Bagaimana untuk mengkonfigurasi dan menggunakan port SSH? Panduan langkah demi langkah

Selamat Shell, atau diringkaskan sebagai SSH, ia adalah salah satu teknologi perlindungan data paling maju dalam penghantaran. Penggunaan rejim tersebut pada router yang sama membolehkan bukan sahaja kerahsiaan maklumat yang dihantar, tetapi juga untuk mempercepatkan pertukaran paket. Walau bagaimanapun, tidak semua orang tahu sejauh untuk membuka pelabuhan SSH, dan mengapa semua ini adalah perlu. Dalam kes ini, ia adalah perlu untuk memberi penjelasan yang membina.

Port SSH: apa yang ia dan mengapa kita perlukan?

Kerana kita bercakap tentang keselamatan, dalam kes ini, di bawah port SSH untuk difahami saluran khusus dalam bentuk terowong, yang menyediakan penyulitan data.

Skim yang paling primitif terowong ini adalah bahawa yang terbuka SSH-port digunakan secara lalai untuk menyulitkan data pada sumber dan penyahsulitan pada titik akhir. Ini dapat dijelaskan seperti berikut: sama ada anda suka atau tidak, trafik dihantar, tidak seperti IPSec, disulitkan di bawah paksaan dan terminal output rangkaian, dan di pihak penerima pintu masuk. Untuk menyahsulit maklumat yang dihantar di saluran ini, terminal yang menerima menggunakan kunci khas. Dalam erti kata lain, untuk campur tangan dalam pemindahan atau menjejaskan integriti data yang dihantar pada masa ini salah satu tidak boleh tanpa kunci.

Hanya membuka SSH-pelabuhan di mana-mana router atau dengan menggunakan tetapan yang sesuai untuk klien tambahan berinteraksi secara langsung dengan SSH-pelayan, membolehkan anda untuk menggunakan sepenuhnya semua ciri-ciri sistem keselamatan rangkaian moden. Kami berada di sini mengenai cara untuk menggunakan pelabuhan yang diberikan oleh tetapan lalai atau adat. Parameter dalam permohonan itu mungkin kelihatan sukar, tetapi tanpa memahami organisasi sambungan itu tidak mencukupi.

SSH Port standard

Jika, sesungguhnya, berdasarkan parameter mana-mana router pertama perlu menentukan perintah itu, apa jenis perisian akan digunakan untuk mengaktifkan pautan ini. Malah, SSH port lalai boleh mempunyai persekitaran yang berbeza. Semuanya bergantung kepada apa kaedah yang digunakan pada masa ini (sambungan terus ke pelayan, memasang tambahan penghantaran pelabuhan pelanggan dan sebagainya. D.).

Sebagai contoh, jika pelanggan yang digunakan Jabber, untuk sambungan betul, penyulitan, dan pemindahan pelabuhan data 443 adalah untuk digunakan, walaupun penjelmaan yang terletak di Port standard 22.

Untuk menetapkan semula router untuk peruntukan untuk sesuatu program atau memproses keadaan yang perlu perlu melakukan penghantaran pelabuhan SSH. Apa yang ia? Ia adalah tujuan akses khusus kepada satu program yang menggunakan sambungan Internet, tidak kira di mana tetapan adalah terkini pertukaran protokol data (IPv4 atau IPv6).

justifikasi teknikal

Standard SSH port 22 tidak selalu digunakan kerana ia sudah jelas. Walau bagaimanapun, di sini ia adalah perlu untuk memperuntukkan sebahagian daripada ciri-ciri dan tetapan yang digunakan semasa persediaan.

Mengapa disulitkan protokol kerahsiaan data melibatkan penggunaan SSH sebagai semata-mata luaran (tetamu) port pengguna? Tetapi hanya kerana terowong digunakan ia membolehkan penggunaan shell jauh yang dipanggil (SSH), untuk mendapat akses kepada pengurusan terminal melalui login jauh (slogin), dan memohon prosedur salinan jauh (SCP).

Di samping itu, SSH-pelabuhan boleh diaktifkan dalam kes di mana pengguna adalah perlu untuk melaksanakan skrip jauh X Windows, yang dalam kes yang paling mudah ialah pemindahan maklumat dari satu mesin yang lain, seperti yang telah berkata, dengan penyulitan data paksa. Dalam situasi ini, yang paling perlu akan digunakan menurut algoritma AES. Ini adalah algoritma penyulitan simetri, yang pada asalnya disediakan dalam teknologi SSH. Dan menggunakannya bukan sahaja mungkin tetapi perlu.

Sejarah kesedaran

Teknologi ini telah muncul untuk masa yang lama. Marilah kita meninggalkan mengetepikan persoalan bagaimana untuk membuat pelabuhan aising SSH, dan memberi tumpuan kepada bagaimana ia semua kerja-kerja.

Biasanya ia datang ke, untuk menggunakan proksi berdasarkan Socks atau menggunakan VPN terowong. Dalam kes beberapa aplikasi perisian boleh bekerja dengan VPN, lebih baik untuk memilih pilihan ini. Hakikat bahawa program hampir semua dikenali hari ini menggunakan trafik Internet, VPN boleh bekerja, tetapi konfigurasi mudah laluan tidak. Ini, seperti dalam kes pelayan proksi, membolehkan untuk meninggalkan alamat luar terminal dari mana kini dihasilkan dalam rangkaian output, yang tidak diiktiraf. Itu adalah kes dengan alamat proksi sentiasa berubah-ubah, dan versi VPN tidak berubah dengan penetapan kawasan tertentu, selain daripada satu di mana terdapat larangan ke atas akses.

Teknologi yang sama yang menawarkan port SSH, telah dibangunkan pada tahun 1995 di Universiti Teknologi Finland (SSH-1). Pada tahun 1996, penambahbaikan telah ditambah dalam bentuk SSH-2 protokol, yang agak meluas di ruang pasca-Soviet, walaupun untuk ini, dan juga di beberapa negara-negara Eropah Barat, kadang-kadang perlu untuk mendapatkan kebenaran untuk menggunakan terowong ini, dan dari agensi-agensi kerajaan.

Kelebihan utama membuka SSH-port, berbanding dengan telnet atau rlogin, ialah penggunaan tandatangan digital RSA atau DSA (penggunaan sepasang terbuka dan kunci dikebumikan). Tambahan pula, dalam keadaan ini, anda boleh menggunakan apa yang dipanggil kunci sesi berdasarkan Diffie-Hellman algoritma, yang melibatkan penggunaan output penyulitan simetri, walaupun tidak menghalang penggunaan algoritma penyulitan simetri semasa penghantaran data dan penerimaan oleh mesin lain.

Pelayan dan shell

Pada Windows atau Linux SSH-port terbuka tidak begitu sukar. Soalan sahaja, apa jenis alat untuk tujuan ini akan digunakan.

Dalam pengertian ini, ia adalah perlu untuk memberi perhatian kepada isu penghantaran maklumat dan pengesahan. Pertama, protokol itu sendiri cukup dilindungi oleh menghidu apa yang dipanggil, yang adalah yang paling biasa "wiretapping" lalu lintas. SSH-1 terbukti menjadi terdedah kepada serangan. Campur tangan dalam proses memindahkan data dalam bentuk skim "lelaki di tengah-tengah" mempunyai keputusannya. Maklumat hanya boleh memintas dan mentafsirkan agak rendah. Tetapi versi kedua (SSH-2) telah imun kepada jenis ini campur tangan, yang dikenali sebagai sesi rampasan, terima kasih kepada apa yang paling popular.

melarang keselamatan

Bagi keselamatan berkenaan dengan data yang dihantar dan diterima, organisasi Kenalan diwujudkan dengan penggunaan teknologi seperti membolehkan mengelakkan masalah berikut:

• utama pengenalan kepada tuan rumah pada langkah penghantaran, apabila satu "snapshot» cap jari;
• Sokongan untuk Windows dan sistem UNIX seperti;
• penggantian IP dan alamat DNS (spoofing);
• memintas kata terbuka dengan akses fizikal ke saluran data.

Sebenarnya, seluruh organisasi sistem tersebut dibina di atas prinsip "client-server", iaitu, pertama sekali komputer pengguna melalui program khas atau panggilan Tambahan masuk ke pelayan, yang menghasilkan redirection yang sepadan.

terowong

Ia pergi tanpa mengatakan bahawa pelaksanaan sambungan seperti ini di dalam pemacu khas mesti dipasang pada sistem.

Biasanya, dalam sistem berasaskan Windows dibina ke dalam pemacu program shell Microsoft Teredo, yang merupakan sejenis cara emulasi maya IPv6 dalam rangkaian menyokong IPv4 sahaja. penyesuai lalai terowong aktif. Sekiranya berlaku kegagalan yang berkaitan dengan itu, anda hanya boleh membuat restart sistem atau melaksanakan tutup dan mulakan semula arahan dari konsol arahan. Untuk menyahaktifkan garis itu digunakan:

• netsh;
• antara muka teredo set keadaan yang tidak aktif;
• antara muka isatap ditetapkan negeri yang tidak aktif.

Selepas memasukkan arahan perlu memulakan semula. Untuk mendayakan semula penyesuai dan menyemak status kurang upaya bukannya permit daftar yang dibolehkan, dan selepas itu, sekali lagi, perlu memulakan semula keseluruhan sistem.

SSH-server

Sekarang mari kita lihat bagaimana port SSH digunakan sebagai teras, bermula dari skim "client-server". lalai biasanya digunakan 22 minit pelabuhan, tetapi, seperti yang disebutkan di atas, boleh digunakan dan 443 yang. Soalan sahaja dalam keutamaan pelayan itu sendiri.

Yang paling biasa SSH-pelayan dianggap sebagai berikut:

• untuk Windows: Tectia SSH Server, OpenSSH dengan Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd;
• untuk FreeBSD: OpenSSH;
• untuk Linux: Tectia SSH Server, ssh, openssh-server, lsh-server, dropbear.

Semua pelayan adalah percuma. Walau bagaimanapun, anda dapat melihat dan dibayar perkhidmatan yang menyediakan tahap yang lebih lebih selamat, yang penting untuk organisasi akses rangkaian dan keselamatan maklumat dalam perusahaan. Kos perkhidmatan itu tidak dibincangkan. Tetapi secara umum kita boleh mengatakan bahawa ia adalah agak murah, walaupun dalam perbandingan dengan pemasangan perisian khas atau "perkakasan" firewall.

SSH-pelanggan

Tukar SSH pelabuhan boleh dibuat atas dasar program klien atau tetapan yang sesuai apabila penghantaran pelabuhan pada router anda.

Walau bagaimanapun, jika anda menyentuh shell pelanggan, produk perisian berikut boleh digunakan untuk pelbagai sistem:

• Windows - SecureCRT, PuTTY \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD lain-lain;..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux dan BSD: lsh-pelanggan, kdessh, openssh-pelanggan, Vinagre, dempul.

Pengesahan adalah berdasarkan kepada kunci awam, dan menukar pelabuhan

Sekarang beberapa perkataan mengenai cara pengesahan dan menubuhkan pelayan. Dalam kes yang paling mudah, anda mesti menggunakan fail konfigurasi (sshd_config). Walau bagaimanapun, anda boleh lakukan tanpanya, sebagai contoh, dalam hal program seperti PuTTY. Tukar SSH pelabuhan daripada nilai piawai (22) kepada mana-mana yang lain adalah rendah.

Perkara utama - untuk membuka beberapa pelabuhan tidak melebihi nilai 65535 (ports lebih tinggi hanya tidak wujud dalam alam semula jadi). Di samping itu, perlu memberi perhatian kepada beberapa pelabuhan terbuka secara lalai, yang boleh digunakan oleh pelanggan seperti MySQL atau ftpd pangkalan data. Jika anda menentukan mereka untuk konfigurasi SSH, sudah tentu, mereka hanya berhenti kerja.

Ia diperhatikan bahawa pelanggan Jabber itu mesti berjalan dalam persekitaran yang sama menggunakan SSH-server, sebagai contoh, pada mesin maya. Dan localhost paling server perlu tetapkan nilai kepada 4430 (daripada 443, seperti yang dinyatakan di atas). Konfigurasi ini boleh digunakan apabila akses kepada jabber.example.com fail utama disekat oleh firewall.

Sebaliknya, pelabuhan pemindahan boleh di router menggunakan konfigurasi antara muka dengan penciptaan pengecualian kepada peraturan. Dalam kebanyakan model input melalui alamat input bermula dengan 192,168 ditambah dengan 0.1 atau 1.1, tetapi router menggabungkan keupayaan ADSL modem seperti Mikrotik, alamat akhir melibatkan penggunaan 88.1.

Dalam kes ini, membuat peraturan baru, maka menetapkan parameter perlu, sebagai contoh, untuk memasang sambungan luaran dst-nat, serta pelabuhan ditetapkan secara manual tidak berada di bawah tetapan umum dan dalam bahagian pilihan Aktivisme (Tindakan). Tiada apa yang terlalu rumit di sini. Perkara utama - untuk menentukan nilai-nilai yang diperlukan tetapan dan menetapkan port yang betul. Secara lalai, anda boleh menggunakan port 22, tetapi jika pelanggan menggunakan khas (beberapa perkara di atas untuk sistem yang berbeza), nilai yang boleh diubah sewenang-wenangnya, tetapi hanya supaya parameter ini tidak melebihi nilai yang diisytiharkan, di atas yang nombor port adalah semata-mata tidak boleh didapati.

Apabila anda menyediakan sambungan juga perlu memberi perhatian kepada parameter program pelanggan. Ia mungkin bahawa dalam tetapannya perlu menentukan panjang minimum kunci (512), walaupun lalai biasanya ditetapkan 768. Ia juga wajar untuk menetapkan tamat masa untuk log masuk ke tahap 600 saat dan kebenaran akses jauh dengan hak-hak akar. Selepas menggunakan tetapan ini, anda perlu juga membenarkan penggunaan semua hak-hak pengesahan, selain daripada yang berdasarkan penggunaan .rhost (tetapi ia adalah perlu hanya kepada pentadbir sistem).

Antara lain, jika nama pengguna berdaftar dalam sistem, tidak sama seperti yang diperkenalkan pada masa ini, ia mesti dinyatakan dengan jelas menggunakan arahan master ssh pengguna dengan pengenalan parameter tambahan (bagi mereka yang memahami apa yang dipertaruhkan).

Pasukan ~ / .ssh / id_dsa boleh digunakan untuk transformasi kunci dan kaedah penyulitan (atau rsa). Untuk membuat kunci awam yang digunakan oleh penukaran menggunakan garis ~ / .ssh / identity.pub (tetapi tidak semestinya). Tetapi, sebagai menunjukkan amalan, cara yang paling mudah untuk menggunakan arahan seperti ssh-keygen. Di sini intipati isu dikurangkan hanya kepada fakta, untuk menambah kunci kepada alat pengesahan tersedia (~ / .ssh / authorized_keys).

Tetapi kami telah pergi terlalu jauh. Jika anda kembali kepada isu tetapan port SSH, kerana telah jelas port perubahan SSH tidak begitu sukar. Walau bagaimanapun, dalam sesetengah keadaan, mereka berkata, akan perlu berpeluh, kerana keperluan untuk mengambil kira semua nilai parameter utama. Selebihnya isu konfigurasi bisul ke pintu masuk mana-mana pelayan atau pelanggan program (jika ia disediakan pada mulanya), atau menggunakan penghantaran pelabuhan pada router. Tetapi dalam kes perubahan pelabuhan 22, lalai, untuk 443 yang sama, perlu difahami dengan jelas bahawa skim ini tidak selalu bekerja, tetapi hanya dalam hal memasang add-in yang sama Jabber (analog lain boleh mengaktifkan dan pelabuhan masing-masing, ia berbeza daripada standard). Di samping itu, perhatian khusus perlu diberikan menetapkan SSH-pelanggan, yang secara langsung akan berinteraksi dengan SSH-server, jika ia benar-benar sepatutnya menggunakan sambungan semasa parameter.

Bagi yang lain, jika penghantaran pelabuhan yang tidak diberikan pada mulanya (walaupun ia adalah wajar untuk melaksanakan tindakan itu), tetapan dan pilihan untuk akses melalui SSH, anda tidak boleh menukar. Terdapat apa-apa masalah semasa membuat sambungan, dan penggunaan seterusnya, secara umum, tidak dijangka (kecuali, sudah tentu, tidak akan digunakan secara manual menetapkan konfigurasi berasaskan pelayan dan pelanggan). Pengecualian yang paling biasa untuk mewujudkan kaedah-kaedah mengenai router membolehkan anda untuk membetulkan apa-apa masalah atau mengelakkan mereka.