Kako konfigurirati in uporabljati vrata SSH? Navodila po korakih

Secure Shell ali okrajšava SSH je ena najnaprednejših tehnologij varstva podatkov za prenos. Uporaba tega načina na istem usmerjevalniku vam omogoča, da zagotovite ne le zaupnost posredovanih informacij, temveč tudi pospešite izmenjavo paketov. Res je, da nihče ne ve, kako odpreti pristanišče SSH in zakaj je to vse potrebno. V tem primeru je treba dati konstruktivno razlago.

Port SSH: Kaj je to in zakaj?

Kar zadeva varnost, je treba v tem primeru pristanišče SSH razumeti kot namenski komunikacijski kanal v obliki predora, ki zagotavlja šifriranje podatkov.

Najbolj primitivna shema tega predora je, da se odprta vrata SSH privzeto uporabljajo za šifriranje podatkov v viru in dešifriranje na končnem mestu. Če želite to pojasniti, lahko to storite: ali vam je všeč ali ne, prenosa prometa, za razliko od IPSec, je šifrirano prisilno in na izhodu enega omrežnega terminala in na vhodu stranke prejemnika. Za dešifriranje informacij, ki se prenašajo na ta kanal, sprejemni terminal uporablja poseben ključ. Z drugimi besedami, nihče ne more posegati v prenos ali motiti celovitost oddanih podatkov v trenutnem trenutku brez ključa.

Samo odpiranje SSH pristanišča na katerem koli usmerjevalniku ali z uporabo ustreznih nastavitev dodatnega odjemalca, ki se stika s strežnikom SSH, vam omogoča neposredno izkoristiti vse varnostne funkcije sodobnih omrežij. Gre za uporabo privzetih nastavitev za vrata ali po meri. Ti parametri v aplikaciji so lahko precej težavni, vendar je brez razumevanja organizacija takšne povezave nujna.

Standardna vrata SSH

Če resnično nadaljujete s parametri katerega koli usmerjevalnika, morate najprej določiti, katero programsko opremo bo uporabila za aktiviranje tega komunikacijskega kanala. Pravzaprav privzeta vrata SSH imajo lahko različne nastavitve. Vse je odvisno od tega, katera metoda se trenutno uporablja (neposredna povezava s strežnikom, namestitev dodatnega odjemalca, posredovanje vrat itd.).

Na primer, če se Jabber uporablja kot odjemalec, je treba pri pravilni povezavi, šifriranju in prenosu podatkov uporabiti vrata 443, čeprav je v standardni različici nameščena vrata 22.

Če želite preusmeriti usmerjevalnik z izbiro potrebnih pogojev za določen program ali postopek, boste morali izvesti posredovanje SSH vrat . Kaj je to? To je namen posebnega dostopa za en sam program, ki uporablja internetno povezavo, ne glede na to, katere nastavitve ima trenutni komunikacijski protokol (IPv4 ali IPv6).

Tehnična utemeljitev

Kot vidite, se standardna vrata SSH 22 ne uporabljajo vedno. Vendar pa morate tukaj poudariti nekatere lastnosti in parametre, uporabljene v konfiguraciji.

Zakaj zaupnost prenosa šifriranih podatkov vključuje uporabo SSH protokola kot izključno zunanja (gostujoča) uporabniška vrata? Samo zato, ker uporabljeni tunel omogoča uporabo tako imenovanega oddaljenega lupine (SSH), da pridobite dostop do upravljanja terminala prek oddaljenega prijavljanja (slogin) in uporabite postopke oddaljenega kopiranja (scp).

Poleg tega se lahko pristanišče SSH uporabi tudi, ko uporabnik potrebuje oddaljene skripte X Windows, kar je v najpreprostejšem primeru prenos podatkov z enega računalnika na drugega, kot je bilo že omenjeno, s šifriranjem prisilnega podatka. V takih primerih bo najpomembnejša uporaba algoritmov, ki temeljijo na AES. To je simetričen šifrirni algoritem, ki je prvotno predviden v tehnologiji SSH. In to ni mogoče samo uporabiti, ampak je tudi potrebno.

Zgodovina izvajanja

Tehnologija se je pojavila že davno. Ne pustimo zapustiti vprašanja o tem, kako narediti posredovanje SSH, vendar se bomo ustavili pri tem, kako to deluje.

Ponavadi se vse nanaša na uporabo proxyja na podlagi nogavic ali z VPN tuneliranjem. V primeru, da katera koli programska aplikacija lahko deluje z VPN, je bolje, da se ta možnost izbere. Dejstvo je, da lahko skoraj vsi trenutno znani programi, ki uporabljajo internetni promet, delajo z VPN, konfiguracija usmerjanja pa se ne trudi veliko. To, tako kot pri proxy strežnikih, vam omogoča, da zapustite zunanji naslov terminala, ki je trenutno dostopen v omrežju, neprepoznan. To pomeni, da se v primeru proxy stalno spreminja naslov, v različici VPN pa ostane nespremenjen z določitvijo določene regije, drugačne od mesta, kjer deluje prepoved dostopa.

Sama tehnologija, ko je odprta vrata SSH, je bila razvita leta 1995 na Finski tehnološki univerzi (SSH-1). Leta 1996 je bilo dodano izboljšanje v obliki protokola SSH-2, ki je post-sovjetski prostor postal precej razširjen, čeprav je za to in v nekaterih državah Zahodne Evrope včasih potrebno pridobiti dovoljenje za uporabo takšnega predora in vladnih agencij.

Glavna prednost odpiranja SSH pristanišča, za razliko od telneta ali rlogina, je uporaba digitalnega podpisa RSA ali DSA (uporaba para v obliki odprtega in pokopanega ključa). Poleg tega lahko v tem primeru uporabi tako imenovani ključ seje, ki temelji na Diffie-Hellman algoritmu, kar pomeni uporabo simetričnega šifriranja na izhodu, čeprav ne izključuje uporabe asimetričnih algoritmov šifriranja v procesu prenosa in sprejemanja podatkov s strani drugega računalnika.

Strežniki in lupine

V operacijskem sistemu Windows ali Linux, vrata SSH ni tako težko odpreti . Edino vprašanje je, katera orodna vrstica se bo uporabljala za to.

V tem smislu morate posvetiti pozornost vprašanju prenosa informacij in preverjanja pristnosti. Prvič, sam protokol je dovolj zaščiten pred tako imenovanim njuhanjem, kar je najpogostejša "prisluškovanje" prometa. SSH-1 je bil brez napetosti pred napadom. Vmešavanje v proces prenosa podatkov v obliki sheme "človek v sredini" je imelo svoje rezultate. Informacije preprosto lahko preprosto prestrežijo in razširijo. Toda druga različica (SSH-2) je bila zavarovana proti tej vrsti posredovanja, imenovani ugrabitev seje, zaradi česar je bila najpogostejša.

Varnostne prepovedi

Kar se tiče varnosti v zvezi s poslanimi in prejetimi podatki, organizacija povezave, ustvarjene s takšnimi tehnologijami, preprečuje pojav naslednjih težav:

• Določitev ključa za gostitelja v fazi prenosa, kadar se uporablja prstni odtis "prstni odtis";
• Podpora za sisteme, ki so podobni sistemu Windows in UNIX;
• Zamenjava naslovov IP in DNS (prevara);
• Prekinitev odprtih gesel s fizičnim dostopom do kanala za prenos podatkov.

Pravzaprav je celotna organizacija takega sistema zgrajena na principu "odjemalec-strežnik", to je, prvič, uporabniški stroj s pomočjo posebnega programa ali dodatkovnih naslovov strežniku, ki izvede ustrezno preusmeritev.

Tuneliranje

Samoumevno je, da je v sistem treba namestiti poseben gonilnik za izvedbo te vrste povezave.

Praviloma v sistemih, ki temeljijo na sistemu Windows, je gonilnik Microsoft Teredo vgrajen v programsko lupino, ki je nekakšno virtualno emulacijsko orodje za protokol IPv6 v omrežjih s podporo samo za IPv4. Adapter tunela je privzeto v aktivnem stanju. V primeru okvare, ki je povezana z njim, lahko preprosto znova zaženete sistem ali izvedete ukaze za zaustavitev in ponovni zagon v konzolni konzoli. Za deaktiviranje se uporabljajo naslednje vrstice:

• Netsh;
• Vmesnik teredo nastavi stanje onemogočeno;
• Stanje vmesnika isatap je onemogočeno.

Po vnosu ukazov morate znova zagnati. Če želite ponovno omogočiti adapter in preveriti njegov status namesto onemogočiti, je dovoljenje omogočeno, nato pa znova zaženite celoten sistem.

SSH strežnik

Zdaj pa poglejmo, katera vrata SSH se uporabljajo kot primarna vrata, ki se začnejo s shemo "odjemalec-strežnik". Po navadi se privzeto uporablja 22. vrata, vendar lahko, kot je že omenjeno zgoraj, uporabite 443. mesto. Edino vprašanje je prednost strežnika.

Najpogostejši strežniki SSH veljajo za naslednje:

• Za Windows: Tectia SSH Server, OpenSSH s Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd;
• Za FreeBSD: OpenSSH;
• Za Linux: Tectia SSH Server, ssh, odpensh-server, lsh-server, dropbear.

Vsi navedeni strežniki so brezplačni. Vendar pa lahko najdete plačljive storitve, za katere je značilna višja raven varnosti, kar je izjemno potrebno za organiziranje dostopa do omrežja in varovanje informacij v podjetjih. Stroški takšnih storitev se zdaj ne obravnavajo. Na splošno pa lahko rečemo, da je razmeroma poceni, tudi v primerjavi z namestitvijo specializirane programske opreme ali požarnega zidu "železa".

SSH odjemalec

Vrata SSH lahko spremenite glede na program odjemalca ali ustrezne nastavitve pri usmerjanju vrat na usmerjevalniku.

Če pa se dotaknete ikon za odjemalce, lahko za različne sisteme uporabljate naslednje programske izdelke:

• Windows - SecureCRT, PuTTY \ KiTTY, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD itd .;
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux in BSD: lsh-client, kdessh, openssh-client, Vinagre, kit.

Overjanje na podlagi javnih ključev in spreminjanje pristanišča

Zdaj nekaj besed o tem, kako poteka preverjanje in konfiguracija strežnika. V najpreprostejšem primeru morate uporabiti konfiguracijsko datoteko (sshd_config). Vendar pa lahko storite brez njega, na primer v primeru programov, kot je PuTTY. Spremenite vrata SSH s standardne vrednosti (22) na katero koli drugo, lahko precej elementarno.

Glavna stvar je, da številka pristanišča, ki ga je treba odpreti, ne presega vrednosti 65535 (v naravi preprosto ni nobene vrste pristanišča). Poleg tega bi morali privzeto upoštevati nekatera odprta vrata, ki jih lahko uporabljajo stranke, kot so podatkovne baze MySQL ali FTPD. Če določite njihovo konfiguracijo za SSH, seveda preprosto prenehajo delovati.

Treba je opozoriti, da bi moral isti odjemalec Jabber izvajati v istem okolju z uporabo strežnika SSH, na primer v navideznem računalniku. In strežnik localhost sam bo moral dodeliti vrednost 4430 (in ne 443, kot je navedeno zgoraj). To konfiguracijo lahko uporabite, ko požarni zid blokira dostop do glavne datoteke jabber.example.com.

Po drugi strani pa lahko pristanišča prenesete sami na usmerjevalnik in uporabite nastavitve vmesnika, da ustvarite pravila za izključitev. Na večini modelov je vnos vnesel naslove, ki se začnejo z 192.168 z dodatkom 0,1 ali 1,1, toda na usmerjevalnikih, ki združujejo zmožnosti ADSL modemov, kot je Mikrotik, končni naslov prevzame uporabo 88,1.

V tem primeru se ustvari novo pravilo, nato pa nastavite potrebne parametre za nastavitev zunanje povezave dst-nat in ročno dodelite vrata, ki niso v razdelku o splošnih nastavitvah, in v razdelku Dejanja o dejstvih. Tu ni nič posebej zapletenega. Glavna stvar je določiti potrebne nastavitve in nastaviti pravilna vrata. Privzeto lahko uporabite vrata 22, vendar če uporabljate namenskega odjemalca (nekaj od zgoraj za različne sisteme), se lahko vrednost samodejno spremeni, vendar le, da ta parameter ne preseže deklarirane vrednosti, nad katero so številke vrat preprosto odsotne.

Ko konfigurirate povezavo, morate upoštevati tudi parametre odjemalskega programa. Morda je zelo pomembno, da je v njenih nastavitvah treba določiti najmanjšo dolžino ključa (512), čeprav je privzeto običajno nastavljen na 768. Zaželeno je tudi, da se nastavi zakasnitev vpisa na 600 sekund in dovoljenje za oddaljeni dostop s korenskimi pravicami. Po uporabi teh nastavitev morate dati dovoljenje za uporabo vseh pravic za preverjanje pristnosti, razen tistih, ki temeljijo na uporabi. Rhost (to je potrebno samo za sistemske administratorje).

Poleg tega, če se uporabniško ime, registrirano v sistemu, ne ujema s tistim, ki ga trenutno vnašate, ga boste morali izrecno določiti z uporabniškim ukazom ssh master z dodatnimi parametri (za tiste, ki razumejo, kaj govorijo).

Ukaz ~ / .ssh / id_dsa (ali rsa) se lahko uporabi za pretvorbo ključa in samega šifriranja. Če želite ustvariti javni ključ, se pretvorba izvede z uporabo črk ~ / .ssh / identiteta.pub (vendar to ni potrebno). Toda, kot kaže praksa, je najlažje uporabljati ukaze, kot je ssh-keygen. Tu se bistvo zadeve zmanjša le, če dodamo ključ do razpoložljivih orodij za avtorizacijo (~ / .ssh / authorized_keys).

Ampak šli smo predaleč. Če se vrnete na konfiguracijsko konfiguracijo vrat SSH, kot že veste, spreminjanje vrata SSH ni tako težavno. Res je, da v nekaterih situacijah, kot pravijo, se morate znojiti, ker boste morali upoštevati vse vrednosti glavnih parametrov. V nasprotnem primeru se vprašanje uglaševanja zmanjša na vhod v strežniški ali odjemniški program (če je na začetku na voljo) ali na uporabo posredovanja vrat na usmerjevalniku. Toda tudi če se privzeta vrata 22 spremenijo na isti 443, morate jasno razumeti, da ta shema ne deluje vedno, ampak le, če namestite isti dodatek Jabber (drugi analogi lahko uporabljajo tudi njihova ustrezna vrata, Ki se razlikujejo od standardnih). Poleg tega je treba posebno pozornost nameniti nastavljanju parametrov odjemalca SSH, ki bodo neposredno vplivali na strežnik SSH, če je to res potrebno pri uporabi trenutne povezave.

V nasprotnem primeru, če posredovanje vrat ni zagotovljeno na začetku (čeprav je zaželeno, da izvedete take ukrepe), nastavitev in parametri za dostop SSH ne morete spremeniti. Pri ustvarjanju povezave in njeni nadaljnji uporabi ni posebnih težav, na splošno se ne pričakuje (razen če se seveda ne uporablja ročna konfiguracija konfiguracije, ki temelji na strežniku in odjemalcu). Najpogostejše ustvarjanje pravila o izjemah na usmerjevalniku vam omogoča, da odpravite vse težave ali da se izognete njihovemu izgledu.