Secure Shell, lub skrót SSH, jest jedną z najbardziej zaawansowanych technologii bezpieczeństwa dla transmisji danych. Korzystanie z takiego trybu na tym samym routerze może zapewnić nie tylko poufność przekazywanych informacji, ale także przyspieszyć wymianę pakietów. To prawda, że nie wszyscy wiedzą, jak otworzyć port SSH i dlaczego wszystko, czego potrzebuje. W takim przypadku będziemy musieli podać konstruktywne wyjaśnienie.
Port SSH: co to jest i dlaczego?
Jeśli chodzi o bezpieczeństwo, w tym przypadku port SSH należy rozumieć jako kanał dedykowany w postaci tunelu zapewniającego szyfrowanie danych.
Najbardziej prymitywny schemat tego tunelu jest otwarty portu SSH-default służy do szyfrowania danych w źródle i deszyfrowania w punkcie końcowym. Można to wytłumaczyć tak: chcesz czy nie, ruch jest przekazywany w odróżnieniu od IPSec szyfrowane siłą i jedna sieć wyjścia, a przy wejściu do gospodarza. Aby odszyfrować informacje transmitowane na tym kanale, terminal odbierający używa specjalnego klucza. Innymi słowy, nikt nie może interweniować w przekazanie lub złamać integralności danych przesyłanych w danym momencie bez klucza.
Tylko otwarcie portu SSH na każdym routerze lub odpowiedniej konfiguracji klienta dodatkowej interakcji z serwerem SSH bezpośrednio sprawia, że pełne wykorzystanie wszystkich funkcji bezpieczeństwanowoczesne sieci. Chodzi o użycie domyślnego portu lub ustawień niestandardowych. Opcje te mogą być trudne do zastosowania, ale bez zrozumienia organizacji takiego połączenia, nie można tego zrobić.
Standardowy port SSH
Jeśli naprawdę chcesz wyjść poza parametry dowolnego routera, najpierw musisz zdecydować, które oprogramowanie będzie używane do korzystania z tego kanału komunikacji. W rzeczywistości domyślny port SSH może mieć różne ustawienia. Wszystko zależy od tego, która metodologia jest aktualnie wykorzystywana (bezpośrednie połączenie z serwerem, instalacja dodatkowego klienta, zrzucanie portów itp.).
Na przykład, jeśli Jabber jest używany jako klient, port 443 musi być używany do poprawnego połączenia, szyfrowania i transmisji danych, chociaż port 22 jest ustawiony jako wersja standardowa.
Aby ponownie skonfigurować router z wydaniem określonego programu lub procesu niezbędnych warunków, należy wykonać rzut portu SSH. Co to jest? Jest to celem określonego dostępu dla konkretnej aplikacji korzystającej z połączenia internetowego, niezależnie od tego, które ustawienie ma aktualny protokół wymiany danych (IPv4 lub IPv6).
Uzasadnienie techniczne
Jak już wiadomo, standardowy port SSH 22 nie zawsze jest wykorzystywany. Tutaj jednak należy wyróżnić niektóre funkcje i ustawienia używane podczas konfigurowania.
Dlaczego poufność transmisji zaszyfrowanych danychsugeruje użycie SSH jako jedynego zewnętrznego (gościa) portu użytkownika? I podobnie jak zastosowanie tunelowania pozwala na korzystanie z tzw zdalnego shell (SSH), terminal kontroli dostępu za pomocą zdalnego logowania (szalogować) i zastosować procedury zdalnej kopii (SCP). Ponadto, SSH-port może być aktywowana w przypadku, gdy użytkownik jest niezbędne do wykonywania zdalnych skryptów X Windows, który w najprostszym przypadku jest przekazywanie informacji z jednego komputera do drugiego, jak już wspomniano, zmuszony szyfrowania . W takich sytuacjach zastosowanie algorytmów opartych na AES będzie najpilniejsze. Jest to algorytm szyfrowania symetrycznego, który jest pierwotnie dostarczany przez technologię SSH. I używać go nie tylko jest możliwe, ale także jest konieczne.
Historia wdrożenia
Sama technologia pojawiła się dawno temu. Pomijając kwestię utrzymując SSH portu rzucać, i skupić się na jak to wszystko działa. Zwykle wszystko sprowadza się do korzystania z proxy opartego na skrypcie lub tunelu VPN. Jeśli jakakolwiek aplikacja może pracować z VPN, lepiej wolą tę opcję. Fakt, że prawie wszystkie obecnie znane aplikacje korzystające z sieci VPN ruch internetowy może obsługiwać i konfigurować routing nie jest dużo trudności. Jest to przypadek z serwerów proxy, pozwala na opuszczenie zewnętrznego terminala adres, który jest obecnie w posiadaniudostęp do sieci, niezidentyfikowany. Oznacza to, że w przypadku proxy, adres zmienia się w sposób ciągły, aw wariancie VPN pozostaje niezmieniony z utrwaleniem regionu innego niż tam, gdzie obowiązuje zakaz dostępu. Ta sama technologia, kiedy otwiera się port SSH, została opracowana w 1995 roku na Uniwersytecie Technologicznym w Finlandii (SSH-1). W 1996 ulepszenia zostały dodane jako protokół SSH-2, który był dość rozpowszechniony w post, choć, jak również w niektórych krajach Europy Zachodniej czasami potrzebne pozwolenie na używanie tego tunelu, a od agencji rządowych. Główną zaletą otwarcia portu SSH, telnet lub rlogin przeciwieństwie, jest stosowanie podpisów cyfrowych RSA lub DSA (w postaci pary wodnej i otwartym pochowany klucz). Ponadto, sytuacja ta może wykorzystywać tzw klucza sesji w oparciu o algorytm Diffie-Hellmana, która wymaga użycia szyfrowania symetrycznego wyjścia, chociaż nie wyklucza wykorzystania algorytmów szyfrowania asymetrycznego podczas transmisji i odbioru danych z innego komputera.
Serwery i powłoki
Windows lub Linux nie jest trudny do otwarcia portu SSH. Pytanie brzmi, jaki rodzaj zestawu narzędzi do tego zostanie wykorzystany. W tym sensie należy zwrócić uwagę na kwestię przekazywania informacji i uwierzytelniania. Po pierwsze, sam protokół jest wystarczająco chroniony przed tak zwanym wąchaniem, które jest najczęstszym "słuchaczem" ruchu. SSH-1 był bezbronny przed atakami. Interwencja w tym procesietransmisja danych w postaci schematu "człowiek w środku" miała swoje własne wyniki. Informacje mogą być po prostu przechwycone i zdekodowane na wszystkich elementarnych. Ale druga wersja (SSH-2) była ubezpieczona przed tego rodzaju interferencją zwaną porwanie sesji, co czyniło ją najbardziej rozpowszechnioną.
Bezpieczeństwo zakazy
Jeśli chodzi o bezpieczeństwo w odniesieniu do danych wysłanych i odebranych danych, organizację związku utworzonego z wykorzystaniem technologii pozwala uniknąć tych problemów:
określający klucz do hosta w transmisji kroku przy użyciu „obsada »Odciski palców;
wsparcie dla systemów Windows i UNIX-podobnych;
zastąpienie adresów IP i DNS (podszywanie się);
przechwytywanie otwartych haseł z fizycznym dostępem do kanału transmisji danych.
W rzeczywistości, cała organizacja systemu opiera się na „klient-serwer” jest przeznaczony przede wszystkim urządzenia za pomocą specjalnego oprogramowania lub dodatek połączenia z serwerem, dzięki czemu odpowiednie skierowania.
Tunelowanie
Rozumie się samo przez się, że w celu uzyskania tego rodzaju połączenia w systemie musi być zainstalowany specjalny sterownik. Zazwyczaj w systemach Windows jest to sterownik Microsoft Teredo wbudowany w powłokę programu, który jest rodzajem wirtualnej emulacji protokołu IPv6 w sieciach tylko opartych na IPv4. Adapter tunera jest domyślnie w stanie aktywnym. W przypadku awarii z tym związanych, możesz po prostu ponownie uruchomić system lub wykonać komendy shutdown i zrestartować komendykonsola Następujące linie służą do dezaktywacji:
netsh;
interfejs teredo ustawiono stan wyłączony;
ustawiony stan isatap interfejsu wyłączony.
Po wprowadzeniu poleceń należy ponownie uruchomić komputer. Aby ponownie włączyć zasilacz i sprawdzić jej stan, a nie włączone wyłączone przepisane pozwolenie, a następnie ponownie, należy ponownie uruchomić cały system.
Serwer SSH
Teraz zobaczmy, który port SSH jest używany jako podstawowy, przechodząc ze schematu klient-serwer. Zazwyczaj domyślnie wykorzystywany jest port 22-gi, ale, jak już wspomniano powyżej, można również użyć 443rd. Pytanie tylko o wyższość samego serwera. Najczęstszym SSH-serwer jest uważane za następujące:
dla systemu Windows: Tectia serwer SSH, OpenSSH na Cygwin, MobaSSH, KpyM Telnet /SSH Server WinSSHD, copssh, freeSSHd;
dla FreeBSD: OpenSSH;
dla systemu Linux: serwer Tectia SSH, ssh, openssh-server, lsh-server, dropbear.
Wszystkie powyższe serwery są bezpłatne. Można jednak znaleźć płatne usługi, które charakteryzują się zwiększonym poziomem bezpieczeństwa, co jest niezwykle niezbędne do organizacji dostępu do sieci i bezpieczeństwa informacji w przedsiębiorstwach. Koszt takich usług nie jest obecnie omawiany. Ogólnie można powiedzieć, że jest to stosunkowo niedrogie, nawet w porównaniu do instalacji specjalistycznego oprogramowania lub "żelaznej" zapory ogniowej.
SSH klienta
Zmiana SSH port może być dokonane w oparciu o klienta lub odpowiednim ustawieniu dla przekazywania portów w routerze. Jednakże, jeśli dotknąć skorupy klienckie dla różnych systemach mogą być stosowane następujące oprogramowanie:
Windows - SecureCRT, PuTTYKiTTY, Axessh, ShellGuard, SSHWindows, ZOC, xShell,ProSSHD i tak dalej;
Mac OS X: iTerm2 vSSH, NiftyTelnet SSH;
Linux i BSD: lsh-client, kdessh, openssh-client, Vinagre, putty.
Uwierzytelnianie klucza otwartego i zmiana portu
Teraz kilka słów o tym, jak serwer został zweryfikowany i skonfigurowany. W najprostszym przypadku musisz użyć pliku konfiguracyjnego (sshd_config). Można się jednak bez niego obejść, na przykład podczas używania programów takich jak PuTTY. Możesz zmienić port SSH ze standardowej wartości
na cokolwiek innego na bardzo podstawowym poziomie.
Najważniejsze - że liczba otwartego portu nie przekracza wartości 65535 (powyżej portów po prostu nie ma w przyrodzie). Ponadto należy zwrócić uwagę na niektóre otwarte porty, które mogą być używane przez klientów, takich jak bazy danych MySQL lub FTPD. Jeśli podasz ich konfigurację dla SSH, po prostu przestaną działać. Warto wziąć pod uwagę, że ten sam klient Jabbera musi działać w jednym środowisku przy użyciu serwera SSH, na przykład na maszynie wirtualnej. A serwer localhost sam będzie musiał przydzielić wartość 4430 (zamiast 443, jak wspomniano powyżej). Tej konfiguracji można użyć, jeśli zapora sieciowa blokuje dostęp do głównego pliku jabber.example.com.
Z drugiej strony, możliwe jest przetaczanie portów na samym routerze, przy użyciu ustawienia interfejsu w tym celu wraz z tworzeniem reguł wykluczeń. W większości modeli wprowadzanie odbywa się poprzez wprowadzenie adresów zaczynających się od 192168 z dodatkiem 0.1 lub 1.1, ale na routerach, które łączą możliwości modemów ADSL takich jak Mikrotik, końcowy adresprzewiduje wykorzystanie 88.1. W tym przypadku, należy utworzyć nową regułę, a następnie ustawić żądane parametry, na przykład w celu zainstalowania zewnętrznego połączenia dst-nat i ręcznie porty są przepisywane w ogólnych ustawień i preferencji w działaniu (działanie). Nic szczególnie skomplikowanego tutaj. Najważniejsze jest określenie wymaganych parametrów i ustawienie właściwego portu. Domyślnie można użyć portu 22, ale jeśli użyć specjalistycznego klienta (z powyższym dla różnych systemów), wartość może być zmieniana dowolnie, ale tylko dlatego, że opcja ta nie przekroczy ustaloną wartość, powyżej której numery portów nie są po prostu dostępne. Po skonfigurowaniu połączenia należy również zwrócić uwagę na ustawienia klienta. Może się okazać, że jego ustawienia muszą określić minimalną długość klucza (512), chociaż zwykle jest domyślnie ustawiony na 768. Ponadto, pożądane jest, aby ustawić czas, logując się na 600 sekund i pozwalają na zdalny dostęp przy użyciu ludzkiego pierwiastka. Po zastosowaniu tych systemów musi również wyrazić zgodę na korzystanie z praw uwierzytelniania, inne niż te oparte na wykorzystaniu .rhost (ale to powinno tylko administratorzy systemu). Między innymi, jeśli nazwa użytkownika zarejestrowany w systemie, nie pokrywają się z tymi, które obecnie należy określić go jednoznacznie za pomocą mistrza ssh obsługi poleceń z wprowadzeniem dodatkowych parametrów (dla tych, którzy rozumieją o co chodzi )
Aby przekonwertować klucz iPolecenie ~ /.ssh /id_dsa (lub rsa) może być użyte dla samej metody szyfrowania. Aby utworzyć klucz publiczny, używana jest transformacja za pomocą linii ~ /.ssh /identity.pub (ale niekoniecznie). Ale, jak pokazuje praktyka, najłatwiej jest używać takich poleceń jak ssh-keygen. Istotą tego pytania jest jedynie dodanie klucza do dostępnych narzędzi do tworzenia treści (~ /.ssh /authorized_keys). Ale posunęliśmy się za daleko. Jeśli powrócisz do kwestii konfiguracji SSH, jak już jest jasne, zmiana portu SSH nie jest zbyt trudna. To prawda, że w pewnych sytuacjach, które nazywa się, będzie musiała się pocić, ponieważ będzie musiała wziąć pod uwagę wszystkie wartości głównych parametrów. W przeciwnym razie problem z konfiguracją zostanie zredukowany do wewnętrznego lub zewnętrznego programu (jeśli został pierwotnie dostarczony) lub do korzystania z routingu portów routingu. Ale nawet jeśli domyślnie zmienisz port 22, na tym samym 443, musisz wyraźnie zrozumieć, że taki schemat nie zawsze działa, ale tylko w przypadku instalacji tego samego dodatku Jabbera (inne analogi mogą również używać odpowiednich portów, które różni się od standardowych). Ponadto należy zwrócić szczególną uwagę na ustawienie parametrów klienta SSH, który będzie bezpośrednio wchodził w interakcję z serwerem SSH, jeśli rzeczywiście oczekuje się użycia bieżącego połączenia. W przeciwnym razie, jeśli początkowo nie zostanie dostarczona kropla portów (chociaż jest to pożądane), ustawienia i opcje dostępu do SSH mogą i nie mogą być zmieniane. Oto kilka szczególnych problemów podczas tworzenia połączenia i jego późniejszego wykorzystania,ogólnie rzecz biorąc, nie jest to oczekiwane (chyba że ręczna konfiguracja konfiguracji oparta na serwerze i kliencie nie będzie używana). Generalnie tworzenie wyjątku reguł na routerze pozwala naprawić wszystkie problemy lub ich uniknąć.
Najważniejsze - że liczba otwartego portu nie przekracza wartości 65535 (powyżej portów po prostu nie ma w przyrodzie). Ponadto należy zwrócić uwagę na niektóre otwarte porty, które mogą być używane przez klientów, takich jak bazy danych MySQL lub FTPD. Jeśli podasz ich konfigurację dla SSH, po prostu przestaną działać. Warto wziąć pod uwagę, że ten sam klient Jabbera musi działać w jednym środowisku przy użyciu serwera SSH, na przykład na maszynie wirtualnej. A serwer localhost sam będzie musiał przydzielić wartość 4430 (zamiast 443, jak wspomniano powyżej). Tej konfiguracji można użyć, jeśli zapora sieciowa blokuje dostęp do głównego pliku jabber.example.com.
Z drugiej strony, możliwe jest przetaczanie portów na samym routerze, przy użyciu ustawienia interfejsu w tym celu wraz z tworzeniem reguł wykluczeń. W większości modeli wprowadzanie odbywa się poprzez wprowadzenie adresów zaczynających się od 192168 z dodatkiem 0.1 lub 1.1, ale na routerach, które łączą możliwości modemów ADSL takich jak Mikrotik, końcowy adresprzewiduje wykorzystanie 88.1. W tym przypadku, należy utworzyć nową regułę, a następnie ustawić żądane parametry, na przykład w celu zainstalowania zewnętrznego połączenia dst-nat i ręcznie porty są przepisywane w ogólnych ustawień i preferencji w działaniu (działanie). Nic szczególnie skomplikowanego tutaj. Najważniejsze jest określenie wymaganych parametrów i ustawienie właściwego portu. Domyślnie można użyć portu 22, ale jeśli użyć specjalistycznego klienta (z powyższym dla różnych systemów), wartość może być zmieniana dowolnie, ale tylko dlatego, że opcja ta nie przekroczy ustaloną wartość, powyżej której numery portów nie są po prostu dostępne. Po skonfigurowaniu połączenia należy również zwrócić uwagę na ustawienia klienta. Może się okazać, że jego ustawienia muszą określić minimalną długość klucza (512), chociaż zwykle jest domyślnie ustawiony na 768. Ponadto, pożądane jest, aby ustawić czas, logując się na 600 sekund i pozwalają na zdalny dostęp przy użyciu ludzkiego pierwiastka. Po zastosowaniu tych systemów musi również wyrazić zgodę na korzystanie z praw uwierzytelniania, inne niż te oparte na wykorzystaniu .rhost (ale to powinno tylko administratorzy systemu). Między innymi, jeśli nazwa użytkownika zarejestrowany w systemie, nie pokrywają się z tymi, które obecnie należy określić go jednoznacznie za pomocą mistrza ssh obsługi poleceń z wprowadzeniem dodatkowych parametrów (dla tych, którzy rozumieją o co chodzi )
Aby przekonwertować klucz iPolecenie ~ /.ssh /id_dsa (lub rsa) może być użyte dla samej metody szyfrowania. Aby utworzyć klucz publiczny, używana jest transformacja za pomocą linii ~ /.ssh /identity.pub (ale niekoniecznie). Ale, jak pokazuje praktyka, najłatwiej jest używać takich poleceń jak ssh-keygen. Istotą tego pytania jest jedynie dodanie klucza do dostępnych narzędzi do tworzenia treści (~ /.ssh /authorized_keys). Ale posunęliśmy się za daleko. Jeśli powrócisz do kwestii konfiguracji SSH, jak już jest jasne, zmiana portu SSH nie jest zbyt trudna. To prawda, że w pewnych sytuacjach, które nazywa się, będzie musiała się pocić, ponieważ będzie musiała wziąć pod uwagę wszystkie wartości głównych parametrów. W przeciwnym razie problem z konfiguracją zostanie zredukowany do wewnętrznego lub zewnętrznego programu (jeśli został pierwotnie dostarczony) lub do korzystania z routingu portów routingu. Ale nawet jeśli domyślnie zmienisz port 22, na tym samym 443, musisz wyraźnie zrozumieć, że taki schemat nie zawsze działa, ale tylko w przypadku instalacji tego samego dodatku Jabbera (inne analogi mogą również używać odpowiednich portów, które różni się od standardowych). Ponadto należy zwrócić szczególną uwagę na ustawienie parametrów klienta SSH, który będzie bezpośrednio wchodził w interakcję z serwerem SSH, jeśli rzeczywiście oczekuje się użycia bieżącego połączenia. W przeciwnym razie, jeśli początkowo nie zostanie dostarczona kropla portów (chociaż jest to pożądane), ustawienia i opcje dostępu do SSH mogą i nie mogą być zmieniane. Oto kilka szczególnych problemów podczas tworzenia połączenia i jego późniejszego wykorzystania,ogólnie rzecz biorąc, nie jest to oczekiwane (chyba że ręczna konfiguracja konfiguracji oparta na serwerze i kliencie nie będzie używana). Generalnie tworzenie wyjątku reguł na routerze pozwala naprawić wszystkie problemy lub ich uniknąć.
