Ki jan yo configured epi sèvi ak pò SSH? Etap pa gid etap

Tache kal, oswa abreje kòm SSH, li se youn nan teknoloji yo ki pi avanse pwoteksyon done nan transmisyon an. Itilize nan tout moun ki tankou rejim yon sou routeur la menm pèmèt pa sèlman konfidansyalite a nan enfòmasyon transmèt, men tou, pi vit pou yo fè echanj pakè. Sepandan, se pa tout moun konnen lwen ke yo louvri pò a SSH, e poukisa tout bagay sa a se li nesesè. Nan ka sa a li nesesè yo bay yon eksplikasyon konstriktif.

Port SSH: ki sa ki li e poukisa nou bezwen?

Depi nou ap pale sou sekirite, nan ka sa a, anba pò a SSH yo dwe konprann dedye chanèl nan fòm lan nan yon tinèl, ki bay done chifreman.

Konplo ki pi primitif nan tinèl sa a se ke yon louvri SSH-pò se itilize pa default ankripte done nan sous la ak dekripte sou pwen final la. Sa a kapab eksplike jan sa a: si wi ou non ou renmen li ou pa, transmèt trafik, kontrèman ak ipsèk a, chiffres nan fòse ak tèminal nan pwodiksyon nan rezo a, ak sou bò k ap resevwa a antre nan. Dechifre enfòmasyon ki transmèt sou chanèl sa a, tèminal la resevwa sèvi ak yon kle espesyal. Nan lòt mo, yo entèvni nan transfè a oswa konpwomi entegrite nan nan done yo transmèt nan moman sa a yon moun ka pa san yo pa yon kle.

Jis louvri SSH-pò sou nenpòt routeur oswa lè l sèvi avèk anviwònman yo apwopriye nan plis kliyan reyaji dirèkteman ak SSH-sèvè a, pèmèt ou bay tout sèvi ak tout karakteristik yo ki nan sistèm sekirite rezo modèn. Nou se isit la sou kouman yo sèvi ak yon pò ki asiyen pa default oswa koutim anviwònman. paramèt sa yo nan aplikasyon an ta ka gade difisil, men san yo pa yon konpreyansyon yo genyen sou òganizasyon an tout moun ki tankou koneksyon yon se pa ase.

Standard SSH pò

Si, tout bon, ki baze sou paramèt yo nan nenpòt nan routeur la ta dwe premye detèmine lòd la, ki kalite lojisyèl yo pral itilize pou aktive lyen sa a. An reyalite, SSH pò a default ka gen diferan anviwònman. Tout depann de sa ki metòd yo itilize nan moman sa (koneksyon an dirèk nan sèvè a, enstale plis voye kliyan pò ak D. sou sa.).

Pou egzanp, si kliyan an itilize Jabber, pou koneksyon kòrèk, chifreman, ak done transfè pò 443 se yo dwe itilize, byenke se reyalizasyon nan mete nan pò a estanda 22.

Reyajiste routeur la alokasyon an pou yon pwogram an patikilye oswa pwosesis kondisyon ki nesesè gen fè pò voye SSH. Ki sa ki sa li ye? Li se bi pou yo yon aksè patikilye nan yon pwogram sèl ki sèvi ak yon koneksyon entènèt, kèlkeswa ki anviwònman se kounye a pwotokòl echanj done (IPv4 oswa IPV6).

teknik jistifikasyon

Standard SSH pò 22 pa toujou itilize kòm li te deja klè. Sepandan, isit la li nesesè yo asiyen kèk nan karakteristik sa yo ak anviwònman yo te itilize pandan konfigirasyon.

Poukisa chiffres pwotokòl done konfidansyalite enplike itilizasyon an nan SSH kòm yon piman ekstèn (envite) pò itilizatè? Men, se sèlman paske tunèl se aplike li pèmèt itilize nan yon sa yo rele koki aleka (SSH), jwenn aksè nan jesyon an tèminal nan login aleka (slogin), ak aplike pwosedi a kopi aleka (SCP).

Anplis de sa, ka SSH-pò dwe aktive nan ka a kote itilizatè a se nesesè yo egzekite Scripts aleka X Windows, ki nan ka a ki pi senp se yon transfè nan enfòmasyon ki soti nan yon sèl machin nan yon lòt, jan yo gen yo te di, ak yon fòse chifreman done. Nan sitiyasyon sa yo, ki pi nesesè a ap itilize ki baze sou algorithm nan AES. Sa a se yon algorithm chifreman simetrik, ki te orijinèlman bay nan teknoloji SSH. Et, sèvi ak li pa sèlman posib, men sa nesesè.

Istwa nan realizasyon an

Teknoloji a te parèt pou yon tan long. Se pou nou kite sou kote kesyon an pou konnen kijan pou fè pò jivraj SSH, epi konsantre sou li montre kouman li tout travay.

Anjeneral li vini desann nan, yo sèvi ak yon proxy sou baz la nan chosèt oswa itilize vpn tunèl. Nan ka kèk aplikasyon lojisyèl ka travay avèk vpn, pi bon yo chwazi opsyon sa a. Lefèt ke prèske tout li te ye pwogram jodi a sèvi ak trafik la entènèt, vpn a ka travay, men fasil routage konfigirasyon se pa vre. Sa a, tankou nan ka a nan serveurs yo prokurasyon, pèmèt yo kite adrès la ekstèn nan tèminal la ki soti nan ki kounye a pwodwi a nan rezo a pwodiksyon, inkonu. Sa se ka a ak adrès la prokurasyon se toujou ap chanje, ak vpn vèsyon rete chanje ak determinasyon a nan yon sèten rejyon, lòt pase yon sèl la kote ki gen yon entèdiksyon sou aksè.

Teknoloji a trè menm ki ofri SSH pò, te devlope nan 1995 nan University of Teknoloji nan Fenlann (SSH-1). Nan lane 1996, amelyorasyon yo te ajoute nan fòm lan nan SSH-2 pwotokòl, ki te byen gaye anpil nan espas ki la pòs-Sovyet, byenke pou sa a, osi byen ke nan kèk peyi Ewopeyen lwès, li se pafwa nesesè yo jwenn pèmisyon yo sèvi ak tinèl sa a, epi ki soti nan ajans gouvènman an.

Avantaj nan prensipal nan ouvèti a nan SSH-pò, kòm opoze a telne oswa rlojen, se itilize nan siyati dijital RSA oswa dza (itilize nan yon pè nan ouvè ak yon kle antere l '). Anplis de sa, nan sitiyasyon sa a ou ka sèvi ak sa yo rele kle sesyon ki baze sou Diffie-Hellman algorithm, ki gen ladan itilize nan yon pwodiksyon chifreman simetrik, byenke pa anpeche pou yo sèvi ak algoritm chifreman asimetri pandan transmisyon done ak resepsyon pa yon lòt machin.

Servers ak koki

Sou fenèt yo oswa ou Linux SSH-pò louvri se pa tèlman difisil. Kesyon an sèlman se, ki kalite zouti pou objektif sa a yo pral itilize.

Nan sans sa a li nesesè yo peye atansyon sou pwoblèm lan nan transmisyon enfòmasyon ak Otantifikasyon. Pwemyeman, se pwotokòl la tèt li ase pwoteje pa rnifle nan sa yo rele, ki se pi abityèl "wiretapping nan" nan trafik. SSH-1 pwouve yo dwe vilnerab a atak. Entèferans nan pwosesis la nan transfere done nan fòm lan nan yon konplo nan "nonm nan mitan an" te gen rezilta li yo. Enfòmasyon te kapab tou senpleman segman aks dèz ak Decoder byen primè elemantè yo. Men, gen vèsyon an dezyèm (SSH-2) te iminitè a sa a kalite entèvansyon, yo konnen kòm sesyon eskanmòte, gras a sa ki pi popilè.

entèrdiksyon sekirite

Kòm pou sekirite a nan respè nan done yo transmèt epi li resevwa, òganizasyon an nan koneksyon etabli ak sèvi ak teknoloji sa yo pèmèt evite pwoblèm sa yo:

• idantifikasyon kle nan lame a nan etap nan transmisyon maladi a, lè yon "snapshot» anprent;
• Sipò pou Windows ak sistèm UNIX-tankou;
• sibstitisyon nan IP ak adrès dns (mistifye);
• entèrsèptan louvri modpas ki gen aksè fizik nan kanal la done.

Aktyèlman, se òganizasyon an antye nan yon sistèm konsa bati sou prensip la nan "kliyan-sèvè", se sa ki, premye nan tout òdinatè itilizatè a atravè yon pwogram espesyal oswa ajoute-nan apèl nan sèvè a, ki pwodui yon Jefò koresponn lan.

tunèl

Li ale san ki di ke yo dwe aplikasyon an nan koneksyon an nan sa a kalite nan yon chofè espesyal dwe enstale sou sistèm nan.

Tipikman, nan sistèm Windows ki baze sou se bati nan chofè a koki pwogram Microsoft Teredo, ki se yon kalite vityèl imitasyon vle di nan IPV6 nan rezo sipòte IPv4 sèlman. adaptè Tinèl default se aktif. Nan evènman an nan echèk ki asosye ak li, ou ka jis fè yon sistèm rekòmanse oswa fè yon are ak rekòmanse kòmandman ki soti nan konsole a lòd. Disoud liy sa yo yo te itilize:

• nech;
• koòdone Teredo seri eta enfim;
• koòdone ISATAP mete eta enfim.

Apre k ap antre nan yo lòd, ki ta dwe rekòmanse. Re-pèmèt adaptè a epi tcheke estati a nan andikape olye pou yo pèmèt anrejistre pèmi a, apre sa, ankò, yo ta dwe rekòmanse sistèm nan tout antye.

SSH-sèvè

Koulye a, kite a wè ki jan se pò a SSH itilize kòm nwayo a, kòmanse nan konplo a "kliyan-sèvè". se default la anjeneral aplike 22 minit pò, men, kòm mansyone anwo a, yo ka itilize ak 443rd a. Kesyon an sèlman nan preferans a nan sèvè a tèt li.

pi komen SSH-serveurs yo se te konsidere kòm bagay sa yo:

• pou Windows: Tectia SSH sèvè, opanch ak Cygwin, MobaSSH, KpyM telne / SSH sèvè, WinSSHD, copssh, freeSSHd;
• pou frizbs: opanch;
• pou Linux: Tectia SSH sèvè, sch, opanch-sèvè, lsh-sèvè, dropbear.

Tout moun nan serveurs yo yo gratis. Sepandan, ou ka jwenn ak peye sèvis ki bay menm pi gwo nivo nan sekirite, ki se esansyèl pou òganizasyon an nan rezo aksè ak sekirite enfòmasyon nan antrepriz. A depans pou sèvis sa yo se pa sa diskite. Men, an jeneral nou ka di ke li se relativman chè, menm an konparezon ak enstalasyon an nan lojisyèl espesyal oswa "pyès ki nan konpitè" pare-feu.

SSH-kliyan

ka chanje SSH pò dwe fèt sou baz la nan pwogram nan kliyan oswa anviwònman yo apwopriye lè pò voye sou routeur ou yo.

Sepandan, si ou manyen koki a kliyan, pwodwi yo lojisyèl yo ka itilize pou sistèm divès kalite:

• Windows - SecureCRT, PuTTY \ Kitty, Axessh, ShellGuard, SSHWindows, Zoc, XShell, ProSSHD elatriye;..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux ak BSD: lsh-kliyan, kdessh, opanch-kliyan, vinagr, mastike.

se Otantifikasyon ki baze sou kle a piblik, ak chanje pò a

Koulye a, yon kèk mo sou ki jan verifikasyon an ak mete kanpe yon sèvè. Nan ka a ki pi senp, ou dwe itilize yon dosye konfigirasyon (sshd_config). Sepandan, ou ka fè san yo pa li, pou egzanp, nan ka a nan pwogram tankou mastike. Chanje SSH pò de valè a default (22) nan nenpòt lòt se konplètman primè.

Bagay pwensipal lan - yo louvri yon nimewo pò pa gen dwa depase valè a nan 65535 (pi wo pò tou senpleman pa egziste nan lanati). Anplis de sa, ta dwe peye atansyon a kèk pò louvri pa default, ki ka itilize pa kliyan tankou miskl oswa ftp baz done. Si ou presize yo pou SSH konfigirasyon, nan kou, yo jis sispann travay.

Li nan vo anyen ke menm kliyan an Jabber dwe kouri nan anviwònman an menm lè l sèvi avèk SSH-sèvè, pou egzanp, sou yon machin vityèl. Ak sa ki pi sèvè localhost ap bezwen bay yon valè nan 4430 (olye pou yo 443, kòm mansyone anwo a). ka konfigirasyon sa a dwe itilize lè aksè nan jabber.example.com nan dosye prensipal ki te bloke pa pare-feu lan.

Nan lòt men an, pò yo transfere ka sou routeur la lè l sèvi avèk configuration la, te nan koòdone li yo ak kreyasyon an nan eksepsyon nan regleman-yo. Nan pifò modèl D 'a adrès opinyon kòmanse ak 192,168 complétée ak 0.1 oswa 1.1, men routeurs konbine kapasite ADSL-modèm tankou Mikrotik, nan fen mond adrès enplike itilizasyon an nan 88.1.

Nan ka sa a, kreye yon règ nouvo, Lè sa a, mete paramèt ki nesesè yo, pou egzanp, pou enstale koneksyon an ekstèn DST-Nat, osi byen ke manyèlman preskri pò pa anba anviwònman yo jeneral ak nan seksyon an nan preferans Aktivis (Aksyon). Pa gen anyen twò konplike isit la. Bagay pwensipal lan - ou presize valè yo egzije a anviwònman ak mete pò ki kòrèk la. Pa default, ou ka itilize pò 22, men si kliyan an sèvi ak yon espesyal (kèk nan pi wo a pou sistèm diferan), ka valè a ap chanje abitrèman, men se sèlman lè sa a, sa a paramèt pa gen dwa depase valè an te deklare, pi wo a ki nimewo pò yo se tou senpleman pa disponib.

Lè ou mete kanpe koneksyon tou ta dwe peye atansyon sou paramèt yo nan pwogram nan kliyan. Li pouvwa byen, se ke nan anviwònman li yo gen ou presize longè a minimòm de kle a (512), byenke se default la anjeneral mete 768. Li se tou dezirab yo mete poz nan ale nan nivo a 600 segonn ak aksè pèmisyon an aleka ak dwa rasin. Apre k ap aplike anviwònman sa yo, ou bezwen tou pèmèt itilize nan tout dwa otantifikasyon, lòt pase sa yo ki baze sou itilize .rhost a (men li nesesè sèlman nan administratè sistèm).

Pami lòt bagay, si non an itilizatè ki anrejistre nan sistèm nan, pa menm jan ak prezante nan moman sa a, li dwe espesifye klèman lè l sèvi avèk itilizatè sch mèt yo lòd, ki ak entwodiksyon an nan paramèt adisyonèl (pou moun ki konprann ki sa ki nan mennen).

ka Ekip ~ / .Sch / id_dsa gen pou itilize pou transfòmasyon nan kle a ak metòd la chifreman (oswa RSA). Pou kreye yon kle piblik itilize pa konvèsyon an lè l sèvi avèk liy ~ / .Sch / identity.pub a (men se pa nesesèman). Men, kòm montre, pratike, fason ki pi fasil yo sèvi ak kòmandman tankou sch-keygen. Isit la se sans nan pwoblèm nan redwi sèlman nan reyalite a, yo ajoute kle nan zouti yo otantifikasyon disponib (~ / .Sch / authorized_keys).

Men, nou te ale twò lwen. Si ou ale tounen nan pwoblèm nan anviwònman pò SSH, jan yo gen te klè pò chanjman SSH se pa tèlman difisil. Sepandan, nan kèk sitiyasyon, yo di, yo pral gen swe, paske bezwen an pran an kont tout valè nan paramèt kle. Rès la nan pwoblèm nan konfigirasyon klou desann nan antre a nan nenpòt ki sèvè oswa kliyan pwogram (si li se provided okòmansman), oswa yo sèvi ak pò voye sou routeur la. Men, menm nan ka ta gen chanjman nan pò a 22, default la, nan 443rd a menm, yo ta dwe byen klè konprann ke tankou yon konplo pa toujou travay, men se sèlman nan ka a nan enstale menm ajoute nan-nan Jabber (lòt analogue ka aktive ak pò respektif yo, li diferan de estanda a). Anplis de sa, yo ta dwe atansyon espesyal, ki dwe bay paramèt mete SSH-kliyan, ki pral dirèkteman kominike avèk SSH-sèvè a, si li se reyèlman sipoze sèvi ak koneksyon aktyèl la.

Kòm pou rès la, si voye nan pò pa sa yo bay okòmansman (byenke li se dezirab fè aksyon sa yo), anviwònman ak opsyon pou gen aksè via SSH, ou pa ka chanje. Gen nenpòt pwoblèm lè y ap kreye yon koneksyon, epi sèvi ak plis li yo, an jeneral, pa atann (sòf si, nan kou, pa yo pral itilize manyèlman configured sèvè a ki baze sou konfigirasyon ak kliyan). Sèl eksepsyon ki pi komen nan kreyasyon an nan règleman sou routeur la pèmèt ou korije nenpòt pwoblèm oswa evite yo.