Kaip konfigūruoti ir naudoti SSH prievadą? Žingsnis po žingsnio vadovas

Secure Shell, arba sutrumpintai SSH, ji yra viena iš labiausiai pažangių duomenų apsaugos technologijų perdavimo. Tokio režimo naudojimas to paties maršrutizatoriaus leidžia ne tik perduodamos informacijos konfidencialumą, bet ir paspartinti pakelių keistis. Tačiau ne visi žino, kiek atidaryti SSH prievadą, ir kodėl visa tai yra būtina. Tokiu atveju būtina suteikti konstruktyvų paaiškinimą.

Uosto SSH: kas tai yra ir kodėl mums reikia?

Kadangi mes kalbame apie saugumą, šiuo atveju, pagal SSH prievadą turi būti suprantama specialų kanalą į tunelio pavidalo, kuris teikia duomenų šifravimą.

Primityviausia schema šio tunelio yra tai, kad atvira ssh-uostas naudojamas pagal nutylėjimą užšifruoti duomenis šaltinį ir iššifravimas dėl vertinamosios baigties. Tai galima paaiškinti taip: ar jums patinka, ar ne, perduodami eismas, skirtingai nuo IPSec, užkoduota pagal prievarta ir išvesties terminalą tinklo, ir priimančios pusės įėjimo. Iššifruoti perduodami šio kanalo informacijos, gaunančioji terminalas naudoja specialų raktą. Kitaip tariant, įsikišti į pavedimu arba pakenkti perduotų duomenų vientisumą šiuo metu niekas negali be rakto.

Tiesiog atidarant SSH-Port bet maršrutizatorius arba naudojant atitinkamus nustatymus papildomą kliento sąveikauja tiesiogiai su SSH serverį, leidžia išnaudoti visas šiuolaikinių tinklo apsaugos sistemų savybes. Mes esame čia, kaip naudotis uosto, kuris yra priskirtas pagal nutylėjimą arba pasirinktinius parametrus. Šie paraiškos parametrai gali atrodyti sunku, bet be kurio tokio ryšio organizavimo supratimo nepakanka.

Standartinė SSH prievadą

Jei iš tiesų, remiantis bet maršrutizatorius parametrus pirmiausia turėtų nustatyti tvarką, kokios programinės įrangos bus naudojamas aktyvuoti šią nuorodą. Iš tiesų, pagal nutylėjimą SSH prievadą gali turėti skirtingus nustatymus. Viskas priklauso nuo to, koks metodas yra naudojamas tuo metu (tiesioginis prijungimas prie serverio, įrengiant papildomą klientas ekspedijavimas ir D. pan.).

Pavyzdžiui, jei klientas naudojamas Jabber, už teisingus ryšius, šifravimo ir duomenų perdavimo uosto 443 turi būti naudojamas, nors įsikūnijimas yra nustatytas standartinis uosto 22.

Norėdami iš naujo maršruto parinktuvą prie paskirstymo tam tikrą programą arba apdoroti būtinos sąlygos turi atlikti ekspedijavimas SSH. Kas tai yra? Tai tam tikro susipažinti su viena programa, kuri naudoja interneto ryšį tikslas, nepriklausomai nuo to, kuris parametras yra dabartiniai protokolas keistis duomenimis (IPv4 arba IPv6).

techninis pagrindimas

Standartinė SSH prievadą 22 ne visada naudojamas kaip ji jau buvo aiškus. Tačiau čia būtina skirti kai kurių savybių ir parametrų sąrankos metu naudojamų.

Kodėl šifruotų duomenų konfidencialumas protokolas apima SSH naudoti kaip grynai išorinio (svečias) Vartotojo uostą? Bet tik todėl, kad tunelių taikoma jis leidžia iš vadinamojo nuotolinio apvalkalo (SSH) naudojimas, siekiant gauti prieigą prie terminalo valdymo per nuotolinio prisijungimo (sprisijungti), ir taikyti nuotolinio kopijavimo procedūrą (SCP).

Be to, ssh-uostas gali būti aktyvuota tuo atveju, kai vartotojas yra būtina vykdyti nuotolinio scenarijus X Langai, kuri Paprasčiausiu atveju yra informacijos perdavimas iš vieno kompiuterio į kitą, kaip jau buvo minėta, su priverstiniu duomenų šifravimas. Tokiais atvejais labiausiai reikia bus naudoti remiantis AES algoritmas. Tai yra simetrinis šifravimas algoritmas, kuris iš pradžių buvo numatyta SSH technologijų. Ir naudoti jį ne tik įmanoma, bet ir būtina.

Istorija realizavimo

Technologija pasirodė ilgai. Palikime nuošalyje kaip padaryti apledėjimo SSH prievadą klausimą, ir sutelkti dėmesį į, kaip visa tai veikia.

Paprastai jis nužengia į, naudoti proxy ant Kojinės pagrindu arba naudoti VPN tunelių. Tuo atveju, kai programinė įranga gali dirbti su VPN, geriau pasirinkti šią parinktį. Tas faktas, kad šiandien beveik visi žinomi programos naudoja interneto srautą, VPN gali dirbti, bet lengvai maršruto konfigūraciją nėra. Tai, kaip iš proxy serveriai atveju, leidžia palikti išorinį adresą terminalo, iš kurio metu gaminamos produkcijos tinklo, nepastebimas. Taip yra tuo atveju su proxy adresas yra nuolat kinta, ir VPN versija lieka nepakitęs su tam tikro regiono fiksavimo, kitoje nei ta, kurioje yra draudimas gauti.

Pačią technologiją, kuri siūlo SSH prievadą, buvo sukurtas 1995 metais ir technologijos universitete Suomijoje (SSH-1). 1996 metais, patobulinimai buvo įtraukta į ssh-2 protokolo, kuris buvo gana paplitęs posovietinėje erdvėje forma, nors už tai, taip pat kai kuriose Vakarų Europos šalyse, tai kartais reikia gauti leidimą naudoti šį tunelį, ir iš vyriausybinių agentūrų.

Pagrindinis privalumas atidarymo SSH-port, o ne telnet ar rlogin, yra skaitmeninių parašų RSA ar PSI (iš atvirų porų ir palaidotas rakto naudojimui) naudojimas. Be to, šioje situacijoje galima naudoti vadinamąją sesijos raktą remiantis Diffie-Hellman algoritmas, kuris yra susijęs su simetriniu šifravimo produkcijos naudojimą, nors netrukdo asimetriniai šifravimo algoritmai naudoja duomenų perdavimui ir priėmimui kitą mašiną metu.

Serverių ir apvalkalas

Windows ar Linux SSH-uosto Open nėra taip sunku. Vienintelis klausimas, kokios įrankių šiam tikslui bus naudojamas.

Šia prasme būtina atkreipti dėmesį į informacijos perdavimo ir autentiškumo klausimu. Pirma, pats protokolas yra pakankamai apsaugotas vadinamosios uostyti, kuris yra labiausiai įprasta "telefoninių pokalbių įrašymą" eismo. SSH-1 įrodyta, kad būti apsaugoti nuo atakų,. Kišimasis į duomenų perdavimo į tam schemos "žmogus viduryje" formos procese turėjo savo rezultatus. Informacija gali tiesiog įsiterpti ir iššifruoti gana elementari. Tačiau antroji versija (SSH-2) buvo apsaugota nuo šio intervencijos rūšies, žinomas kaip sesijos vogimą, ačiū, kas yra labiausiai populiarus.

draudimai saugumo

Kalbant apie atžvilgiu perduotų ir gautų duomenų saugumą, nustatytų su tokios technologijos naudojimo jungtys organizacija leidžia išvengti šios problemos:

• identifikavimo raktas į prie perdavimo žingsnio priimančiosios, kai "fotografiją» pirštų atspaudų;
• Parama Windows ir UNIX sistemų;
• Keitimas IP ir DNS adresus (parodijos);
• perimti atvirą slaptažodį su fizinės prieigos prie duomenų kanalą.

Tiesą sakant, visa organizacija tokios sistemos yra pastatyta ant "kliento-serverio principu, tai yra, visų pirma į vartotojo kompiuterį per specialią programą arba add-kvietimuose į serverį, kuris gamina atitinkamą peradresavimo.

tunelinio

Savaime suprantama, kad tokio pobūdžio ryšį specialų vairuotojo įgyvendinimas turi būti įdiegta sistema.

Paprastai, Windows pagrindu sistemų yra pastatytas į programą lukštais vairuotojas "Microsoft" TEREDO, kuris yra Virtualių emuliacija naudojant IPv6 natūra palaikančius tik IPv4. Tunelio numatytąją adapteris yra aktyvus. Jei nepavyktų su juo susijusios atveju, galite tiesiog padaryti iš naujo paleidus sistemą arba atlikti išjungti ir iš naujo paleisti komandas iš komandų konsolėje. Norėdami išjungti tokios linijos yra naudojamos:

• netsh;
• sąsaja Teredo rinkinys valstybė išjungtas;
• sąsaja isatap nustatyti valstybinės išjungtas.

Įvedę komandą turėtų iš naujo. Norėdami vėl įjungti adapterį ir patikrinti neįgaliesiems vietoj leido Registrų leidimo statusą, po kurio vėl turėtų perkrauti visą sistemą.

SSH serveris

Dabar pažiūrėkime, kaip SSH prievadą yra naudojamas kaip pagrindinis, nuo schemos "kliento-serverio". Numatytoji paprastai taikomas 22-port, bet, kaip minėta pirmiau, gali būti naudojamas ir 443.. Vienintelis klausimas paties serverio pasirinkimą.

Dažniausiai ssh-serveriai yra laikomas taip:

• Windows: "Tectia SSH serveris, OpenSSH su Cygwin, MobaSSH, KpyM Telnet / SSH serverio, WinSSHD, copssh, freeSSHd;
• FreeBSD: OpenSSH;
• Linux: Tectia SSH serverio, ssh, openssh serverio LSH-serverio, dropbear.

Visi serveriai yra nemokama. Tačiau galima rasti ir mokamos paslaugos, kurie teikia dar daugiau saugumo lygį, kuris yra labai svarbus prieigos tinklų ir informacijos saugumo įmonėse organizacijos. Tokių paslaugų kaina nėra aptarta. Bet apskritai, mes galime pasakyti, kad tai yra palyginti nebrangūs, net lyginant su specialia programine įranga arba "aparatūros" firewall montavimas.

Ssh-klientas

Pakeisti SSH prievadą gali būti padaryta kliento programos pagrindu arba atitinkamų parametrų, kai ekspedijavimas jūsų maršrutizatorius.

Tačiau, jei jūs liečiate kliento lukštais, šie programinės įrangos produktai gali būti naudojami įvairių sistemų:

• Langai - SecureCRT, glaistai \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD tt;..
• "Mac OS X": iTerm2, vSSH, NiftyTelnet SSH;
• Linux ir BSD: LSH-klientas, kdessh, OpenSSH-klientas, Vinagre, glaistai.

Autentifikavimas pagrįstas viešojo rakto ir pakeisti uostą

Dabar keletas žodžių apie tai, kaip tikrinimas ir sukurti serverį. Paprasčiausiu atveju, turite naudoti konfigūracijos failą (sshd_config). Tačiau, jūs galite padaryti be jo, pavyzdžiui, atsižvelgiant į programų, tokių Putty atveju. Pakeisti SSH prievadą nuo numatytosios vertės (22) bet kitas yra visiškai elementarus.

Svarbiausia - atidaryti prievado numerį neturi viršyti 65535 vertė (aukštojo uostai tiesiog neegzistuoja gamtoje). Be to, reikėtų atkreipti dėmesį į kai kuriuos atvirus uostus pagal nutylėjimą, kurie gali būti naudojami klientų kaip MySQL arba ftpd duomenų bazėse. Jei nurodysite juos SSH konfigūracijos, žinoma, jie tiesiog nustoti veikti.

Verta paminėti, kad tas pats Jabber klientas turi veikti toje pačioje aplinkoje, naudojant SSH serverį, pavyzdžiui, ant virtualios mašinos. Ir dauguma serverio localhost reikės priskirti vertę 4430 (vietoj 443, kaip minėta pirmiau). Ši konfigūracija gali būti naudojamas, kai prieiga prie pagrindinio failo jabber.example.com užblokuotas užkardą.

Kita vertus, perdavimo uostai gali būti maršrutizatorių naudojant savo sąsajos su išimtimis taisyklių kūrimo konfigūraciją. Daugelyje modelių įvesties per įvesties adresų pradedant 192.168 papildytas 0,1 ar 1,1, bet maršrutizatoriai derinant pajėgumai ADSL modemus, kaip Mikrotik, pabaiga adresas apima 88,1 naudojimą.

Šiuo atveju, sukurti naują taisyklę, tada nustatykite reikiamus parametrus, pavyzdžiui, įdiegti išorinį ryšį DST-nat, taip pat rankiniu būdu nustatytos uostai yra ne pagal bendruosius parametrus ir aktyvizmo pageidavimus skyriuje (veiksmų). Nieko pernelyg sudėtinga čia. Svarbiausia - nustatyti reikiamus vertybes nustatymus ir nustatykite teisingą prievadą. Pagal nutylėjimą, galite naudoti uosto 22, bet jei klientas naudoja specialų (kai kurie iš skirtingų sistemų aukščiau), vertė gali būti pakeista savavališkai, bet tik todėl, kad šis parametras neturi viršyti deklaruotą vertę, kurią viršijus uosto numeriai tiesiog nėra.

Kai nustatote ryšį, taip pat turėtų atkreipti dėmesį į kliento programos parametrus. Taip pat gali būti, kad savo nustatymų turi nurodyti minimalų rakto (512), nors pagal nutylėjimą yra paprastai nustatomas 768. Taip pat pageidautina nustatyti laiką, prisijungti prie 600 sekundžių lygio ir nuotolinės prieigos leidimo su šaknies teises. Pritaikius šiuos nustatymus, jums reikia taip pat leisti visų autentiškumo teisių naudojimą, išskyrus tuos, kurie grindžiami naudojimo .rhost (bet tai reikia tik sistemos administratoriai).

Tarp kitų dalykų, jeigu įregistruotas vartotojo vardas sistemoje, ne tas pats, kaip nustatyta šiuo metu, tai turi būti nurodyta aiškiai, naudojant vartotojo ssh meistras komandą su papildomais parametrais įvedimo (tiems, kurie supranta, kas yra pastatyta ant kortos).

Komanda ~ / .ssh / id_dsa gali būti naudojamas transformavimo raktu ir šifravimo metodą (ar PAR). Norėdami sukurti viešąjį raktą naudojamas konversijos naudojant linijos ~ / .ssh / identity.pub (bet nebūtinai). Bet, kaip rodo praktika, paprasčiausias būdas naudoti komandas kaip ssh-keygen. Čia emisijos esmė yra sumažintas tik tuo, pridėti mygtuką, kad turimų autentifikacijos priemonėmis (~ / .ssh / authorized_keys).

Bet mes nuėjo per toli. Jei grįžti prie uosto nustatymai SSH klausimu, kaip jau buvo aišku Pakeisti SSH uostas yra ne taip sunku. Tačiau kai kuriais atvejais, jie sako, turės prakaitas, nes reikia atsižvelgti į visus pagrindinius parametrus vertybes. Iš konfigūracijos problemą poilsio suvesta į bet serverio ar kliento programos įėjimo (jei tai numatyta iš pradžių), arba naudoti ekspedijavimas maršrutizatorius. Tačiau net ir tuo atveju, uosto 22 pakeitimą, pagal nutylėjimą, į tą pačią 443rd, turėtų būti aiškiai suprantama, kad tokia sistema ne visada veikia, bet tik tuo atveju, diegiant tą patį papildinį Jabber atveju (kiti analogai gali aktyvuoti ir atitinkamas jų uostus, ji skiriasi nuo standarto). Be to, ypatingas dėmesys turėtų būti skiriamas Parametrizavimo ssh-klientas, kuris bus tiesiogiai bendrauti su SSH serverį, jei jis tikrai turėtų naudoti esamą ryšį.

Kalbant apie poilsio, jei ekspedijavimas nėra numatyta iš pradžių (nors pageidautina atlikti tokius veiksmus), parametrus ir galimybes patekti per SSH, jūs negalite pakeisti. Yra kokių nors problemų kuriant ryšį, ir jos tolesnį naudojimą apskritai nesitikima (nebent, žinoma, nebus naudojama rankiniu būdu konfigūruoti sąrankos serveris pagrįstas ir klientas). Dažniausiai išimtys iš taisyklių maršrutizatorius kūrimo leidžia ištaisyti bet kokias problemas ar jų išvengti.