Com configurar i utilitzar el port SSH? Guia pas a pas

Secure Shell, o abreujat com SSH, és una de les tecnologies més avançades de protecció de dades en la transmissió. L'ús d'un règim d'aquest tipus en el mateix router permet no només la confidencialitat de la informació transmesa, sinó també per accelerar l'intercanvi de paquets. No obstant això, no tothom sap el que a obrir el port SSH, i per què tot això és necessari. En aquest cas, cal donar una explicació constructiva.

Port SSH: què és i per a què necessitem?

Atès que estem parlant de seguretat, en aquest cas, sota el port SSH s'ha d'entendre canal dedicat a la forma d'un túnel, que proporciona xifrat de dades.

L'esquema més primitiva d'aquest túnel és que una SSH-port obert s'utilitza per defecte per xifrar les dades a la font i el desxifrat en el punt final. Això es pot explicar de la següent manera: si li agrada o no, el tràfic transmès, a diferència del IPSec, encriptades sota la compulsió i el terminal de sortida de la xarxa, i a la banda receptora de l'entrada. Per desxifrar la informació transmesa per aquest canal, el terminal receptor utilitza una clau especial. En altres paraules, per intervenir en la transferència o comprometre la integritat de les dades transmeses en el moment en què un no pot sense una clau.

Només obrir SSH-port en qualsevol router o mitjançant l'ús de la configuració apropiada del client addicional interactua directament amb el servidor de SSH, li permet utilitzar plenament totes les característiques dels sistemes de seguretat de xarxa moderns. Som aquí sobre l'ús d'un port que s'assigna per la configuració per defecte o personalitzades. Aquests paràmetres de l'aplicació pot tenir un aspecte difícil, però sense una comprensió de l'organització de tal connexió no és suficient.

port SSH estàndard

Si, en efecte, sobre la base dels paràmetres de qualsevol del router ha de determinar en primer lloc l'ordre, quin tipus de programari s'utilitzarà per activar aquest enllaç. De fet, el port SSH per defecte pot tenir diferents configuracions. Tot depèn de quin mètode s'utilitza en el moment (connexió directa amb el servidor, la instal·lació de reenviament de ports de client addicional i així successivament. D.).

Per exemple, si el client utilitza Jabber, per a les connexions correctes, el xifrat i el port de transferència de dades 443 es va a utilitzar, encara que la realització es troba al port estàndard 22.

Per restablir el router per a l'assignació per a un programa en especial o processar les condicions necessàries han de realitzar el reenviament de ports SSH. Què és? És l'objectiu d'un accés particular a un sol programa que utilitza una connexió a Internet, sense importar quina és la configuració actual d'intercanvi de protocol de dades (IPv4 o IPv6).

justificació tècnica

port SSH estàndard 22 no s'utilitza sempre com ja estava clar. No obstant això, aquí cal assignar algunes de les característiques i els ajustos utilitzats durant la instal·lació.

Per què protocol de confidencialitat de dades xifrades implica l'ús de SSH com (guest) port d'usuari purament extern? Però només perquè s'aplica un túnel que permet l'ús d'una trucada shell remot (SSH), per accedir a la gestió de terminals a través d'accés remot (sentrar), i s'aplica el procediment de còpia remota (SCP).

A més, SSH-port es pot activar en el cas en què cal que l'usuari executi seqüències d'ordres remots X Windows, que en el cas més simple és una transferència d'informació d'una màquina a una altra, com s'ha dit, amb un xifrat de dades forçat. En aquestes situacions, la més necessària utilitzarà basat en l'algoritme AES. Es tracta d'un algoritme de xifrat simètric, que es va proporcionar originalment en la tecnologia SSH. I utilitzar no només és possible sinó necessari.

Història de la realització

La tecnologia ha aparegut des de fa molt de temps. Deixem de banda la qüestió de com fer que la formació de gel del port SSH, i ens centrem en com funciona tot.

En general, es tracta de, en utilitzar un servidor intermediari a la base de mitjons o utilitzar un túnel VPN. En cas que alguna aplicació de programari pot funcionar amb VPN, millor triar aquesta opció. El fet que gairebé tots els programes coneguts avui en dia utilitzen el trànsit d'Internet, la VPN pot funcionar, però la configuració d'enrutament no és fàcil. Això, com en el cas dels servidors proxy, permet deixar la direcció externa de la terminal des del qual el que actualment es produeixen a la xarxa de sortida, no reconegut. Aquest és el cas de la direcció proxy sempre està canviant, i la versió de VPN es manté sense canvis amb la fixació d'una determinada regió, amb excepció d'aquell en el qual hi ha una prohibició d'accés.

La mateixa tecnologia que ofereix el port SSH, va ser desenvolupat el 1995 a la Universitat de Tecnologia de Finlàndia (SSH-1). El 1996, les millores s'han afegit en forma de protocol SSH-2, que va ser bastant generalitzat en l'espai post-soviètic, encara que per a això, així com en alguns països d'Europa occidental, de vegades és necessari obtenir permís per utilitzar aquest túnel, i dels organismes governamentals.

El principal avantatge de l'obertura de SSH-port, a diferència de telnet o rlogin, és l'ús de signatures digitals RSA o DSA (l'ús d'un parell d'obert i una clau enterrat). A més, en aquest cas es pot utilitzar l'anomenada clau de sessió basat en l'algoritme Diffie-Hellman, que implica l'ús d'una sortida de xifrat simètric, encara que no exclou l'ús d'algoritmes de xifrat asimètric durant la transmissió i recepció de dades per un altre aparell.

Servidors i shell

Al Windows o Linux oberta SSH-port no és tan difícil. L'única pregunta és, quin tipus d'eines per a aquesta finalitat s'utilitzarà.

En aquest sentit, cal prestar atenció a la qüestió de la transmissió de la informació i l'autenticació. En primer lloc, el mateix protocol està prou protegit per l'anomenat sniffing, que és el "escoltes telefòniques" més habitual de trànsit. SSH-1 va demostrar ser vulnerable als atacs. La interferència en el procés de transferència de dades en la forma d'un esquema de "home al mig" tingut els seus resultats. Informació simplement podria interceptar i desxifrar molt elemental. Però la segona versió (SSH-2) ha estat immune a aquest tipus d'intervenció, conegut com segrest de sessió, gràcies al que és el més popular.

prohibeix la seguretat

Pel que fa a la seguretat pel que fa a les dades transmeses i rebudes, l'organització de les connexions establertes amb l'ús d'aquesta tecnologia permet evitar els problemes següents:

• clau d'identificació per a l'hoste en l'etapa de transmissió, quan una "instantània» d'empremtes dactilars;
• Suport per a Windows i sistemes de tipus UNIX;
• substitució d'adreces IP i DNS (spoofing);
• interceptant contrasenya oberta amb accés físic al canal de dades.

En realitat, tota l'organització d'un sistema d'aquest tipus es basa en el principi de "client-servidor", és a dir, en primer lloc l'ordinador de l'usuari a través d'un programa especial o trucades complement per al servidor, el que produeix un canvi de direcció corresponent.

túnel

No cal dir que l'aplicació de la connexió d'aquest tipus en un controlador especial ha d'estar instal·lat en el sistema.

En general, en els sistemes basats en Windows està integrada al controlador shell de Microsoft Teredo, que és una mena de emulació de mitjans virtuals d'IPv6 a les xarxes de suport només amb IPv4. adaptador per defecte túnel està actiu. En cas de fallada associat a ell, només pot realitzar un reinici del sistema o realitzar un tancament i torneu a iniciar comandaments des de la consola de comandaments. Per desactivar s'utilitzen tals línies:

• netsh;
• interfície d'estat conjunt teredo deshabilitat;
• ISATAP interfície d'establir l'estat desactivat.

Després d'introduir la comanda ha de reiniciar. Per tornar a habilitar l'adaptador i comprovar l'estat de persones amb discapacitat en lloc del permís de registres actius, després de la qual cosa, de nou, ha de reiniciar tot el sistema.

SSH-servidor

Ara anem a veure com s'utilitza el port SSH com el nucli, a partir de l'esquema de "client-servidor". El valor per omissió s'aplica en general 22 minuts port, però, com es va esmentar anteriorment, es pot utilitzar i la 443. L'única pregunta en la preferència del propi servidor.

Els SSH-servidors més comuns es considera que és el següent:

• per a Windows: Tectia del servidor SSH, OpenSSH amb Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd;
• per a FreeBSD: OpenSSH;
• per a Linux: Tectia del servidor SSH, SSH, openssh-server, LSH-servidor, dropbear.

Tots els servidors són lliures. No obstant això, es poden trobar i pagat els serveis que proporcionen majors nivells de seguretat, que és essencial per a l'organització de l'accés a la xarxa i la seguretat de la informació en les empreses. El cost d'aquests serveis no es discuteix. Però en general es pot dir que és relativament barat, fins i tot en comparació amb la instal·lació d'un programari especial o tallafocs "maquinari".

SSH-client

Canviar port SSH pot fer-se sobre la base del programa del client o de la configuració apropiada quan reenviament de ports en el router.

No obstant això, si es toca la petxina client, els següents productes de programari poden usar-se per a diversos sistemes:

• Finestres - SecureCRT, massilla \ gatet, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD etc; ..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux i BSD: LSH-client, kdessh, openssh-client, Vinagre, massilla.

L'autenticació es basa en la clau pública, i canviar el port

Ara unes paraules sobre la forma en la verificació i configuració d'un servidor. En el cas més simple, ha d'utilitzar un fitxer de configuració (sshd_config). No obstant això, es pot prescindir d'ell, per exemple, en el cas de programes com la massilla. Canviar port SSH des del valor per defecte (22) a qualsevol altre és completament elemental.

El més important - per obrir un número de port no supera el valor de 65535 (ports més alts simplement no existeixen en la naturalesa). A més, cal prestar atenció a alguns ports oberts per defecte, que poden ser utilitzats per clients com a bases de dades MySQL o FTPD. Si els especifica per a la configuració de SSH, és clar, que només deixen de funcionar.

Val la pena assenyalar que el mateix client Jabber ha d'estar en execució en el mateix entorn mitjançant SSH-servidor, per exemple, en una màquina virtual. I més localhost servidor haurà d'assignar un valor a 4430 (en comptes de 443, com es va esmentar anteriorment). Aquesta configuració es pot utilitzar quan l'accés a l'arxiu principal jabber.example.com bloquejat pel tallafocs.

D'altra banda, les llumeneres de transferència poden estar al router mitjançant la configuració de la seva interfície amb la creació d'excepcions a les regles. En la majoria dels models d'entrada a través d'adreces d'entrada a partir de 192.168 suplementat amb 0,1 o 1,1, però routers combinar les capacitats ADSL-mòdems com Mikrotik, direcció final implica l'ús de 88,1.

En aquest cas, crear una nova regla, a continuació, establir els paràmetres necessaris, per exemple, per instal·lar la connexió externa DST-nat, així com els ports prescrits de forma manual no estan sota la configuració general i en la secció de preferències Activisme (Acció). Res massa complicat aquí. El més important - per especificar els valors requerits de la configuració i establir el port correcte. Per defecte, es pot utilitzar el port 22, però si el client utilitza un especial (alguns dels anteriors per diferents sistemes), el valor pot ser canviat de manera arbitrària, però només pel que aquest paràmetre no excedeixi el valor declarat, per sobre del qual els números de port simplement no estan disponibles.

En configurar connexions també ha de prestar atenció als paràmetres del programa client. És molt possible que, en la seva configuració ha d'especificar la longitud mínima de la clau (512), tot i que el defecte se sol fixar 768. També és desitjable ajustar el temps d'espera per iniciar-vos al nivell de 600 segons i el permís d'accés remot amb drets de root. Després d'aplicar aquests ajustos, cal permetre també l'ús de tots els drets d'autenticació, que no estigui basada en l'ús .rhost (però cal només per als administradors de sistemes).

Entre altres coses, si el nom d'usuari registrat en el sistema, no el mateix que va introduir en aquest moment, s'ha d'especificar explícitament mitjançant la comanda principal ssh usuari la introducció de paràmetres addicionals (per als que entenen el que està en joc).

Equip ~ / .ssh / id_dsa es pot utilitzar per a la transformació de la clau i el mètode de xifrat (o RSA). Per crear una clau pública utilitzada per la conversió mitjançant la línia de ~ / .ssh / identity.pub (però no necessàriament). Però, com mostra la pràctica, la forma més fàcil d'utilitzar ordres com ssh-keygen. Aquí l'essència de la qüestió es redueix només al fet, afegir la clau de les eines d'autenticació disponibles (~ / .ssh / authorized_keys).

Però hem anat massa lluny. Si vostè torna a la qüestió configuració del port SSH, com ha estat el canvi de port SSH clar no és tan difícil. No obstant això, en algunes situacions, diuen, haurà de suar, a causa de la necessitat de prendre en compte tots els valors dels paràmetres clau. La resta del problema de configuració es redueix a l'entrada de qualsevol programa de servidor o client (si es proporciona inicialment), o per utilitzar el reenviament de ports en el router. Però fins i tot en cas de canvi del port 22, el valor per defecte, a la mateixa 443, s'ha d'entendre clarament que tal esquema no sempre funciona, però només en el cas de la instal·lació de la mateixa complement Jabber (altres anàlegs poden activar i els seus respectius ports, es diferencia de la norma). A més, s'ha de prestar especial atenció donada la configuració SSH-client, que interactuarà directament amb el servidor de SSH, si se suposa realment a utilitzar la connexió actual del paràmetre.

Quant a la resta, si el reenviament de ports no es proporciona inicialment (tot i que és desitjable dur a terme aquest tipus d'accions), els ajustos i les opcions d'accés a través de SSH, no es pot canviar. Hi ha algun problema en crear una connexió, i el seu ús posterior, en general, no s'espera que (llevat que, per descomptat, no va a ser utilitzat de forma manual basat configurar el servidor de configuració i client). Les excepcions més comuns a la creació de normes en el router li permet corregir qualsevol problema o evitar-los.