Hoe te configureren en te gebruiken SSH-poort? Stapsgewijze

Secure shell, of afgekort als SSH, is een van de meest geavanceerde gegevensbescherming transmissietechnologieën. Het gebruik van een dergelijke regeling op dezelfde router maakt niet alleen de vertrouwelijkheid van de verzonden informatie, maar ook het versnellen van de uitwisseling van pakketten. Echter, niet iedereen weet tot aan de SSH poort te openen, en dit waarom al nodig is. In dit geval is het noodzakelijk om een constructieve uitleg te geven.

Port SSH: wat is het en waarom hebben we nodig?

Aangezien wij het over veiligheid in dat geval dient de SSH poort aangeduide kanaal worden opgevat in de vorm van een tunnel, die gegevenscodering verschaft.

De meest primitieve schema van deze tunnel is dat een open SSH-poort wordt standaard gebruikt om de gegevens bij de bron en decodering op het eindpunt te versleutelen. of je het nu leuk vindt of niet, verzonden verkeer, in tegenstelling tot de IPSec, versleutelde onder dwang en de uitgang van het netwerk, en aan de ontvangende kant van de ingang: Dit kan als volgt worden toegelicht. De informatie die op dit kanaal te decoderen, het ontvangende aansluitpunt gebruikt een speciale sleutel. Met andere woorden, om in te grijpen in de overdracht of in gevaar brengen van de integriteit van de verzonden data op het moment dat men niet zonder sleutel.

Alleen het openen van SSH-poort op een router of met behulp van de juiste instellingen van extra client een directe interactie met de SSH-server, kunt u volop gebruik maken van alle functies van de moderne systemen voor netwerkbeveiliging. Wij zijn hier over hoe je een poort die is toegewezen door standaard- of aangepaste instellingen te gebruiken. Deze parameters in de applicatie ziet er misschien moeilijk, maar zonder een goed begrip van de organisatie van een dergelijke verbinding is niet genoeg.

Standard SSH port

Als inderdaad, op basis van de parameters van een van de router moet eerst de volgorde te bepalen, wat voor soort software zal worden gebruikt voor deze link te activeren. In feite kan de standaard SSH-poort verschillende instellingen hebben. Alles hangt af van welke methode gebruikt wordt momenteel (directe verbinding met de server, het installeren van extra clientpoort sturen enz. D.).

Bijvoorbeeld, als de klant gebruikt Jabber, juist aangesloten, codering en dataoverdrachtsaansluiting 443 moet worden gebruikt, alhoewel de uitvoeringsvorm wordt in de standaardpoort 22.

Als u de router op de toewijzing opnieuw in te stellen voor een bepaald programma of het verwerken van de noodzakelijke voorwaarden moeten presteren port forwarding SSH. Wat is het? Het is het doel van een toegang tot een programma dat een Internet verbinding gebruikt, ongeacht de instelling stroom voor het uitwisselen van gegevens (IPv4 of IPv6).

technische motivering

Standard SSH poort 22 wordt niet altijd gebruikt zoals het was al duidelijk. Echter, hier is het noodzakelijk om een aantal van de kenmerken en instellingen die worden gebruikt tijdens de installatie toe te wijzen.

Waarom versleutelde gegevens vertrouwelijkheid protocol omvat het gebruik van SSH als een zuiver externe (gast) gebruiker poort? Maar alleen omdat tunneling wordt toegepast, maakt het gebruik van een zogenaamde remote shell (SSH), om toegang tot de terminalmanagement via remote login (slogin) winnen en toepassen van de werkwijze op afstand copy (SCP).

Bovendien kan SSH-poort wordt geactiveerd in het geval dat de gebruiker nodig is om externe scripts X Windows, die in het eenvoudigste geval een overdracht van informatie van de ene machine naar de andere, zoals gezegd, met een geforceerde gegevenscodering voeren. In dergelijke situaties zal de meest noodzakelijke gebruikt op basis van de AES-algoritme. Dit is een symmetrisch vercijferingsalgoritme, die oorspronkelijk werd in SSH techniek. En gebruik het niet alleen mogelijk, maar noodzakelijk.

Geschiedenis van de realisatie

De technologie is verschenen voor een lange tijd. Laten we buiten beschouwing laten de vraag hoe ijsvorming SSH-poort te maken, en zich richten op hoe het allemaal werkt.

Meestal komt het neer op, om een proxy te gebruiken op basis van de sokken of gebruik VPN tunneling. In het geval dat een aantal software-applicatie te werken met VPN, beter om deze optie te kiezen. Het feit dat gebruik van bijna alle bekende programma's vandaag de dag het internet verkeer, kan de VPN werken, maar gemakkelijk routeringsconfiguratie is het niet. Dit, zoals in het geval van de proxyservers, maakt het mogelijk om het externe adres van de terminal waaruit de momenteel geproduceerd in het uitgangsnetwerk, herkende verlaten. Dat is het geval met de proxy-adres is altijd verandert, en VPN-versie blijft ongewijzigd met de vastlegging van een bepaalde regio, met uitzondering van de ene waar sprake is van een verbod op toegang.

Dezelfde technologie die SSH haven biedt, werd ontwikkeld in 1995 aan de Universiteit van Technologie in Finland (SSH-1). In 1996 zijn er verbeteringen zijn toegevoegd in de vorm van SSH-2 protocol, die zeer wijdverbreid in de post-Sovjet-ruimte was, hoewel voor deze, evenals in een aantal West-Europese landen, is het soms nodig om toestemming om deze tunnel te gebruiken te krijgen, en van overheidsinstellingen.

Het belangrijkste voordeel van het openen SSH-poort in plaats van telnet of rlogin, is het gebruik van digitale handtekeningen RSA of DSA (het gebruik van een paar te openen en begraven toets). Verder is in deze situatie kun je zogenaamde sessiesleutel op basis van Diffie-Hellman algoritme, die het gebruik van een symmetrische encryptie-uitgang gaat gebruiken, maar geen beletsel voor het gebruik van asymmetrische encryptie-algoritmen tijdens datatransmissie en ontvangst door een andere machine.

Servers en shell

In Windows of Linux SSH-poort geopend is niet zo moeilijk. De enige vraag is, wat voor soort instrumenten voor dit doel zal worden gebruikt.

In die zin is het noodzakelijk om aandacht te besteden aan het probleem van de informatie-overdracht en authenticatie. Eerst wordt het protocol zelf voldoende beschermd door de zogenaamde snuiven, dat is de meest gebruikelijke "aftappen" verkeer. SSH-1 bleken kwetsbaar voor aanvallen zijn. Inmenging in het proces van de overdracht van gegevens in de vorm van een regeling van de "man in the middle" had zijn resultaten. Informatie kon gewoon onderscheppen en te ontcijferen heel elementair. Maar de tweede versie (SSH-2) is immuun voor dit soort interventie, die bekend staat als het kapen van sessies geweest, dankzij wat is het meest populair.

Bans veiligheid

Wat betreft de veiligheid met betrekking tot de verzonden en ontvangen gegevens, de organisatie van gelegd met het gebruik van dergelijke technologie verbindingen mogelijk zijn te voorkomen dat de volgende problemen:

• identificatie sleutel tot de gastheer bij de overdracht stap, als een "snapshot» vingerafdruk;
• Ondersteuning voor Windows en UNIX-achtige systemen;
• substitutie van IP- en DNS-adressen (spoofing);
• onderscheppen geopend wachtwoord fysieke toegang tot het datakanaal.

Eigenlijk is de hele organisatie van een dergelijk systeem gebouwd op het principe van "client-server", dat wil zeggen in de eerste plaats de computer van de gebruiker door middel van een speciaal programma of invoegtoepassing oproepen naar de server, die een corresponderende omleiding produceert.

tunneling

Het spreekt vanzelf dat de uitvoering van de verbinding van deze soort in een speciale driver op het systeem moet worden geïnstalleerd.

Typisch Windows-gebaseerde systemen wordt ingebouwd in het programma mantel driver Microsoft Teredo, een soort virtuele emulatie via IPv6 netwerken die alleen IPv4. Tunnel standaard adapter actief is. In geval van een storing die ermee verbonden zijn, kunt u gewoon een herstart van het systeem of het uitvoeren van een shutdown en commando's van de commando console opnieuw op te starten. Deactiveren dergelijke lijnen worden gebruikt:

• netsh;
• -interface teredo ingestelde toestand uitgeschakeld;
• -interface ISATAP ingesteld staat uitgeschakeld.

Na het invoeren van de opdracht zou moeten herstarten. Opnieuw inschakelen van de adapter en controleer de situatie van gehandicapten in plaats van de ingeschakelde registers vergunning, waarna opnieuw moet het hele systeem opnieuw op te starten.

SSH-server

Laten we nu eens kijken hoe de SSH-poort wordt gebruikt als de kern, uitgaande van de regeling "client-server". De standaard wordt gewoonlijk aangebracht 22 minuten poort, maar, zoals hierboven vermeld, kunnen worden gebruikt en de 443. De enige vraag in de voorkeur van de server zelf.

De meest voorkomende SSH-servers wordt beschouwd als de volgende:

• voor Windows: Tectia SSH-server, OpenSSH met Cygwin, MobaSSH, KpyM Telnet / SSH-server, WinSSHD, copssh, freeSSHd;
• voor FreeBSD: OpenSSH;
• voor Linux: Tectia SSH-server, ssh, openssh-server, lsh-server, dropbear.

Alle servers zijn gratis. Echter, kunt u vinden en betaalde services die zelfs hoger niveau van veiligheid, die essentieel is voor de organisatie van de toegang tot de netwerk- en informatiebeveiliging in ondernemingen te bieden. De kosten van dergelijke diensten wordt niet besproken. Maar in het algemeen kunnen we zeggen dat het is relatief goedkoop, zelfs in vergelijking met de installatie van speciale software of "hardware" firewall.

SSH-client

Change SSH-poort kan worden gemaakt op basis van de client-programma of de juiste instellingen als port forwarding op je router.

Echter, als je de klant shell te raken, de volgende software producten kunnen worden gebruikt voor verschillende systemen:

• Windows - SecureCRT, PuTTY \ KiTTY, Axessh, ShellGuard, sshwindows, ZOC, Xshell, ProSSHD enz..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux en BSD: LSH-client, kdessh, openssh-client, Vinagre, stopverf.

Authenticatie is gebaseerd op de publieke sleutel, en verander de poort

Nu een paar woorden over hoe de controle en het opzetten van een server. In het eenvoudigste geval moet u een configuratiebestand (sshd_config) te gebruiken. Echter, kunt u ook zonder, bijvoorbeeld, in het geval van programma's zoals PuTTY. Verandering SSH poort van de standaardwaarde (22) aan een ander volledig elementair.

Het belangrijkste ding - om een poortnummer te openen niet hoger is dan de waarde van 65535 (hogere poorten gewoon niet bestaan in de natuur). Daarnaast moet aandacht besteden aan een aantal open poorten standaard, die kan worden gebruikt door klanten zoals MySQL of FTPD databases. Als je ze opgeeft voor SSH-configuratie, natuurlijk, ze gewoon stoppen met werken.

Het is vermeldenswaard dat dezelfde Jabber-client moet worden uitgevoerd in dezelfde omgeving met behulp van SSH-server, bijvoorbeeld, op een virtuele machine. En de meeste server localhost moet een waarde toe te kennen aan 4430 (in plaats van 443, zoals hierboven vermeld). Deze configuratie kan worden gebruikt wanneer de toegang tot het hoofdbestand jabber.example.com geblokkeerd door de firewall.

Aan de andere kant kan de overdracht poorten op de router met behulp van de configuratie van de interface met de oprichting van uitzonderingen op de regels. In de meeste modellen ingevoerd via ingang adressen die beginnen met 192.168 aangevuld met 0,1 of 1,1, maar routers combineren mogelijkheden ADSL-modems als Mikrotik, eindadres omvat het gebruik van 88,1.

In dit geval is, maakt u een nieuwe regel, vervolgens de noodzakelijke parameters, bijvoorbeeld om de externe aansluiting dst-nat te installeren, evenals handmatig voorgeschreven poorten zijn niet onder de algemene instellingen en in het gedeelte van Activisme voorkeuren (Actie). Niets hier ingewikkeld. Het belangrijkste ding - om de gewenste waarden van de instellingen op te geven en stel de juiste poort. Standaard kunt u gebruik maken van poort 22, maar als de klant gebruikt een speciale (een aantal van de hierboven voor verschillende systemen), kan de waarde willekeurig worden veranderd, maar alleen zo dat deze parameter niet hoger is dan de aangegeven waarde, waarboven poortnummers zijn gewoon niet beschikbaar.

Bij het instellen van verbindingen moet ook aandacht besteden aan de parameters van de client-programma. Het is goed mogelijk dat er in de instellingen moeten de minimale lengte van de sleutel (512) op te geven, hoewel de standaard wordt meestal ingesteld 768. Het is ook wenselijk om de time-out in te loggen op het niveau van 600 seconden en de RAS-machtiging met root-rechten. Na het aanbrengen van deze instellingen, moet je ook in staat het gebruik van alle authenticatie rechten, andere dan op basis van het gebruik .rhost (maar het is alleen nodig om systeembeheerders).

Onder andere dingen, als de gebruikersnaam geregistreerd in het systeem, niet hetzelfde als ingevoerd op het moment, moet expliciet worden aangegeven met behulp van de gebruiker ssh meester commando met de invoering van extra parameters (voor degenen die begrijpen wat er op het spel).

Team ~ / .ssh / id_dsa kan worden gebruikt voor transformatie van de sleutel en de encryptie-methode (of rsa). Om een publieke sleutel wordt gebruikt door de omzetting door middel van de lijn ~ / .ssh / identity.pub (maar niet noodzakelijk) te creëren. Maar, zoals de praktijk blijkt, de gemakkelijkste manier om commando's zoals ssh-keygen gebruiken. Hier is de essentie van het probleem is verminderd alleen aan het feit, om de sleutel toe te voegen aan de beschikbare authenticatie-instrumenten (~ / .ssh / authorized_keys).

Maar we zijn te ver gegaan. Als je terug gaat naar de haven instellingen SSH kwestie, zoals is duidelijk verandering SSH-poort is niet zo moeilijk. Echter, in sommige situaties, zeggen ze, zal moeten zweten, omdat de noodzaak om rekening te houden met alle waarden van de belangrijkste parameters. De rest van de configuratie probleem neer bij de ingang van een server of client-programma (als het in eerste instantie wordt verstrekt), of om port forwarding te gebruiken op de router. Maar zelfs in het geval van verandering van de poort 22, de standaard, om dezelfde 443e, moge duidelijk zijn dat een dergelijke regeling werkt niet altijd, maar alleen in het geval van het installeren van dezelfde add-in Jabber (andere analogen kunnen en hun respectieve poorten te activeren, deze verschilt van de standaard). Daarnaast moet bijzondere aandacht worden besteed parametrering SSH-client, die rechtstreeks samenwerken met de SSH-server, als het echt wordt verondersteld om de huidige verbinding te gebruiken.

Voor de rest, als de port forwarding aanvankelijk niet is voorzien (hoewel het wenselijk om dergelijke acties uit te voeren is), en opties voor toegang via SSH, kun je niet veranderen. Er problemen bij het maken van een verbinding en het verdere gebruik, in het algemeen, is niet te verwachten (tenzij, natuurlijk, zal niet worden handmatig gebruikt configureren van de configuratie-server based en client). De meest voorkomende uitzonderingen op de creatie van de regels op de router stelt u in staat om eventuele problemen te verhelpen of te voorkomen.