Kako konfigurirati i koristiti SSH port? Korak po korak vodič

Secure Shell, ili skraćeno SSH, to je jedan od najnaprednijih tehnologija za zaštitu podataka u prenosu. Korištenje takvog režima na istoj ruter omogućuje ne samo tajnost podataka koji se prenose, ali i da se ubrza razmjena paketa. Međutim, nisu svi znaju koliko je za otvaranje SSH port, i zašto sve to je potrebno. U tom slučaju potrebno je dati konstruktivan objašnjenje.

Port SSH: šta je to i zašto nam treba?

S obzirom da se radi o sigurnosti, u ovom slučaju, pod SSH port treba shvatiti posvećen kanal u obliku tunela, koji pruža enkripciju podataka.

Najprimitivniji shema ovaj tunel je da otvoreni SSH-port se koristi po defaultu za enkripciju podataka na izvoru i dešifriranje na krajnje. To se može objasniti na sljedeći način: da li se to ili ne, prenose u saobraćaju, za razliku od IPSec, šifrovane pod prinudom i izlazni terminal mreže, a na prijemnoj strani od ulaza. Da dešifruje informacije koje se prenose na ovom kanalu, terminal prima koristi poseban ključ. Drugim riječima, da interveniše u transferu ili ugroziti integritet prenose podatke u ovom trenutku ne može se bez ključa.

Samo otvaranje SSH-porta na bilo koji ruter ili pomoću odgovarajuće postavke dodatnih klijent komunicira direktno sa SSH server, omogućuje vam da u potpunosti koristiti sve funkcije modernih sigurnosnih mrežnih sistema. Mi smo ovdje o tome kako koristiti port koji je dodijeljen po defaultu ili prilagođene postavke. Ovi parametri u aplikaciji može izgledati teško, ali bez razumijevanja organizacije veze takva nije dovoljno.

Standard SSH port

Ako je, zaista, na osnovu parametara bilo rutera treba prvo odrediti poredak, kakav softver će se koristiti za aktiviranje ovom linku. U stvari, SSH port može imati različite postavke. Sve ovisi o tome što metoda se koristi u ovom trenutku (direktna veza sa serverom, instaliranjem dodatnih klijent port forwarding i tako dalje. D.).

Na primjer, ako je klijent koristi Jabber, za pravilan veze, enkripciju, i prenos podataka port 443 se koristi, iako je utjelovljenje je postavljen u standardnom port 22.

Za resetovanje ruter na izdvajanja za određeni program ili obraditi potrebne uvjete da se izvrši port forwarding SSH. Šta je to? To je svrha određenog pristupa na jedan program koji koristi internet vezu, bez obzira na to što postavka je trenutni protokol razmjene podataka (IPv4 ili IPv6).

tehnički opravdanje

Standard SSH port 22 nije uvijek koristi kao što je već bilo jasno. Međutim, ovdje je potrebno izdvojiti neke od karakteristika i postavke koje se koriste za vrijeme podešavanja.

Zašto šifrirane protokol tajnost podataka uključuje upotrebu SSH kao čisto vanjski (gost) korisnički luku? Ali samo zato što se primjenjuje tuneliranja omogućava korištenje tzv ljusci (SSH), da dobije pristup do terminala za upravljanje putem daljinskog prijava (slogin), i primijeniti daljinski postupak kopiranja (scp).

Osim toga, SSH port se može aktivirati u slučaju kada je potrebno da korisnik izvrši daljinski skripte X Windows, koji je u najjednostavnijem slučaju je prenos informacija od jedne mašine na drugu, kao što je rečeno, sa enkripcijom prisiljen podataka. U takvim situacijama, najpotrebnije će koristiti na osnovu AES algoritma. Ovo je simetrična enkripcija algoritam, koji je prvobitno predviđeno SSH tehnologije. I koristiti ne samo moguće, ali je potrebno.

Istorija realizacije

Ova tehnologija se pojavila dugo. Ostavimo po strani pitanje kako napraviti šlag SSH port, i fokusirati se na to kako sve to funkcioniše.

Obično se sve svodi na, za korištenje proxy na osnovu čarape ili koristite VPN tuneliranje. U slučaju da neki softver aplikacija može raditi s VPN, bolje da izaberete ovu opciju. Činjenica da su gotovo sve poznate programe danas koriste Internet saobraćaja, VPN može raditi, ali se lako usmjeravanje konfiguracija nije. To je, kao što je slučaj proxy servera, omogućava da napusti vanjski adresu terminala od kojih trenutno proizvodi u izlaz iz mreže nepriznata. To je slučaj i sa proxy adresa je uvijek mijenja i VPN verzija ostaje nepromijenjen sa fiksacija određene regije, osim one u kojoj je zabrana pristupa.

Isti tehnologija koja nudi SSH port, razvijen je u 1995. godine u University of Technology u Finskoj (SSH-1). 1996. godine, poboljšanja su dodani u obliku SSH-2 protokol, što je bilo prilično raširena u post-sovjetskom prostoru, iako je za to, kao iu nekim zemljama zapadne Evrope, ponekad je potrebno pribaviti dozvolu da koristite ovaj tunel, i od vladine agencije.

Glavna prednost otvaranja SSH port, za razliku od telnet ili rlogin, je upotreba digitalnih potpisa RSA ili DSA (upotreba par otvorenih i sahranjen ključ). Osim toga, u ovoj situaciji možete koristiti takozvani sesije ključ na osnovu Diffie-Hellman algoritam, koji uključuje upotrebu simetrični izlaz enkripcije, iako ne isključuje upotrebu asimetričnih algoritama enkripcije tokom prenosa podataka i prijem drugog uređaja.

Serveri i školjki

Na Windows ili Linux SSH port otvoren i nije tako teško. Pitanje je samo, kakva alata za tu svrhu će se koristiti.

U tom smislu potrebno je obratiti pažnju na pitanje prenošenja informacija i provjere autentičnosti. Prvo, sam protokol je dovoljno zaštićen od strane tzv njuškanja, što je najčešći "prisluškivanje" saobraćaja. SSH-1 pokazao se ranjiv na napade. Smetnje u procesu prenosa podataka u obliku šema "čovjek u sredini" je imao svoje rezultate. Informacije se jednostavno presresti i dešifrirati prilično osnovnih. Ali druga verzija (SSH-2) je bio imun na ovu vrstu intervencije, poznat kao sjednica otmice, hvala na ono što je najpopularniji.

zabranjuje sigurnost

Što se tiče sigurnosti u odnosu na odašilje i prima podatke, organizacija veze uspostavljene uz korištenje takvih tehnologija omogućava izbjeći sljedeće probleme:

• identifikacija ključ domaćina na korak prenosa, kada je "snapshot» otisak prsta;
• Podrška za Windows i UNIX-like sustavima;
• supstitucija IP i DNS adrese (spoofing);
• presretanje otvoren lozinku s fizički pristup podatkovnom kanalu.

Zapravo, cijela organizacija takvog sistema je izgrađen na principu "klijent-server", koja je, prije svega računaru korisnika kroz poseban program ili dodati-u pozivima na server, koji proizvodi odgovarajući preusmjeravanje.

tuneliranje

Ne treba ni spominjati da je implementacija veze ove vrste na poseban vozač mora biti instaliran na sistemu.

Tipično, u sistemima Windows baziranih je ugrađen u program shell vozač Microsoft Teredo, što je neka vrsta virtualne emulacije putem IPv6 u mreže koje podržavaju samo IPv4. Tunel default adapter je aktivan. U slučaju kvara u vezi s njim, možete samo napraviti ponovno pokretanje sistema ili izvršiti isključivanje i ponovno pokretanje naredbe iz komandne konzole. Da biste deaktivirali takve linije se koriste:

• netsh;
• sučelje Teredo skup država isključena;
• sučelje isatap postavljen države onemogućen.

Nakon ulaska u komandu treba pokrenuti. Da biste ponovo omogućili adapter i provjerite status invalida umjesto omogućen registara dozvolu, nakon čega opet, treba ponovno pokrenuti cijeli sistem.

SSH server

Da vidimo kako se SSH port koji se koristi kao jezgra, počevši od šeme "klijent-server". Default se obično primjenjuje u 22. minuti port, ali, kao što je gore navedeno, može se koristiti i 443.. Jedino pitanje u prednost samog servera.

Najčešći SSH-servera se smatra sljedeće:

• za Windows: Tectia SSH Server, OpenSSH s Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd;
• za FreeBSD: OpenSSH;
• za Linux: Tectia SSH Server, ssh, OpenSSH-server, LSH-server, dropbear.

Svi serveri su besplatni. Međutim, možete pronaći i plaćene usluge koje pružaju još veći nivo sigurnosti, što je ključno za organizaciju pristupne mreže i informacijske sigurnosti u preduzećima. Troškovi tih usluga se ne raspravlja. Ali generalno možemo reći da je relativno jeftin, čak iu odnosu na instalaciju posebnog softvera ili "hardvera" firewall.

SSH klijent

Promijeni SSH port može se vršiti na osnovu programa klijenta ili odgovarajuće postavke kada port forwarding na ruteru.

Međutim, ako dodirnete klijent ljuske, sljedeće softverskih proizvoda mogu se koristiti za različite sisteme:

• Windows - SecureCRT, PuTTI \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD itd..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux i BSD: LSH-klijent, kdessh, OpenSSH klijent, Vinagre, kit.

Autentifikaciju se temelji na javni ključ, i promijeniti port

Sada nekoliko riječi o tome kako verifikaciju i postavljanje servera. U najjednostavnijem slučaju, morate koristiti konfiguracijsku datoteku (sshd_config). Međutim, to možete učiniti bez njega, na primjer, u slučaju programa kao što kitom. Promijeni SSH port iz zadana vrijednost (22) na bilo koju drugu potpuno osnovno.

Glavna stvar - da otvorite broj porta ne prelazi vrijednost 65535 (veći portovi jednostavno ne postoje u prirodi). Osim toga, treba obratiti pažnju na neke otvorene portove po defaultu, koji se može koristiti od strane klijenata kao što su MySQL ili FTPd baze podataka. Ako ih navedete za konfiguraciju SSH, naravno, oni samo prestati sa radom.

Potrebno je napomenuti da se isti Jabber klijent mora biti pokrenut u istom okruženju koristeći SSH server, na primjer, na virtualni stroj. I većina servera localhost će morati dodijeliti vrijednost 4430 (umjesto 443, kao što je pomenuto). Ova konfiguracija se može koristiti kada pristup glavnom datoteku jabber.example.com blokira firewall.

S druge strane, u lukama transfer može biti na ruter koristeći konfiguraciju svog interfejs sa stvaranjem izuzetke od pravila. U većini modela ulaz preko ulazne adrese počinju sa 192.168 dopunjen sa 0.1 ili 1.1, ali rutera kombinirajući mogućnosti ADSL-modema kao Mikrotik, kraj adresu uključuje upotrebu 88,1.

U ovom slučaju, stvoriti novo pravilo, a zatim postavite potrebne parametre, na primjer, da biste instalirali vanjski priključak DST-nat, kao i ručno propisane portovi nisu pod opšte postavke iu odjeljku aktivizma preferencija (Akcija). Ništa previše komplicirano ovdje. Glavna stvar - da odredite potrebne vrijednosti postavke, i postaviti odgovarajući port. Po defaultu, možete koristiti port 22, ali ako kupac koristi poseban (neke od gore navedenih za različite sisteme), vrijednost se može proizvoljno mijenjati, ali samo tako da ovaj parametar ne prelazi deklarirane vrijednosti, iznad kojeg brojevi portova jednostavno nisu dostupni.

Kada podesite veze također treba obratiti pažnju na parametre programa klijenta. Može biti da u njegovoj konfiguraciji moraju odrediti minimalnu dužinu od ključnih (512), iako je default se obično nalazi 768. Također je poželjno da postavite vremensko ograničenje za prijavu na nivou 600 sekundi i dozvole daljinski pristup sa root prava. Nakon nanošenja ove postavke, potrebno je da se omogući korištenje svih prava autentifikacije, osim onih koje su zasnovane na upotrebi .rhost (ali je potrebno samo administratorima sistem).

Između ostalog, ako korisnik ime upisano u sistemu, nije isto što i uvedena u ovom trenutku, to mora biti navedeno izričito pomoću glavne komande korisnik ssh sa uvođenjem dodatnih parametara (za one koji razumiju šta je u pitanju).

Tima ~ / .ssh / id_dsa se može koristiti za transformaciju ključ i metode enkripcije (ili RSA). Za kreiranje javnog ključa koji se koristi od strane konverzije koristi liniju ~ / .ssh / identity.pub (ali ne nužno). Ali, kao što praksa pokazuje, najlakši način da koriste komande kao ssh-keygen. Ovdje je suština problema se svodi samo na to, da biste dodali ključ dostupni alati za autentifikaciju (~ / .ssh / authorized_keys).

Ali mi smo otišli predaleko. Ako se vratimo na pitanje podešavanja luke SSH, kao što je bio jasan promjene SSH port nije tako teško. Međutim, u nekim situacijama, kažu, morati da se znoje, jer je potreba da se uzmu u obzir sve vrijednosti ključnih parametara. Ostatak pitanje konfiguracije svodi na ulazu u bilo kojem serveru ili klijent program (ako je inicijalno predviđeno), ili da koristite port forwarding na ruteru. Ali čak iu slučaju promjene luke 22, default, u istom 443., treba jasno shvatiti da takav program ne ne mora uvijek raditi, ali samo u slučaju instaliranja istog dodatka Jabber (drugi analoga mogu da aktiviraju i njihove luke, ona se razlikuje od standardne). Osim toga, posebnu pažnju treba posvetiti parametriranje SSH klijenta, što će direktno komunicirati sa SSH-server, ako je stvarno trebalo da koriste trenutnu vezu.

Što se tiče ostatka, ako prosljeđivanje porta nije predviđeno na početku (iako je poželjno da obavlja takve radnje), postavke i opcije za pristup preko SSH, ne možete promijeniti. Postoje problemi prilikom izrade veze, i njegovu upotrebu, generalno, ne očekuje se (osim, naravno, neće koristiti ručno konfigurirati konfiguraciju server-based i klijent). Najčešći izuzeci za stvaranje pravila o rutera vam omogućava da ispravi sve probleme ili ih izbjeći.