scp). Osim toga, SSH port se također može koristiti ako korisnik treba pokrenuti udaljene X Windows skripte, što je u najjednostavnijem slučaju prijenos informacija s jednog stroja na drugi, kao što je već spomenuto, uz obvezno šifriranje podataka. , U takvim situacijama, korištenje algoritama temeljenih na AES-u bit će najhitnije. To je algoritam za simetrično šifriranje, koji je izvorno osiguran SSH tehnologijom. I koristiti ga ne samo da je moguće, nego je i potrebno.
Povijest provedbe
Tehnologija sama po sebi se pojavila davno. Ostavljajući po strani pitanje kako ispustiti SSH portove, zadržimo se na tome kako sve to radi. Obično se sve svodi na korištenje proksija temeljenog na Socksu ili pomoću VPN tunela. U slučaju da bilo koja softverska aplikacija može raditi s VPN-om, bolje je odabrati ovu opciju. Činjenica je da gotovo svi danas poznati programi koji koriste internetski promet, s VPN-om mogu raditi, a konfiguracija usmjeravanja posebnog posla ne. To vam, kao u slučaju proxy poslužitelja, omogućuje da ostavite vanjsku adresu terminala s kojeg se trenutno provodi.pristup mreži, neidentificiran. To jest, u slučaju proxyja, adresa se neprestano mijenja, au VPN varijanti ostaje nepromijenjena s fiksiranjem regije koja nije na snazi. Ista tehnologija, kada se otvara SSH port, razvijena je još 1995. godine na Tehnološkom sveučilištu u Finskoj (SSH-1). Godine 1996. izvršena su poboljšanja u obliku SSH-2 protokola, koji je dobio prilično veliku distribuciju na post-sovjetskom području, iako je za to, kao iu nekim zapadnoeuropskim zemljama, ponekad potrebno dobiti dozvolu za korištenje takvog tunela i od vladinih agencija. Glavna prednost otvaranja SSH porta, za razliku od telnet ili rlogin, je uporaba digitalnog potpisa RSA ili DSA (korištenje para kao otvorenog i zakopanog ključa). Osim toga, u takvoj situaciji, tzv. Ključ sesije može se koristiti na temelju Diffie-Hellmanova algoritma, koji uključuje upotrebu simetričnog šifriranja na izlazu, iako to ne isključuje upotrebu asimetričnih algoritama šifriranja u procesu prijenosa podataka i njihovog prihvaćanja od strane drugog stroja.
Poslužitelji i ljuske
Windows ili Linux nije teško otvoriti SSH port. Pitanje je samo kakav će se alat koristiti za to. U tom smislu treba obratiti pozornost na pitanje prijenosa informacija i autentifikacije. Prvo, sam protokol je dovoljno zaštićen od tzv. Njuškanja, koje je najčešći "slušatelj" prometa. SSH-1 je bio bez obrane prije napada. Intervencija u tom procesuprijenos podataka u obliku sheme "čovjek u sredini" imao je vlastite rezultate. Informacije se mogu jednostavno presresti i dešifrirati kao elementarne. No, druga verzija (SSH-2) bila je osigurana protiv ove vrste smetnji zvanog otmica sesija, što ga je učinilo najraširenijim.
Sigurnosne barijere
S obzirom na sigurnost u odnosu na podatke koji se prenose i primaju, uspostavljanje veze stvorene pomoću takvih tehnologija izbjegava sljedeće probleme:
određivanje ključa domaćinu na stupnju prijenosa kada se koristi "snimak" »otisak;
podrška za Windows i UNIX-slične sustave;
zamjena IP adresa i DNS (spoofing);
presretanje otvorenih lozinki s fizičkim pristupom kanalu za prijenos podataka.
Zapravo, cjelokupna organizacija takvog sustava izgrađena je na principu "klijent-poslužitelj", to jest, na prvom mjestu, određeni stroj koristi poseban program ili dodatak za pristup poslužitelju, koji proizvodi odgovarajuće preusmjeravanje.
Tuneliranje
Podrazumijeva se da, da bi se uspostavila takva veza, na sustav mora biti instaliran poseban upravljački program. Tipično, u Windows sustavima, ovo je Microsoft Teredo upravljački program ugrađen u programsku ljusku, koja je vrsta virtualne IPv6 emulacije protokola na mrežama samo za IPv4. Adapter za tuner je prema zadanim postavkama u aktivnom stanju. U slučaju pada sustava, možete jednostavno ponovno pokrenuti sustav ili izvršiti naredbe za isključivanje i naredbe za ponovno pokretanjekonzola. Sljedeći redovi služe za deaktiviranje:
netsh;
stanje sučelja teredo je onemogućeno;
je sučelje isatap postavljeno stanje onemogućeno.
Nakon unosa naredbi potrebno je izvršiti ponovno pokretanje. Da biste ponovno omogućili prilagodnik i provjerili njegov status umjesto nevažeće, dopuštenje je omogućeno, nakon čega bi se, opet, trebalo ponovno pokrenuti ostatak sustava.
SSH server
Sada ćemo vidjeti koji se SSH port koristi kao primarni, polazeći od sheme klijent-poslužitelj. Obično se 22-ti port koristi prema zadanim postavkama, ali, kao što je već spomenuto, 443. se također može koristiti. Pitanje je samo u superiornosti samog poslužitelja. Najčešći SSH poslužitelj se smatra sljedećim:
za Windows: Tectia SSH Server, OpenSSH s Cygwin, MobaSSH, KpyM Telnet /SSH poslužitelj, WinSSHD, copssh, freeSSHd;
za FreeBSD: OpenSSH;
za Linux: Tectia SSH poslužitelj, ssh, openssh-server, lsh-server, dropbear.
Svi gore navedeni poslužitelji su besplatni. Međutim, možete pronaći plaćene usluge koje karakterizira povećana razina sigurnosti, što je iznimno potrebno za organizaciju pristupa mreži i informacijske sigurnosti u poduzećima. Trenutno se ne raspravlja o troškovima takvih usluga. No, općenito se može reći da je to relativno jeftino, čak iu usporedbi s instalacijom specijaliziranog softvera ili "željeznog" vatrozida.
SSH klijent
Promjena SSH porta može se izvršiti na temelju klijentskog programa ili odgovarajućih postavki pri usmjeravanju portova usmjerivača. Međutim, ako dodirnete ljuske klijenta, sljedeći softverski proizvodi mogu se koristiti za različite sustave:
Windows - SecureCRT, PuTTYKiTTY, Axessh, ShellGuard, SSHWindows, ZOC, XShell,ProSSHD i tako dalje;
Mac OS X: iTerm2 vSSH, NiftyTelnet SSH;
Linux i BSD: lsh-klijent, kdessh, openssh-klijent, Vinagre, kit.
Provjera autentičnosti otvorenog ključa i promjena ulaza
Sada nekoliko riječi o tome kako je poslužitelj verificiran i konfiguriran. U najjednostavnijem slučaju morate koristiti konfiguracijsku datoteku (sshd_config). Međutim, bez nje možete, primjerice, koristiti programe poput PuTTY. Možete promijeniti SSH port sa standardne vrijednosti
na bilo što drugo na vrlo elementarnoj razini.
Glavna stvar - da broj otvorenog porta ne prelazi vrijednost 65535 (iznad portova se u prirodi ne događa). Osim toga, trebali biste obratiti pozornost na neke od otvorenih portova koje mogu koristiti klijenti kao što su MySQL ili FTPD baze podataka. Ako specificirate njihovu konfiguraciju za SSH, oni će jednostavno prestati raditi. Vrijedi uzeti u obzir da isti Jabber klijent mora biti pokrenut u jednom okruženju koristeći SSH poslužitelj, na primjer, na virtualnom stroju. I sam poslužitelj localhost morat će dodijeliti vrijednost od 4430 (umjesto 443 kao što je gore navedeno). Ova se konfiguracija može koristiti ako vatrozid blokira pristup glavnoj datoteci jabber.example.com.
S druge strane, moguće je prevrnuti portove na samom usmjerivaču, koristeći postavku sučelja za tu svrhu s kreiranjem pravila isključenja. Na većini modela, unos se vrši unosom adresa s početkom u 192168 s dodatkom 0,1 ili 1,1, ali na usmjerivačima koji kombiniraju mogućnosti ADSL modema kao što je Mikrotik, konačna adresapredviđa uporabu 88.1. U ovom slučaju, kreira se novo pravilo, nakon čega se postavljaju potrebni parametri, primjerice za postavljanje vanjske dst-nat veze, kao i ručno dodjeljivanje priključaka ne u odjeljku općih postavki, te u dijelu prednosti aktivnih akcija (Action). Ovdje ništa posebno nije komplicirano. Glavna stvar je odrediti potrebne parametre i postaviti ispravan port. Prema zadanim postavkama, možete koristiti port 22, ali ako koristite specijalizirani klijent (što je gore navedeno za različite sustave), vrijednost se može promijeniti proizvoljno, ali samo tako da ovaj parametar ne prelazi deklariranu vrijednost iznad koje broj porta jednostavno ne postoji. Prilikom postavljanja veze, trebali biste obratiti pozornost na postavke klijentske aplikacije. Može se dogoditi da će u svojim postavkama biti potrebno odrediti minimalnu duljinu ključa (512), iako je zadana vrijednost obično 768. Također je poželjno podesiti razinu odgode od 600 sekundi i daljinsko odobrenje koristeći root prava. Nakon primjene takvih instalacija morate također dati dopuštenje za korištenje svih prava za provjeru autentičnosti, osim onih koja se temelje na korištenju .rhost (ali samo za administratore sustava). Osim toga, ako se korisničko ime registrirano na sustavu ne podudara s onim koji je trenutno uneseno, morat ćete ga izričito navesti pomoću naredbe za naredbu ssh korisnika s uvođenjem dodatnih parametara (za one koji razumiju o čemu se raspravlja ).
Za pretvaranje ključa iNaredba ~ /.ssh /id_dsa (ili rsa) može se koristiti za samu metodu šifriranja. Da biste stvorili javni ključ, koristi se transformacija koja koristi liniju ~ /.ssh /identity.pub (ali ne nužno). Ali, kao što praksa pokazuje, najlakše je koristiti naredbe poput ssh-keygen. Bit ovog pitanja je samo dodati ključ dostupnim autorskim alatima (~ /.ssh /authorized_keys). Ali otišli smo predaleko. Ako se vratite na pitanje postavljanja SSH-a, kao što je već jasno, mijenjanje SSH porta nije previše teško. Istina, u određenim situacijama, koje se nazivaju, morat će se znojiti, jer će morati uzeti u obzir sve vrijednosti glavnih parametara. U suprotnom, problem s konfiguracijom je smanjen ili na unutarnji ili vanjski program (ako je izvorno osiguran) ili na korištenje rutiranja rute za usmjeravanje. Ali čak i ako promijenite port 22 postavite po defaultu, na istom 443, morate jasno shvatiti da takav program ne radi uvijek, ali samo u slučaju instaliranja istog dodatka Jabber (drugi analozi također mogu koristiti odgovarajuće portove koji različiti od standardnih). Osim toga, posebnu pozornost treba posvetiti postavljanju parametara SSH klijenta, koji će izravno komunicirati sa SSH poslužiteljem, ako se to stvarno očekuje od trenutne veze. Inače, ako ispuštanje priključaka nije prvotno osigurano (iako je to poželjno), postavke i opcije pristupa SSH-u se ne mogu i ne mogu mijenjati. Ovdje su neki posebni problemi prilikom stvaranja veze i njezine naknadne upotrebe,općenito, ne očekuje se (osim ako, naravno, neće se koristiti ručna konfiguracija konfiguracije koja se temelji na poslužitelju i klijentu). Općenito, stvaranje iznimke pravila na usmjerivaču omogućuje vam da riješite sve probleme ili ih izbjegnete.
Glavna stvar - da broj otvorenog porta ne prelazi vrijednost 65535 (iznad portova se u prirodi ne događa). Osim toga, trebali biste obratiti pozornost na neke od otvorenih portova koje mogu koristiti klijenti kao što su MySQL ili FTPD baze podataka. Ako specificirate njihovu konfiguraciju za SSH, oni će jednostavno prestati raditi. Vrijedi uzeti u obzir da isti Jabber klijent mora biti pokrenut u jednom okruženju koristeći SSH poslužitelj, na primjer, na virtualnom stroju. I sam poslužitelj localhost morat će dodijeliti vrijednost od 4430 (umjesto 443 kao što je gore navedeno). Ova se konfiguracija može koristiti ako vatrozid blokira pristup glavnoj datoteci jabber.example.com.
S druge strane, moguće je prevrnuti portove na samom usmjerivaču, koristeći postavku sučelja za tu svrhu s kreiranjem pravila isključenja. Na većini modela, unos se vrši unosom adresa s početkom u 192168 s dodatkom 0,1 ili 1,1, ali na usmjerivačima koji kombiniraju mogućnosti ADSL modema kao što je Mikrotik, konačna adresapredviđa uporabu 88.1. U ovom slučaju, kreira se novo pravilo, nakon čega se postavljaju potrebni parametri, primjerice za postavljanje vanjske dst-nat veze, kao i ručno dodjeljivanje priključaka ne u odjeljku općih postavki, te u dijelu prednosti aktivnih akcija (Action). Ovdje ništa posebno nije komplicirano. Glavna stvar je odrediti potrebne parametre i postaviti ispravan port. Prema zadanim postavkama, možete koristiti port 22, ali ako koristite specijalizirani klijent (što je gore navedeno za različite sustave), vrijednost se može promijeniti proizvoljno, ali samo tako da ovaj parametar ne prelazi deklariranu vrijednost iznad koje broj porta jednostavno ne postoji. Prilikom postavljanja veze, trebali biste obratiti pozornost na postavke klijentske aplikacije. Može se dogoditi da će u svojim postavkama biti potrebno odrediti minimalnu duljinu ključa (512), iako je zadana vrijednost obično 768. Također je poželjno podesiti razinu odgode od 600 sekundi i daljinsko odobrenje koristeći root prava. Nakon primjene takvih instalacija morate također dati dopuštenje za korištenje svih prava za provjeru autentičnosti, osim onih koja se temelje na korištenju .rhost (ali samo za administratore sustava). Osim toga, ako se korisničko ime registrirano na sustavu ne podudara s onim koji je trenutno uneseno, morat ćete ga izričito navesti pomoću naredbe za naredbu ssh korisnika s uvođenjem dodatnih parametara (za one koji razumiju o čemu se raspravlja ).
Za pretvaranje ključa iNaredba ~ /.ssh /id_dsa (ili rsa) može se koristiti za samu metodu šifriranja. Da biste stvorili javni ključ, koristi se transformacija koja koristi liniju ~ /.ssh /identity.pub (ali ne nužno). Ali, kao što praksa pokazuje, najlakše je koristiti naredbe poput ssh-keygen. Bit ovog pitanja je samo dodati ključ dostupnim autorskim alatima (~ /.ssh /authorized_keys). Ali otišli smo predaleko. Ako se vratite na pitanje postavljanja SSH-a, kao što je već jasno, mijenjanje SSH porta nije previše teško. Istina, u određenim situacijama, koje se nazivaju, morat će se znojiti, jer će morati uzeti u obzir sve vrijednosti glavnih parametara. U suprotnom, problem s konfiguracijom je smanjen ili na unutarnji ili vanjski program (ako je izvorno osiguran) ili na korištenje rutiranja rute za usmjeravanje. Ali čak i ako promijenite port 22 postavite po defaultu, na istom 443, morate jasno shvatiti da takav program ne radi uvijek, ali samo u slučaju instaliranja istog dodatka Jabber (drugi analozi također mogu koristiti odgovarajuće portove koji različiti od standardnih). Osim toga, posebnu pozornost treba posvetiti postavljanju parametara SSH klijenta, koji će izravno komunicirati sa SSH poslužiteljem, ako se to stvarno očekuje od trenutne veze. Inače, ako ispuštanje priključaka nije prvotno osigurano (iako je to poželjno), postavke i opcije pristupa SSH-u se ne mogu i ne mogu mijenjati. Ovdje su neki posebni problemi prilikom stvaranja veze i njezine naknadne upotrebe,općenito, ne očekuje se (osim ako, naravno, neće se koristiti ručna konfiguracija konfiguracije koja se temelji na poslužitelju i klijentu). Općenito, stvaranje iznimke pravila na usmjerivaču omogućuje vam da riješite sve probleme ili ih izbjegnete.
