Hoe't jo ynstelle en brûke SSH haven? Stap foar stap gids

Secure Shell, of ôfkoarte as SSH, it is ien fan de meast avansearre gegevens beskerming technologyen yn de oerdracht. It gebrûk fan sa'n rezjym op deselde router kinne net allinnich de fertroulikens fan oerdroegen ynformaasje, mar ek om flugger de útwikseling fan de pakketten. Lykwols, net elkenien wit safier te iepenjen de SSH haven, en wêrom dat is allegear nedich. Yn dit gefal is it nedich te jaan in konstruktyf útlis.

Port SSH: wat is it en wêrom hawwe wy nedich?

Sûnt wy it oer feiligens, yn dit gefal, ûnder de SSH haven om begrepen te wurden yn it teken kanaal yn de foarm fan in tunnel, dy't soarget foar gegevens fersifering.

De meast primitive skema fan dizze tunnel is dat in iepen SSH-poarte wurdt standert brûkt om te fersiferjen gegevens by de boarne en dekodearjen op it einpunt. Dit kin ferklearre wurde as folget: oft jim like it of net, oerdroegen ferkear, oars as de IPSec, fersifere ûnder twang en de útgong terminal fan it netwurk, en oan 'e ûntfangende kant fan de yngong. Om ûntsiferje de ynformaasje trochjûn oan dit kanaal, de ûntfangende terminal brûkt in spesjale kaai. Mei oare wurden, te gripen yn de oerdracht of kompromissen de yntegriteit fan it trochjûn gegevens op it stuit men kin net sûnder in kaai.

Just iepenjen SSH-haven op alle router of troch mei de passende ynstellings fan ekstra client interacts direkt mei de SSH-tsjinner, jout jo de mooglikheid om folslein brûke alle funksjes fan de moderne netwurk feiligens systemen. Wy binne hjir op hoe mei in haven dy't wurdt tawiisd troch standert of oanpaste ynstellings. Dy parameters yn de applikaasje kin sjen dreech, mar sûnder in ynsjoch yn de organisaasje fan sa'n ferbining is net genôch.

Standert SSH port

As, yndie, basearre op de parameters fan ien fan de router moat earst bepale de bestelling, hokker soarte fan software sil brûkt wurde foar it aktivearjen fan dizze link. Yn feite is de standert SSH haven kinne hawwe ferskillende ynstellings. Alles hinget ôf fan wat metoade wurdt brûkt op it stuit (direkte ferbining mei de tsjinner, installeren ekstra client poarte trochslúzjen ensafuorthinne. D.).

Bygelyks, as de klant brûkt Jabber, foar korrekt ferbinings, fersifering, en Datenübertragung haven 443 is ta brûkt wurde, hoewol't de belichaming wurdt ynsteld yn it standert poarte 22.

Om resetten de router nei it tarekkenjen foar in bepaald programma of ferwurkje de nedige betingsten hawwe te fieren haven trochstjoer SSH. Wat is it? It is it doel fan in bepaalde tagong ta ien programma dat brûkt in ynternetferbining, likefolle hokker ynstelling is hjoeddeistige protokol útwikseling gegevens (IPv4 of IPv6).

technyske ferantwurding

Standert SSH poarte 22 wurdt net altiten brûkt as it wie al dúdlik. Lykwols, hjir is it nedich om te kennen guon fan 'e eigenskippen en ynstellings brûkt by opsetten.

Wêrom fersifere data geheimhâlding protokol giet it om it brûken fan SSH as in inkeld eksterne (gast) brûker haven? Mar inkeld omdat tunneling wurdt tapast it lit it brûken fan in saneamde remote shell (SSH), tagong te krijen ta de terminal behear fia remote login (slogin), en pas de ôfstân kopy proseduere (SCP).

Dêrneist SSH-poarte kin aktivearre wurde yn it gefal dêr't de brûker is nedich om te fieren eksterne skripts X Windows, dy't yn 'e simpelste gefal is in oerdracht fan ynformaasje fan iene masine ta de oare, sa't al sein, by in forsearre gegevens fersifering. Yn sokke situaasjes, it meast nedich sil basearre op de AES algoritme. Dit is in symmetryske fersiferingsalgoritme, dat wie oarspronklik foarsjoen yn SSH technology. En brûk it net allinnich mooglik, mar nedich.

Skiednis fan de realisaasje

De technology is ferskynde foar in lange tiid. Lit ús fuortgean kant de fraach hoe't om icing SSH haven, en rjochtsje op hoe't it allegear wurket.

Meastal komt it op, mei in proksy op basis fan Sokken of brûk VPN tunneling. Yn gefal guon software applikaasje kin wurkje mei VPN, better te kiezen dizze opsje. It feit dat hast alle bekende programma hjoed brûke it ynternet ferkear, de VPN kin wurkje, mar maklik Routing konfiguraasje is net. Dat, lykas yn it gefal fan 'e proksy tsjinners, makket it mooglik om te ferlitte de eksterne adres fan de terminal út, dêr't de no produsearre yn de útgong netwurk, Net werkende. Dat is it gefal mei de proxy adres wurdt altyd feroaret, en VPN ferzje bliuwt ûnferoare mei it fixatie fan in bepaalde regio, oars as de iene dêr't der in ferbod op tagong.

It tige itselde technology dy't biedt SSH haven, waard ûntwikkele yn 1995 yn 'e Universiteit fan Technology, yn Finlân (SSH-1). Yn 1996, ferbetterings binne tafoege yn de foarm fan SSH-2 protokol, dat wie frij wiidferspraat yn de post-Sovjet romte, alhoewol't foar dizze, likegoed as yn guon West Europeeske lannen, is it soms nedich te krijen tastimming te brûken dit tunnel, en fan oerheidsynstânsjes.

It wichtichste foardiel fan iepenjen SSH-poarte, yn tsjinstelling ta telnet of rlogin, is it brûken fan digitale hantekeningen RSA of DSA (it brûken fan in pear iepen en in begroeven toets). Fierder yn dizze situaasje kinne jo gebrûk meitsje fan saneamde sesje kaai basearre op Diffie-Hellman algoritme, dy't dêrby om it brûken fan in symmetryske fersifer útfier, hoewol't net steane it gebrûk fan asymmetrysk fersifering Algorithmen tidens gegevens transmissie en ûntfangst troch in oare masine.

Servers en shell

Op Windows of Linux SSH-poarte iepen is net sa dreech. De iennichste fraach is, hokker soarte fan ark foar dit doel sil brûkt wurde.

Yn dizze betsjutting is it nedich om omtinken te jaan oan it fraachstik fan ynformaasje oerdracht en autentikaasje. Foarste plak, it protokol sels wurdt genôch beskerme troch de saneamde snuiven, dat is de meast wenstige "wiretapping" fan ferkear. SSH-1 blykte te wêzen kwetsber foar oanfallen. Hinderjen yn it proses fan it oerdragen fan gegevens yn de foarm fan in regeling fan "man yn 'e midden" hie syn resultaten. Ynformaasje koe simpelwei ûnderskeppe en ûntsiferje hiel elemintêre. Mar de twadde ferzje (SSH-2) hat west immun oan dit soarte fan yntervinsje, bekend as sesje hijacking, tank oan wat meast populêr.

Bans feiligens

As foar de feiligens yn respekt fan de oerbrocht en ûntfongen data, de organisaasje fan de ferbinings oprjochte mei it brûken fan sokke technology lit mije de folgjende problemen:

• identifikaasje kaai ta de gasthear by de oerdracht stap, doe't in "momintopname» fingerprint;
• Stipe foar Windows en UNIX-eftige systemen;
• wikselje fan IP en DNS-adressen (spoofing);
• ûnderskeppen iepen ynfiere mei in fysike tagong ta de data kanaal.

Eins de hiele organisaasje fan sa'n systeem wurdt boud op it prinsipe fan "client-tsjinner", dat is, earst fan alle brûker kompjûter fia in spesjaal programma of add-yn oproppen nei de tsjinner, dy't produsearret in soartgelikense omlaat.

tunneling

It seit himsels dat de útfiering fan de ferbining fan dit soarte yn in spesjale bestjoerder moatte wurde ynstallearre op it systeem.

Typysk, in Windows-basearre systemen is boud yn de programma shell bestuurder Microsoft Teredo, dat is in soarte fan firtuele emulator middel fan IPv6 yn netwurken stypjen IPv4 allinne. Tunnel standert-Adapter aktyf is. Yn it gefal fan mislearjen ferbûn is, kinne jo gewoan meitsje in systeem trochstart of útfiere in shutdown en nij starte opdrachten út de kommando console. Deaktivearje sokke linen wurde brûkt:

• netsh;
• interface teredo set state útskeakele;
• interface isatap set steat útskeakele.

Nei it ynfieren fan de kommando moatte 'e nij opstarte. Om wer ynskeakelje de Adapter en kontrolearje de status fan beheinden yn plak fan 'e ynskeakele registers permit, wêrnei't, wer, moatte werstart de hiele systeem.

SSH-server

No lit sjen hoe't de SSH haven wurdt brûkt as de kearn, begjinnend út it skema "klant-tsjinner". De standert wurdt meastal tapast 22 minuten haven, mar, lykas sein hjirboppe, kin brûkt wurde en de 443rd. De ienige fraach yn de foarkar fan de tsjinner sels.

De meast foarkommende SSH-tsjinners wurdt beskôge as de neikommende:

• foar Windows: Tectia SSH tsjinner, OpenSSH mei Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd;
• foar FreeBSD: OpenSSH;
• foar Linux: Tectia SSH tsjinner, SSH, openssh-server, lsh-server, dropbear.

Alle fan de servers binne fergees. Lykwols, kinne jo fine en betelle tsjinsten dy't jouwe noch grutter nivo fan feilichheid, dy't fan wêzentlik belang foar de organisaasje fan it netwurk tagong en ynformaasje feiligens yn bedriuwen. De kosten fan sokke tsjinsten is net oan 'e oarder. Mar yn it algemien kinne wy sizze, dat it is relatyf goedkeape, ek yn ferliking mei de ynstallaasje fan spesjale software of "hardware" brânmuorre.

SSH-client

Feroarje SSH poarte kin makke wurde op basis fan de kliïnt programma of de passende ynstellings doe't poarte trochslúzjen op jo router.

Lykwols, as jo reitsje de klant shell, de folgjende software produkten kinne brûkt wurde foar ferskate systemen:

• Windows - SecureCRT stopverf \ kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD ensfh.;.
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux en BSD: lsh-client, Kdessh, openssh-client, Vinagre stopverf.

Ferifikaasje is basearre op de publike kaai, en feroarje de haven

No in pear wurden oer hoe't de ferifikaasje en it ynstellen fan in tsjinner. Yn it simpelste gefal, moatte jo gebrûk meitsje fan in konfiguraasje triem (sshd_config). Lykwols, kinne jo dwaan sûnder dat, bygelyks, yn it gefal fan programma 's sa as putty. Feroarje SSH poarte út de standertwearde (22) oan in oare is hielendal elemintêre.

It wichtichste ding - te iepenjen in poarte nûmer net heger wêze as de wearde fan 65535 (hegere havens gewoan net bestean yn de natuer). Dêrneist moatte betelje omtinken oan guon iepen havens standert, dy't brûkt wurde kin troch kliïnten lykas MySQL of FTPD databases. As jo oantsjutte se foar SSH konfiguraasje, fansels, se gewoan stopje wurkjen.

It is de muoite wurdich opskriuwen dat deselde Jabber kliïnt moat rinnen yn deselde omjouwing mei help SSH-tsjinner, bygelyks, op in firtuele masine. En de measte tsjinner localhost sil moatte tawize in wearde nei 4430 (yn stee fan 443, lykas sein hjirboppe). Dizze konfiguraasje kin brûkt wurde as tagong ta de wichtichste triem jabber.example.com blokkearre troch de firewall.

Oan 'e oare kant, de oerdracht havens kin wêze op de router mei help fan de konfiguraasje fan syn interface mei de oprjochting fan útsûnderingen oan' e regels. Yn de measte modellen ynbring fia ynfier adressen dy't begjinne mei 192,168 oanfolle mei 0.1 of 1.1, mar Router kombinearjen kapasiteiten ADSL-Modems lykas Mikrotik, ein adres giet it om it brûken fan 88.1.

Yn dit gefal, meitsje in nije regel, dan set de nedige parameters, bygelyks, ynstallearje de eksterne ferbining DST-nat, likegoed as de hân foarskreaun havens binne net ûnder de algemiene ynstellings en yn de seksje fan Activism foarkar (Aksje). Neat te yngewikkeld hjir. It wichtichste ding - te spesifisearjen de fereaske wearden fan ynstellings en set it juste haven. Standert, kinne jo brûke poarte 22, mar as de klant brûkt in spesjale (guon fan boppesteande foar ferskate systemen), de wearde kin feroare wurde willekeurich, mar allinne sa, dat dit parameter net útkomme boppe it ferkleare wearde, boppe hokker poarte oantallen binne gewoan net beskikber.

Wannear't jo opsetten ferbinings ek moat betelje omtinken foar de parameters fan de kliïnt programma. It kin wol wêze, dat yn syn ynstellings moatte oantsjutte de minimale lingte fan de kaai (512), alhoewol't de standert wurdt meastal ynsteld 768. It is ek winsklik om de tiidlimyt om ynlogge op it nivo fan 600 sekonden en it op ôfstân tagong tastimming mei woartel rjochten. Neidat it tapassen fan dizze ynstellings, moatte jo ek stean it brûken fan alle ferifikaasje rjochten, oars as dy op basis fan it brûken .rhost (mar it is nedich allinne nei systeem behearders).

Under oare dingen, as de brûkersnamme registrearre yn it systeem, net itselde as yntrodusearre op it stuit, dan moatte eksplisyt spesifisearre wurde mei help fan de brûker still master kommando mei de yntroduksje fan ekstra parameters (foar dyjingen dy't begripe wat op it spul).

Team ~ / .ssh / id_dsa kin brûkt wurde foar de transformaasje fan de kaai en de fersifering metoade (of RSA). Om in publike kaai brûkt troch de konverzje mei help fan de line ~ / .ssh / identity.pub (mar net needsaaklik). Mar, as praktyk shows, de maklikste manier te brûken kommando 's lykas ssh-keygen. Hjir de essinsje fan 'e dei wurdt ferlege allinnich oan it feit, te heakjen de kaai ta de beskikbere autentikaasje Tools (~ / .ssh / authorized_keys).

Mar wy hawwe gien te fier. As jo geane werom nei de haven ynstellings SSH issue, sa't hat west dúdlik feroaring SSH poarte is net sa dreech. Mar yn guon situaasjes, se sizze, sille moatte zweten, om't it ferlet om rekken alle wearden fan de kaai parameters. De rest fan it konfiguraasje issue swolmen del nei de yngong fan in tsjinner of kliïnt programma (as it is jûn earste ynstânsje), of te brûken poarte trochslúzjen op de router. Mar sels yn gefal fan feroaring fan 'e poarte 22, de standert, oan deselde 443rd, moat dúdlik begrepen dat sa'n regeling net altyd wurket, mar allinnich yn it gefal fan it ynstallearjen fan de deselde tafoegings in Jabber (oare analogs kinne aktivearje en harren respektivelike havens, it ferskilt fan de standert). Dêrneist spesjale oandacht moat wurde jûn parameter ynstellen SSH-client, dat sille direkt ynteraksje mei de SSH-tsjinner, as it wurdt echt moat te brûken de hjoeddeiske ferbining.

As foar it oare, as de poarte trochslúzjen wurdt net foarsjoen ynearsten (hoewol't it is winsklik te fieren sokke aksjes), ynstellings en opsjes foar tagong fia SSH, kinne jo net feroarje. Der gjin problemen by it meitsjen fan in ferbining, en it fierdere brûken, yn it algemien, wurdt net ferwachte (útsein as, fansels, sille net brûkt wurde mei de hân ynstelle it konfiguraasje tsjinner droegen en client). De meast foarkommende útsûnderingen op it skeppen fan regels op de router kinne jo ferbetterje gjin problemen of mije se.