Kako konfigurirati in uporabljati vrata SSH? Navodila po korakih
Vsebina
SSH Port: Kaj je to in zakaj?
Kar zadeva varnost, je treba v tem primeru pristanišče SSH razumeti kot namenski komunikacijski kanal v obliki predora, ki zagotavlja šifriranje podatkov.
Najbolj primitivna shema delovanja takšnega tunela je ta odprta vrata ssh Privzeto se uporablja za šifriranje podatkov v viru in dešifriranje na končnem mestu. To je mogoče razložiti takole: če ti je všeč ali ne, posredujejo promet, za razliko od IPSec, šifrirani pod prisilo in izhoda iz omrežja, in na sprejemni strani od vhoda. Za dešifriranje informacij, ki se prenašajo prek tega kanala, sprejemni terminal uporablja poseben ključ. Z drugimi besedami, nihče ne more posegati v prenos ali motiti celovitost oddanih podatkov v trenutnem trenutku brez ključa.
Samo odpiranje SSH pristanišča na katerem koli usmerjevalniku ali z uporabo ustreznih nastavitev dodatnega odjemalca, ki stori v strežniku SSH, vam omogoča neposredno izkoriščanje vseh varnostnih funkcij sodobnih omrežij. Gre za uporabo privzetih nastavitev vrat ali po meri. Ti parametri v aplikaciji so lahko precej težavni, vendar je brez razumevanja organizacija te povezave nepogrešljiva.
Standardna vrata SSH
Če zares začnete s parametri katerega koli usmerjevalnika, morate najprej določiti, katera programska oprema bo uporabljena za aktiviranje tega komunikacijskega kanala. Pravzaprav privzeta vrata SSH lahko imajo različne nastavitve. Vse je odvisno od tega, katera tehnika se trenutno uporablja (neposredna povezava s strežnikom, namestitev dodatnega odjemalca, posredovanje vrat itd.).
Na primer, če je Jabber uporabljen kot odjemalec, je treba za pravilno povezavo, šifriranje in prenos podatkov uporabiti vrata 443, čeprav je v standardni različici nameščena vrata 22.
Za preoblikovanje usmerjevalnika z označevanjem potrebnih pogojev za določen program ali proces, boste morali opraviti posredovanje pristanišč SSH. Kaj je to? To je obstaja določen dostop do posameznega programa, ki uporablja internetno povezavo, ne glede na to, katere nastavitve ima trenutni komunikacijski protokol (IPv4 ali IPv6).
Tehnična utemeljitev
Kot vidite, se standardna vrata SSH 22 ne uporabljajo vedno. Vendar pa morate tukaj poudariti nekatere lastnosti in parametre, uporabljene v konfiguraciji.
Zakaj zaupnost šifriranega prenosa podatkov vključuje uporabo SSH protokola kot izključno zunanja (gostujoča) uporabniška vrata? Ampak samo zato, ker se uporablja tunelov omogoča uporabo tako imenovanega oddaljenega lupine (SSH), dostop do terminala upravljanje preko daljinskega vpisu (slogin), in uporabiti postopek oddaljenega kopiranja (TPP).
Poleg tega lahko SSH-port se aktivira v primeru, ko je uporabnik, potrebnih za izvedbo oddaljenih skripte X Windows, ki je v najpreprostejšem primeru je prenos podatkov iz enega računalnika na drugega, kot je bilo rečeno, s prisilnim šifriranje podatkov. V takih primerih bo najpomembnejša uporaba algoritmov, ki temeljijo na AES. To je simetričen algoritem za šifriranje, ki je prvotno predviden v tehnologiji SSH. In ne morete ga samo uporabljati, vendar jo potrebujete tudi.
Zgodovina izvajanja
Tehnologija se je pojavila že pred časom. Ne pustimo zapustiti vprašanja o tem, kako narediti posredovanje SSH, vendar se bomo ustavili pri tem, kako deluje.
Običajno se vse nanaša na uporabo posrednika, ki temelji na nogavicah ali uporabi VPN tuneliranja. Če katera koli programska aplikacija lahko deluje z VPN, je bolje, da se ta možnost izbere. Dejstvo je, da lahko skoraj vsi trenutno znani programi, ki uporabljajo internetni promet z VPN, delujejo in konfiguracija usmerjanja ne bo veliko truda. To, tako kot pri proxy strežnikih, vam omogoča, da zapustite zunanji naslov terminala, ki je trenutno dostopen v omrežju, neprepoznan. To pomeni, da se v primeru proxy stalno spreminja naslov, v različici VPN pa ostane nespremenjen z določitvijo določene regije, drugačne od mesta, kjer deluje prepoved dostopa.
Sama tehnologija, ko je odprta vrata SSH, je bila razvita leta 1995 na Finski tehnološki univerzi (SSH-1). Leta 1996 so bile dodane izboljšave v obliki SSH-2 protokol, ki je bila precej razširjena v post-sovjetski prostor, čeprav je za to, kot tudi v nekaterih zahodnoevropskih državah, je včasih potrebno pridobiti dovoljenje za uporabo tega predora, in od vladnih agencij.
Glavna prednost odpiranja SSH-vrata, v nasprotju z telnet ali rlogin, je uporaba digitalnih podpisov RSA ali DSA (uporaba par odprta in pokopan ključ). Poleg tega se v tem primeru lahko uporabite tako imenovani ključ seje, ki temelji na Diffie-Hellman algoritma, ki vključuje uporabo simetričnega šifriranja proizvodnje, čeprav ne izključuje uporabe asimetričnih algoritmov šifriranja med prenosom podatkov in sprejem s strani druge naprave.
Strežniki in lupine
V operacijskem sistemu Windows ali Linux, vrata SSH ni tako težko odpreti. Edino vprašanje je, katera orodna vrstica se bo uporabljala za to.
V tem smislu je treba pozornost nameniti vprašanju prenosa informacij in preverjanja pristnosti. Prvič, sam protokol je dovolj zaščiten pred tako imenovanim njuhanjem, kar je najpogostejša "prisluškovanje" prometa. SSH-1 je bil brez napetosti pred napadom. Motnje v procesu prenosa podatkov v obliki sheme "oseba na sredini" so imele rezultate. Informacije preprosto lahko preprosto prestrežejo in razširijo. Toda druga različica (SSH-2) je bila zavarovana proti tej vrsti posredovanja, imenovani ugrabitev seje, zaradi česar je bila najpogostejša.
Varnostne prepovedi
Kar zadeva varnost v zvezi s posredovanimi in prejetimi podatki, organizacija povezave, ustvarjene s takšnimi tehnologijami, preprečuje pojav naslednjih težav:
- opredelitev ključa za gostitelja v fazi prenosa, kadar se uporablja prstni odtis "prstni odtis";
- podpora za sisteme, podobne sistemu Windows in UNIX;
- zamenjava naslovov IP in DNS (prevara);
- prestrezanje odprtih gesel s fizičnim dostopom do kanala za prenos podatkov.
Pravzaprav je celotna organizacija takega sistema zgrajena na principu "odjemalec-strežnik", to je, prvič, uporabniški stroj s pomočjo posebnega programa ali dodatkovnih naslovov strežniku, ki izvede ustrezno preusmeritev.
Tuneliranje
Samoumevno je, da je v sistem treba namestiti poseben gonilnik za izvajanje te vrste povezave.
Običajno je v sistemih, ki temeljijo na sistemu Windows, to gonilnik Microsoft Teredo, vgrajen v programsko lupino, ki je neke vrste virtualno orodje za emulacijo IPv6 v omrežjih samo IPv4. Adapter tunela privzeto je v aktivnem stanju. V primeru okvare, ki je povezana z njim, lahko preprosto znova zaženete sistem ali izvedete ukaze za zaustavitev in ponovni zagon v ukazni konzoli. Za deaktiviranje se uporabljajo naslednje vrstice:
- netsh;
- vmesnik teredo nastavi stanje onemogočeno;
- vmesnik isatap stanje nastavljenega stanja je onemogočeno.
Po vnosu ukazov morate znova zagnati. Če želite ponovno omogočiti adapter in preveriti njegov status namesto onemogočiti, je dovoljenje omogočeno, nato pa znova zaženite celoten sistem.
SSH strežnik
Zdaj pa oglejmo, katera vrata SSH se uporabljajo kot primarna vrata, ki se začnejo s shemo "odjemalec-strežnik". Po navadi se privzeto uporablja 22. pristanišče, vendar lahko, kot je bilo že omenjeno, uporabite 443. mesto. Edino vprašanje je prednost samega strežnika.
Najpogostejši strežniki SSH veljajo za naslednje:
- za Windows: Tectia SSH Server, OpenSSH s Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd;
- za FreeBSD: OpenSSH;
- za Linux: Tectia SSH Server, ssh, odpensh-server, lsh-server, dropbear.
Vsi navedeni strežniki so brezplačni. Vendar pa lahko najdete plačane storitve, za katere je značilna višja raven varnosti, kar je izjemno potrebno za organiziranje dostopa do omrežja in varovanje informacij na podjetjih. Stroški takšnih storitev se zdaj ne obravnavajo. Na splošno pa lahko rečemo, da je relativno poceni, tudi v primerjavi z namestitvijo specializirane programske opreme ali požarnega zidu "železa".
SSH Client
Vrata SSH lahko spremenite glede na program stranke ali ustrezne nastavitve pri usmerjanju vrat na usmerjevalniku.
Če se dotaknete ikon za odjemalce, se lahko za različne sisteme uporabljajo naslednji programski izdelki:
- Windows - SecureCRT, PuTTY KiTTY, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD itd.
- Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
- Linux in BSD: lsh-client, kdessh, openssh-client, Vinagre, kit.
Overjanje na podlagi javnih ključev in spreminjanje pristanišča
Zdaj nekaj besed o tem, kako poteka preverjanje in konfiguracija strežnika. V najpreprostejšem primeru morate uporabiti konfiguracijsko datoteko (sshd_config). Vendar pa lahko storite brez njega, na primer v primeru programov, kot je PuTTY. Spremenite vrata SSH s standardne vrednosti (22) na katerokoli drugo, lahko precej elementarno.
Glavna stvar je, da številka odprtega pristanišča ne presega vrednosti 65535 (narava nad pristanišči preprosto ni taka). Poleg tega bi morali privzeto upoštevati nekatera odprta vrata, ki jih lahko uporabljajo stranke, kot so podatkovne baze MySQL ali FTPD. Če določite njihovo konfiguracijo za SSH, seveda preprosto prenehajo delovati.
Treba je opozoriti, da bi moral isti odjemalec Jabber delovati v istem okolju z uporabo strežnika SSH, na primer v navideznem računalniku. In strežnik localhost sam bo moral dodeliti vrednost 4430 (in ne 443, kot je navedeno zgoraj). To konfiguracijo lahko uporabite, ko požarni zid blokira dostop do glavne datoteke jabber.example.com.
Po drugi strani pa lahko pristanišča na routerju prenesete s pomočjo nastavitev vmesnika, da ustvarite izključitvena pravila za to. Na večini modelov je vhod prek vnosa naslovov, ki se začnejo z 192.168 z dodatkom 0,1 ali 1,1, toda na usmerjevalnikih, ki združujejo zmožnosti ADSL modemov, kot je Mikrotik, končni naslov prevzame uporabo 88,1.
V tem primeru je ustvarjeno novo pravilo, nato pa so potrebni parametri nastavljeni, na primer, za vzpostavitev zunanje povezave dst-nat, pa tudi ročno dodelite vrata, ki niso v razdelku o splošnih nastavitvah, in v razdelku Dejavnosti. Tu ni nič posebej zapletenega. Glavna stvar je določiti potrebne nastavitve in nastaviti pravilna vrata. Privzeto lahko uporabite vrata 22, vendar če uporabljate namenskega odjemalca (nekaj od zgoraj za različne sisteme), se lahko vrednost samodejno spremeni, vendar le, da ta parameter ne preseže deklarirane vrednosti, nad katero so številke vrat preprosto odsotne.
Ko konfigurirate povezavo, morate upoštevati tudi parametre programa odjemalca. Morda je zelo verjetno, da je v njenih nastavitvah treba določiti najmanjšo dolžino ključa (512), čeprav je privzeto običajno nastavljen na 768. Zaželeno je tudi, da se nastavi zakasnitev vpisa na 600 sekund in dovoljenje za oddaljeni dostop s korenskimi pravicami. Po uporabi teh nastavitev morate dati dovoljenje za uporabo vseh pravic za preverjanje pristnosti, razen tistih, ki temeljijo na uporabi. Rhost (vendar je to potrebno samo za sistemske administratorje).
Poleg tega, če se uporabniško ime, registrirano v sistemu, ne ujema s tistim, ki ga trenutno vnašate, ga boste morali izrecno navesti z uporabniškim ukazom ssh master z dodatnimi parametri (za tiste, ki razumejo, kaj je bilo rečeno).
Ukaz ~ / .ssh / id_dsa (ali rsa) se lahko uporabi za pretvorbo ključa in samega šifriranja. Če želite ustvariti javni ključ, se pretvorba opravi z uporabo črk ~ / .ssh / identity.pub (vendar to ni potrebno). Toda, kot kaže praksa, je najlažje uporabljati ukaze, kot je ssh-keygen. Tukaj se bistvo zadeve zmanjša samo, če dodamo ključ do razpoložljivih orodij za avtorizacijo (~ / .ssh / authorized_keys).
Ampak šli smo predaleč. Če se vrnemo k vprašanju konfiguriranja vrat SSH, kot že veste, spreminjanje pristanišča SSH ni tako težavno. Res je, da v nekaterih situacijah, kot pravijo, se morate znojiti, saj boste morali upoštevati vse vrednosti glavnih parametrov. V nasprotnem primeru se vprašanje konfiguracije zmanjša na vhod v strežniški ali odjemniški program (če je na začetku zagotovljen) ali na uporabo usmerjevalnika vrat na usmerjevalniku. Toda tudi če se privzeta vrata 22 spremenijo na isto 443, morate jasno razumeti, da ta shema ne deluje vedno, ampak le, če namestite isti dodatek Jabber (drugi analogi lahko uporabljajo tudi njihova ustrezna vrata, ki se razlikujejo od standardnih). Poleg tega je treba posebno pozornost nameniti nastavljanju parametrov odjemalca SSH, ki bodo neposredno povezali s strežnikom SSH, če je to res potrebno pri uporabi trenutne povezave.
V nasprotnem primeru, če ni prvotnega posredovanja vrat (čeprav je priporočljivo izvesti takšne ukrepe), nastavitev in parametri za dostop SSH ne morete spremeniti. Pri ustvarjanju povezave in njeni nadaljnji uporabi ni posebnih težav, na splošno se ne pričakuje (razen če se seveda ne uporablja ročna konfiguracija konfiguracije na strežniku in odjemalcu). Najpogostejše ustvarjanje pravila o izjemah na usmerjevalniku vam omogoča, da odpravite vse težave ali da se izognete njihovemu izgledu.
- Kako odpreti vrata 1688 za aktiviranje sistema Windows
- Dekodiranje hašiša: najpreprostejše metode
- Kako konfigurirati sprejem povezav prek 8080 (vrata): navodila, diagram in povratne informacije
- FTPS pristanišče - kaj je to?
- Kaj je pristanišče 443 in kako ga odpreti?
- Kaj je pristanišče 80 in kaj jesti?
- IGMP snooping: koncept in uporaba
- Kako konfigurirati vrata FTP? Kaj so FTP-vrata?
- WAN pristanišče: funkcije in nastavitve
- RSA šifriranje. Opis in izvajanje RSA algoritma
- Povezava PPTP - kaj je to?
- AES: šifriranje podatkov
- USB žetoni. Kakšna je uporabnost te naprave?
- Kriptografske metode varovanja informacij: koncept, značilnosti, ključni položaji
- Šifriranje od konca do konca: opis in uporaba
- SSH tuneli: nastavitev, uporaba
- Kaj je VPN in njegove funkcije
- Skener pristanišča in varnost računalnika
- Šifriraj datoteke
- Šifriranje podatkov kot potreben ukrep za zaščito vaših podatkov
- Brezžični komunikacijski sistemi in njihove prednosti