Kako konfigurirati i koristiti SSH port? Podrobna uputa

Secure Shell,

SSH port: Što je to i zašto?

Što se tiče sigurnosti, u ovom slučaju SSH luka treba shvatiti kao posvećeni komunikacijski kanal u obliku tunela koji omogućuje šifriranje podataka.

Najprimitivnija shema operacije takvog tunela jest to otvorite ssh port Prema zadanim postavkama koristi se za šifriranje podataka u izvoru i dekriptiranje na krajnjoj točki. Da bi se to pojasnilo moguće je: hoće li vam se to svidjeti ili ne, prijenosni promet, za razliku od IPSec, šifrira se prisilno i na izlazu jednog mrežnog terminala i na ulazu primatelja. Za dekriptiranje informacija prenesenih preko ovog kanala, prijemni terminal koristi posebni ključ. Drugim riječima, nitko ne može ometati prijenos ili ometati integritet prenesenih podataka u trenutačnom trenutku bez ključa.

Samo otvaranje SSH portova na bilo kojem ruteru ili korištenjem odgovarajućih postavki dodatnog klijenta koji komunicira s SSH poslužiteljem izravno vam omogućuje da iskoristite sve prednosti svih sigurnosnih značajki suvremenih mreža. Radi se o upotrebi zadanog port ili prilagođenih postavki. Ovi parametri u aplikaciji mogu izgledati prilično teško, ali bez razumijevanja organizacije ove veze je neophodno.

Standardna SSH priključak

Ako zaista počnete s parametrima bilo kojeg usmjerivača, najprije morate utvrditi koji će se softver koristiti za aktiviranje ovog komunikacijskog kanala. Zapravo, zadani SSH port može imati različite postavke. Sve ovisi o tome koja se tehnika trenutno koristi (izravna veza s poslužiteljem, instalacija dodatnog klijenta, prosljeđivanje luka itd.).

Na primjer, ako se Jabber koristi kao klijent, priključak 443 treba koristiti za ispravnu vezu, šifriranje i prijenos podataka, iako je priključak 22 instaliran u standardnu ​​verziju.

Da biste rekonfigurirali usmjerivač tako što ćete istaknuti potrebne uvjete za određeni program ili proces, morat ćete izvršiti prosljeđivanje luka SSH. Što je to? Ovo je postoji dodjeljivanje određenog pristupa za pojedini program koji koristi internetsku vezu, bez obzira na postavke trenutnog komunikacijskog protokola (IPv4 ili IPv6).

Tehnički razlozi

Kao što možete vidjeti, standardna SSH 22 priključnica se ne koristi uvijek. Međutim, ovdje morate istaknuti neke karakteristike i parametre koji se koriste u konfiguraciji.

Zašto povjerljivost šifriranog prijenosa podataka uključuje korištenje SSH protokola kao isključivo vanjske (gost) korisničke priključke? Ali samo zato što se primjenjuje tuneliranje to omogućuje korištenje tzv daljinsko ljuske (SSH), da se dobije pristup terminala za upravljanje putem daljinskog login (slogin) i primijeniti postupak udaljenog kopiranja (SCP).

Osim toga, SSH port može se aktivirati u slučaju kada je potrebno korisniku da izvrši udaljene skripte X Windows, koji je u najjednostavnijem slučaju je prijenos podataka s jednog stroja na drugi, kao što je rečeno, s prisilnom šifriranje podataka. U takvim situacijama najbitnije će biti upotreba algoritama baziranih na AES. Ovo je simetrični algoritam šifriranja, koji je izvorno predviđen u SSH tehnologiji. I ne možete ga koristiti samo, ali također je potrebno.

Povijest implementacije

Sama tehnologija se pojavila neko vrijeme. Ostavimo pitanje kako napraviti forward SSH port, ali zaustavljamo se kako to sve funkcionira.

Obično se svodi na korištenje proxyja na temelju čarapa ili VPN tunela. U slučaju da bilo koja softverska aplikacija može raditi s VPN-om, bolje je da odaberete tu opciju. Činjenica je da gotovo svi poznati programi koji koriste internetski promet s VPN-om mogu funkcionirati, a konfiguracija usmjeravanja ne ulaže puno napora. To, kao u slučaju proxy poslužitelja, omogućuje vam da ostavite vanjsku adresu terminala, koja se trenutačno pristupa mreži, koja nije prepoznata. To jest, u slučaju proxyja, adresa se stalno mijenja, a inačici VPN-a ostaje nepromijenjena s fiksiranjem određene regije, različitom od onoga gdje zabrana pristupa funkcionira.

Sama tehnologija, kada je SSH otvoren, razvijen je još 1995. godine na Tehnološkom sveučilištu u Finskoj (SSH-1). Godine 1996., poboljšanja su dodani u obliku SSH-2 protokol, koji je bio prilično raširena u post-sovjetskom prostoru, iako je za to, kao iu nekim zemljama zapadne Europe, ponekad je potrebno dobiti dopuštenje za korištenje ovog tunela, a od vladine agencije.

Glavna prednost otvaranja SSH port, za razliku od telnet ili rlogin, je korištenje digitalnih potpisa RSA ili DSA (korištenje par otvorena i pokopan ključem). Nadalje, u ovoj situaciji možete koristiti takozvani ključ sesije se temelji na Diffie-Hellman algoritam, koji uključuje korištenje simetričnog šifriranja izlaz, iako ne isključuje upotrebu asimetričnih algoritama šifriranja kod prijenosa podataka i prijem od strane drugog računala.

Poslužitelji i školjke

U sustavu Windows ili Linux, SSH port nije tako teško otvoriti. Jedino je pitanje koje će alatke koristiti za to.

U tom smislu potrebno je obratiti pažnju na pitanje prijenosa podataka i autentifikacije. Prvo, sam protokol je dovoljno zaštićen od tzv. Sniffing, što je najčešći "prisluškivanje" prometa. SSH-1 je bio bespomoćan prije napada. Interferencija u procesu prijenosa podataka u obliku "osobe u sredini" je imala svoje rezultate. Informacije se jednostavno mogu presresti i dešifrirati jednostavno. Ali druga verzija (SSH-2) bila je osigurana protiv ove vrste intervencije, nazvane otmice sesija, što ga je učinilo najčešćim.

Zabrane sigurnosti

Što se tiče sigurnosti u vezi s prenesenim i primljenim podacima, organizacija povezanosti stvorena pomoću takvih tehnologija izbjegava pojavu sljedećih problema:

• definicija ključa domaćina u fazi prijenosa, kada se koristi otisak prsta "otisak prsta";
• podrška za Windows i UNIX sustave;
• zamjena IP i DNS adresa (spoofing);
• presretanje otvorenih zaporki s fizičkim pristupom kanalu za prijenos podataka.

Zapravo, cijela organizacija takvog sustava izgrađena je na principu "klijent-poslužitelj", odnosno, prije svega, korisničkim računalom pomoću posebnog programa ili dodatnih adresa poslužitelju koji obavlja odgovarajuću preusmjeravanje.

tuneliranje

Neophodno je da se u sustavu mora instalirati poseban upravljački program za implementaciju ove vrste veze.

Tipično, u sustavima koji se temelje na sustavu Windows, to je Microsoft Teredo upravljački program ugrađen u softversku ljusku, koja je vrsta virtualnog alata za emulaciju IPv6 u mrežama samo za IPv4. Adapter za tunel po defaultu je u aktivnom stanju. U slučaju kvarova koji su povezani s njim, možete jednostavno ponovo pokrenuti sustav ili izvršiti shutdown i restart naredbe u naredbi konzoli. Da biste deaktivirali, koriste se sljedeće retke:

• Netscape;
• sučelje teredo set stanje onemogućeno;
• sučelje isatap set state disabled.

Nakon ulaska u naredbe morate ponovno pokrenuti sustav. Da biste ponovno omogućili prilagodnik i provjerili njegov status umjesto onemogućen, dopuštenje je omogućeno, nakon čega se cijeli sustav treba ponovno pokrenuti.

SSH poslužitelj

Sada vidimo koji SSH port se koristi kao primarna luka, počevši od sheme "klijent-poslužitelj". Uobičajeno, 22. priključak koristi se prema zadanim postavkama, ali, kao što je već gore navedeno, može koristiti 443. Jedino je pitanje prednost samog poslužitelja.

Najčešći SSH poslužitelji smatraju se sljedećim:

• za Windows: Tectia SSH poslužitelj, OpenSSH sa Cygwin, MobaSSH, KpyM Telnet / SSH poslužitelj, WinSSHD, copssh, freeSSHd;
• za FreeBSD: OpenSSH;
• za Linux: SSH poslužitelj Tectia, ssh, openssh-server, lsh-server, dropbear.

Svi navedeni poslužitelji su besplatni. Međutim, možete pronaći plaćene usluge, koje karakterizira povećana razina sigurnosti, što je izuzetno potrebno za organiziranje pristupa mreži i zaštitu podataka u poduzećima. Trošak takvih usluga sada se ne raspravlja. No, općenito, možemo reći da je relativno jeftin, čak iu usporedbi s instaliranjem specijaliziranog softvera ili "željeznog" vatrozida.

SSH klijent

SSH port može se promijeniti na temelju klijentskog programa ili odgovarajućih postavki prilikom usmjeravanja portova na usmjerivač.

Međutim, ako dodirnete ljuske klijenta, sljedeći se softverski proizvodi mogu koristiti za različite sustave:

• Windows - SecureCRT, PuTTY KiTTY, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD itd.;
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux i BSD: lsh-klijent, kdessh, openssh-klijent, Vinagre, stik.

Provjera autentičnosti na temelju javnih ključeva i mijenjanje priključka

Sada je nekoliko riječi o načinu provjere i konfiguracije poslužitelja. U najjednostavnijem slučaju, trebate koristiti konfiguracijsku datoteku (sshd_config). Međutim, možete to učiniti bez nje, na primjer, u slučaju programa poput PuTTY. Promjena SSH portova iz standardne vrijednosti (22) na bilo koji drugi može biti vrlo elementarna.

Glavna stvar je da broj otvorenih luka ne prelazi vrijednost 65535 (u prirodi jednostavno nema takvih stvari iznad luka). Osim toga, zadane postavke trebate obratiti pažnju na neke otvorene priključke, koje mogu koristiti klijenti poput MySQL ili FTPD baza podataka. Ako odredite njihovu konfiguraciju za SSH, naravno, oni jednostavno prestanu raditi.

Treba napomenuti da bi isti Jabber klijent trebao raditi u istom okruženju pomoću SSH poslužitelja, na primjer, u virtualnom stroju. A sam poslužitelj localhost će morati dodijeliti vrijednost 4430 (a ne 443, kao što je spomenuto gore). Ova se konfiguracija može koristiti kada vatrozid blokira pristup glavnoj datoteci jabber.example.com.

S druge strane, portove možete prenijeti na sam router, koristeći postavke sučelja za stvaranje pravila o isključivanju za to. Na većini modela, unos je unosom adrese počevši od 192.168 s dodavanjem 0.1 ili 1.1, ali na usmjerivačima koji kombiniraju mogućnosti ADSL modema kao što je Mikrotik, krajnja adresa pretpostavlja korištenje 88.1.

U tom se slučaju stvara novo pravilo, a postavljaju se potrebni parametri, primjerice, za uspostavljanje vanjske veze dst-nat i ručno dodjeljuju priključke koji nisu u odjeljku općih postavki i u odjeljku Postavke akcije. Ovdje nije ništa posebno komplicirano. Glavna stvar je odrediti potrebne postavke i postaviti ispravnu priključnicu. Prema zadanim postavkama, možete koristiti priključak 22, ali ako koristite posvećenu klijent (neke od gore navedenih za različite sustave), vrijednost se može mijenjati samovoljno, ali samo tako da taj parametar ne premašuje deklariranu vrijednost, iznad koje brojevi porta jednostavno ne postoje.

Kada konfigurirate vezu, trebali biste također obratiti pažnju na parametre programa klijenta. Moguće je da u svojim postavkama treba odrediti minimalnu duljinu ključa (512), iako je prema zadanim postavkama obično postavljena na 768. Također je poželjno postaviti vremensko ograničenje prijave na 600 sekundi i dozvolu za daljinski pristup korištenjem prava korijena. Nakon primjene tih postavki morate također dati dopuštenje za korištenje svih autentičnosti, osim onih koji se temelje na korištenju .rhost (ali to je neophodno samo administratorima sustava).

Osim toga, ako se korisničko ime registrirano na sustavu ne podudara s onom koju upravo upisujete, morat ćete ga izričito navesti pomoću korisničke ssh master naredbe s dodatnim parametrima (za one koji razumiju što se reći).

Naredba ~ / .ssh / id_dsa (ili rsa) može se koristiti za pretvaranje ključa i same enkripcijske metode. Da biste stvorili javni ključ, konverzija se vrši pomoću niza ~ / .ssh / identity.pub (ali to nije potrebno). No, kako pokazuje praksa, najlakše je koristiti naredbe poput ssh-keygen. Ovdje se bit stvari smanjuje samo na dodavanje ključa dostupnim alatima za autorizaciju (~ / .ssh / authorized_keys).

Ali otišli smo predaleko. Ako se vratimo na pitanje konfiguracije SSH priključka, kao što već znate, promjena SSH priključka nije tako teško. Istina, u nekim situacijama, kako kažu, morate se znojiti jer ćete morati uzeti u obzir sve vrijednosti glavnih parametara. U suprotnom, pitanje konfiguracije se smanjuje ili na ulazu na poslužitelj ili program klijenta (ako se isporučuje u početku) ili za korištenje prosljeđivanja portova na usmjerivaču. No, čak i ako se zadani priključak 22 promijeni na isti 443, morate jasno shvatiti da ova shema ne funkcionira uvijek, ali samo ako instalirate isti Jabber dodatak (drugi analogni također mogu koristiti svoje odgovarajuće priključke, koji se razlikuju od standardnih). Osim toga, posebnu pažnju treba posvetiti postavljanju parametara SSH klijenta, koji će izravno komunicirati sa SSH poslužiteljem, ako se to stvarno pretpostavlja u korištenju trenutne veze.

U suprotnom, ako ne postoji inicijalni port prosljeđivanje (iako je poželjno izvršiti takve radnje), postavke i parametri za SSH pristup ne mogu se mijenjati. Nema posebnih problema prilikom stvaranja veze i njegove daljnje upotrebe, općenito, ne očekuje se (osim ako se, naravno, ručna konfiguracija konfiguracije temelji na poslužitelju i klijentu se koristi). Najčešće stvaranje pravila o iznimkama na usmjerivaču omogućuje vam popravljanje svih problema ili izbjegavanje njihovog pojavljivanja.