Secure Shell, nebo zkrácený SSH, je jednou z nejmodernějších bezpečnostních technologií pro přenos dat. Použití takového režimu na jednom routeru může zajistit nejen důvěrnost přenášených informací, ale také urychlit výměnu paketů. Je pravda, že ne každý ví, jak otevřít port SSH a proč potřebuje vše. V tomto případě budeme muset poskytnout konstruktivní vysvětlení.
Port SSH: co je to a proč?
Pokud jde o zabezpečení, v tomto případě by měl být port SSH chápán jako specializovaný kanál ve formě tunelu, který poskytuje šifrování dat.
Nejprimitivnější schéma fungování takového tunelu spočívá v tom, že otevřený port SSH se ve výchozím nastavení používá k šifrování informací ve zdroji a jeho dešifrování v koncovém bodě. Vysvětlete to takto: ať už to chcete nebo ne, přenášená doprava, na rozdíl od IPSec, je zašifrována v nuceném pořadí a na výstupu jednoho síťového terminálu a u vchodu hostitelské strany. Chcete-li dešifrovat informace přenášené tímto kanálem, přijímající terminál používá speciální klíč. Jinými slovy, nikdo nemůže zasahovat do přenosu nebo narušit integritu dat přenášených v aktuálním okamžiku bez klíče.
Právě otevírání portu SSH na každém směrovači nebo použití příslušných nastavení dalšího klienta, který přímo komunikuje se serverem SSH, umožňuje plně využít všech bezpečnostních prvků bezpečnostního systémumoderní sítě. Jedná se o použití výchozího portu nebo vlastních nastavení. Tyto možnosti mohou být obtížně použitelné, ale bez pochopení o organizaci takového spojení se to nedá dělat.
Standardní port SSH
Pokud se opravdu chcete dostat mimo parametry kteréhokoli směrovače, měli byste nejprve rozhodnout, který software bude použit pro použití tohoto komunikačního kanálu. Ve výchozím nastavení může mít výchozí port SSH různá nastavení. Vše závisí na tom, která metodika se nyní používá (přímé připojení k serveru, instalace dalšího klienta, zrušení portů apod.).
Například pokud je Jabber používán jako klient, port 443 musí být použit pro správné připojení, šifrování a přenos dat, i když port 22 je nastaven jako standardní verze.
Chcete-li znovu nastavit směrovač s uvolněním konkrétního programu nebo procesu nezbytných podmínek, budete muset provést výběr portu SSH. Co to je? To je účel konkrétního přístupu pro konkrétní aplikaci, která používá připojení k Internetu, bez ohledu na to, které nastavení má aktuální protokol výměny dat (IPv4 nebo IPv6).
Technické odůvodnění
Jak je již zřejmé, standardní port SSH 22 není vždy používán. Zde je však třeba zvýraznit některé funkce a nastavení, které používáte při konfiguraci.
Proč důvěrnost přenosu šifrovaných datznamená použití SSH jako jediného externího (host) portu uživatele? A stejně jako v úvahu tunelování umožňuje použití takzvaného dálkového shell (SSH), řízení přístupu k terminálu přes vzdálený login (spřihlásit) a aplikovat postupy pro vzdálené kopie (scp). Kromě toho, SSH-port může být aktivován v případě, kdy je nutné uživateli provádět vzdálené skripty X Windows, který v nejjednodušším případě je přenos informací z jednoho počítače do druhého, jak již bylo zmíněno, nucené šifrování . V takových situacích bude použití algoritmů založených na AES nejnaléhavější. Jedná se o algoritmus pro symetrické šifrování, který je původně poskytován technologií SSH. A použít je nejen možné, ale je také nutné.
Historie implementace
Samotná technologie se objevila již dávno. Pokud necháme otázku, jak vypadnout SSH porty, pojďme se zabývat tím, jak to všechno funguje. Obvykle to vše přichází k použití proxy serveru založeného na ponožkách nebo pomocí tunelu VPN. V případě, že je nějaká softwarová aplikace schopna pracovat s VPN, je lepší preferovat tuto volbu. Faktem je, že prakticky všechny známé programy, které dnes používají internetový provoz s VPN, mohou fungovat a konfigurace směrování speciální práce není. Toto, stejně jako v případě serverů proxy, umožňuje ponechat externí adresu terminálu, ze kterého se právě provádí.přístup k síti, neidentifikovaný. To je případ s proxy adresy se neustále mění, a možnost VPN zůstane nezměněn s kterým se určitý region jiný, než kde je přístup k zákazu. Ten samý technologie při otevření portu SSH, byl vyvinut v roce 1995 na University of Technology ve Finsku (SSH-1). V roce 1996 byly přidány vylepšení jako SSH-2 protokol, který byl docela rozšířený v poště, i když to, stejně jako v některých západoevropských zemích občas potřebují oprávnění používat tento tunel, a od vládních agentur. Hlavní výhodou otevření SSH-port, na rozdíl od telnet nebo rlogin, je použití digitálních podpisů RSA nebo DSA (ve formě páry otevřeného a pohřbil klíč). Kromě toho, že tato situace může použít takzvaný klíč relace na základě algoritmu Diffie-Hellman, který zahrnuje použití symetrického šifrování výstupu, i když nevylučuje použití algoritmů pro asymetrické šifrování během přenosu dat a příjem jiném stroji.
Servery a shell
Windows nebo Linux SSH porty otevřené, není tak těžké. Otázkou je, jaký druh sady nástrojů bude použit. V tomto smyslu je třeba věnovat pozornost otázce přenosu informací a autentizace. Za prvé, Protokol je dostatečně chráněna před tzv snyfynha, což je velmi běžné „odposlech“ provoz. SSH-1 byl před útoky bezbranný. Intervence v procesuData jako schéma „man in the middle“ má své výsledky. Tyto informace by mohly snadno zachytit a dešifrovat poměrně elementární. Ale druhá verze (SSH-2) byl imunní proti takovým zásahům nazývá únos, a tak získal největší distribuci.
Bezpečnostní zákazy
Pokud jde o bezpečnost, pokud jde o dat odeslaných a přijatých dat, organizaci spojení vytvořené pomocí technologie zabraňuje těmto problémům:
, definující klíč k hostiteli v kroku přenosu při použití ‚cast »otisk;
pro podporu systému Windows a UNIX-like systémy;
, substituce IP adres a DNS (spoofing);
zachycovací hesla otevřít s fyzickým přístupem na datovém kanálu.
Ve skutečnosti je celá organizace systému založeného na „klient-server“ je primárně určen zařízení pomocí speciálního software nebo doplněk volání na server, který umožňuje odpovídající doporučení.
Tunneling
Je samozřejmé, že pro připojení tohoto typu systému je třeba instalovat speciální ovladač. Typicky, Windows systém je integrován v ovladači shell Microsoft Teredo, který je jakousi virtuální emulace agenta protokolu IPv6 sítí podporujících pouze IPv4. Tunel adaptér default je aktivní. V případě závad v souvislosti s tím, stačí provést restart systému nebo provést vypnutí a restartování příkazukonzole Následující řádky se používají k deaktivaci:
netsh;
rozhraní Teredo nastaveno na stav zakázán;
nastavení stavu rozhraní isatap zakázáno.
Po zadání příkazů je třeba provést restart. Chcete-li znovu povolit adaptér a kontrolovat její stav spíše než povolenou zakázána předepsáno povolení, a pak znovu, měli restartovat celý systém.
SSH server
Nyní se podívejme, jaký SSH port se používá jako primární, a pokračuje ze schématu klient-server. Obvykle je standardně používán 22. port, ale, jak již bylo uvedeno výše, lze také použít 443rd. Otázkou je pouze nadřazenost samotného serveru. Nejběžnějším SSH-server se považuje následující:
pro Windows: Tectia SSH serveru OpenSSH na Cygwin, MobaSSH, KpyM Telnet /SSH server, WinSSHD, copssh, freeSSHd;
pro FreeBSD: OpenSSH;
, na Linux: Tectia SSH server, SSH, openssh-server, LSH-server, dropbear.
Všechny výše uvedené servery jsou zdarma. Můžete však najít placené služby, které jsou charakterizovány zvýšenou úrovní zabezpečení, což je mimořádně nezbytné pro organizaci přístupu k síti a zabezpečení informací v podnicích. Náklady na tyto služby nejsou v současné době projednávány. Ale obecně lze říci, že je to relativně levné, a to i ve srovnání s instalací specializovaného softwaru nebo "železné" firewallu.
, SSH klient
Změna portu SSH mohou být založeny na klientovi nebo příslušné nastavení pro přesměrování portů na routeru. Nicméně, pokud se dotknete klienta skořepiny pro různé systémy mohou být použity následující software:
Okna - SecureCRT, PuTTYKiTTY, Axessh, ShellGuard, SSHWindows, Zoc, XShell,ProSSHD a tak dále;
Mac OS X: iTerm2 vSSH, NiftyTelnet SSH;
Linux a BSD: lsh-klient, kdessh, openssh-client, Vinagre, tmel.
Otevření ověřování klíčů a změna portu
Nyní několik slov o tom, jak je server ověřen a nakonfigurován. V nejjednodušším případě je nutné použít konfigurační soubor (sshd_config). Můžete to udělat bez něj, například při použití programů jako PuTTY. Port SSH můžete změnit ze standardní hodnoty
na cokoliv jiného na velmi základní úrovni.
Hlavní věc - že počet otevřeného portu nepřesáhne hodnotu 65535 (nad porty se prostě nestane v přírodě). Kromě toho byste měli věnovat pozornost některým otevřeným portům, které mohou klienti používat, jako jsou databáze MySQL nebo FTPD. Pokud zadáte jejich konfiguraci pro službu SSH, samozřejmě přestanou pracovat. Je třeba si uvědomit, že stejný klient Jabber musí být spuštěn v jednom prostředí pomocí serveru SSH, například na virtuálním počítači. A samotný server localhost bude muset přiřadit hodnotu 4430 (namísto 443, jak je uvedeno výše). Tuto konfiguraci lze použít, pokud brána firewall blokuje přístup k hlavnímu souboru jabber.example.com.
Na druhé straně je možné procházet porty samotného směrovače pomocí nastavení rozhraní pro tento účel vytvořením pravidel vyloučení. Na většině modelů se položka zadává zadáním adres začínajících na 192168 s přidáním 0,1 nebo 1,1, ale na směrovačích, které kombinují možnosti ADSL modemů, jako je Mikrotik, konečná adresapředpokládá použití 88.1. V takovém případě se vytvoří nové pravidlo, po kterém budou nastaveny požadované parametry, například nastavit externí připojení dst-nat a ručně přiřadit porty, které nejsou v sekci obecných nastavení av části přínosů aktivních akcí (akce). Nic zde není komplikované. Hlavním úkolem je určit požadované parametry a nastavit správný port. Ve výchozím nastavení můžete použít port 22, ale pokud používáte specializovaný klient (který z výše uvedených pro různé systémy), může být libovolná změna hodnoty, ale pouze tak, aby tento parametr nepřesáhl požadovanou hodnotu, nad kterou číslo portu jednoduše chybí. Při nastavování připojení byste měli také věnovat pozornost nastavení klientské aplikace. Možná je, že ve svých nastaveních bude nutné specifikovat minimální délku klíče (512), ačkoli výchozí je obvykle 768. Je také žádoucí nastavit úroveň časového limitu přihlášení na 600 sekund a vzdálené oprávnění pomocí oprávnění root. Po uplatnění takových instalací musíte také udělit oprávnění ke všem oprávněním k ověřování s výjimkou těch, která jsou založena na použití .rhost (ale pouze pro správce systému). Kromě toho, pokud uživatelské jméno registrované v systému neodpovídá aktuálně zadanému, musíte jej explicitně zadat pomocí příkazu master ssh s uvedením dalších parametrů (pro ty, kteří chápou, o čem se diskutuje ).
Převedení klíče aPříkaz ~ /.ssh /id_dsa (nebo rsa) lze použít pro samotnou metodu šifrování. Chcete-li vytvořit veřejný klíč, použije se transformace pomocí řádku ~ /.ssh /identity.pub (ale ne nutně). Ale jak ukazuje praxe, je nejjednodušší používat příkazy jako ssh-keygen. Podstatou otázky je pouze přidat klíč k dostupným nástrojům pro tvorbu obsahu (~ /.ssh /authorized_keys). Ale šli jsme příliš daleko. Pokud se vrátíte k problému nastavení SSH, jak je již jasné, změna portu SSH není příliš obtížná. Je pravda, že v určitých situacích, které se nazývají, bude muset pot, protože bude muset vzít v úvahu všechny hodnoty hlavních parametrů. V opačném případě se potíže s konfigurací sníží buď na interní nebo externí program (pokud je zpočátku poskytován) nebo na směrování routing portu. Ale i když změníte port 22 nastavený ve výchozím nastavení na stejném 443, musíte jasně pochopit, že takový systém nefunguje vždy, ale pouze v případě instalace stejného doplňku Jabber (ostatní analogy mohou také používat odpovídající porty, které odlišné od standardních. Kromě toho by měla být věnována zvláštní pozornost nastavení parametrů klienta SSH, který bude pracovat přímo se serverem SSH, pokud se skutečně očekává použití aktuálního připojení. V opačném případě, pokud není poprvé poskytnuto umístění portů (ačkoli je to žádoucí), nastavení a možnosti přístupu k SSH nelze a nemůžeme změnit. Zde jsou některé speciální problémy při vytváření spojení a jeho následném použití,obecně se to neočekává (pokud samozřejmě nebude použita ruční konfigurace konfigurace na serveru a klienta). Obecně platí, že vytvoření výjimky pravidlo na směrovači umožňuje opravit všechny problémy nebo je vyhnout.
Hlavní věc - že počet otevřeného portu nepřesáhne hodnotu 65535 (nad porty se prostě nestane v přírodě). Kromě toho byste měli věnovat pozornost některým otevřeným portům, které mohou klienti používat, jako jsou databáze MySQL nebo FTPD. Pokud zadáte jejich konfiguraci pro službu SSH, samozřejmě přestanou pracovat. Je třeba si uvědomit, že stejný klient Jabber musí být spuštěn v jednom prostředí pomocí serveru SSH, například na virtuálním počítači. A samotný server localhost bude muset přiřadit hodnotu 4430 (namísto 443, jak je uvedeno výše). Tuto konfiguraci lze použít, pokud brána firewall blokuje přístup k hlavnímu souboru jabber.example.com.
Na druhé straně je možné procházet porty samotného směrovače pomocí nastavení rozhraní pro tento účel vytvořením pravidel vyloučení. Na většině modelů se položka zadává zadáním adres začínajících na 192168 s přidáním 0,1 nebo 1,1, ale na směrovačích, které kombinují možnosti ADSL modemů, jako je Mikrotik, konečná adresapředpokládá použití 88.1. V takovém případě se vytvoří nové pravidlo, po kterém budou nastaveny požadované parametry, například nastavit externí připojení dst-nat a ručně přiřadit porty, které nejsou v sekci obecných nastavení av části přínosů aktivních akcí (akce). Nic zde není komplikované. Hlavním úkolem je určit požadované parametry a nastavit správný port. Ve výchozím nastavení můžete použít port 22, ale pokud používáte specializovaný klient (který z výše uvedených pro různé systémy), může být libovolná změna hodnoty, ale pouze tak, aby tento parametr nepřesáhl požadovanou hodnotu, nad kterou číslo portu jednoduše chybí. Při nastavování připojení byste měli také věnovat pozornost nastavení klientské aplikace. Možná je, že ve svých nastaveních bude nutné specifikovat minimální délku klíče (512), ačkoli výchozí je obvykle 768. Je také žádoucí nastavit úroveň časového limitu přihlášení na 600 sekund a vzdálené oprávnění pomocí oprávnění root. Po uplatnění takových instalací musíte také udělit oprávnění ke všem oprávněním k ověřování s výjimkou těch, která jsou založena na použití .rhost (ale pouze pro správce systému). Kromě toho, pokud uživatelské jméno registrované v systému neodpovídá aktuálně zadanému, musíte jej explicitně zadat pomocí příkazu master ssh s uvedením dalších parametrů (pro ty, kteří chápou, o čem se diskutuje ).
Převedení klíče aPříkaz ~ /.ssh /id_dsa (nebo rsa) lze použít pro samotnou metodu šifrování. Chcete-li vytvořit veřejný klíč, použije se transformace pomocí řádku ~ /.ssh /identity.pub (ale ne nutně). Ale jak ukazuje praxe, je nejjednodušší používat příkazy jako ssh-keygen. Podstatou otázky je pouze přidat klíč k dostupným nástrojům pro tvorbu obsahu (~ /.ssh /authorized_keys). Ale šli jsme příliš daleko. Pokud se vrátíte k problému nastavení SSH, jak je již jasné, změna portu SSH není příliš obtížná. Je pravda, že v určitých situacích, které se nazývají, bude muset pot, protože bude muset vzít v úvahu všechny hodnoty hlavních parametrů. V opačném případě se potíže s konfigurací sníží buď na interní nebo externí program (pokud je zpočátku poskytován) nebo na směrování routing portu. Ale i když změníte port 22 nastavený ve výchozím nastavení na stejném 443, musíte jasně pochopit, že takový systém nefunguje vždy, ale pouze v případě instalace stejného doplňku Jabber (ostatní analogy mohou také používat odpovídající porty, které odlišné od standardních. Kromě toho by měla být věnována zvláštní pozornost nastavení parametrů klienta SSH, který bude pracovat přímo se serverem SSH, pokud se skutečně očekává použití aktuálního připojení. V opačném případě, pokud není poprvé poskytnuto umístění portů (ačkoli je to žádoucí), nastavení a možnosti přístupu k SSH nelze a nemůžeme změnit. Zde jsou některé speciální problémy při vytváření spojení a jeho následném použití,obecně se to neočekává (pokud samozřejmě nebude použita ruční konfigurace konfigurace na serveru a klienta). Obecně platí, že vytvoření výjimky pravidlo na směrovači umožňuje opravit všechny problémy nebo je vyhnout.
