87 Shares 9407 views

Jak skonfigurować i używać portu SSH? Krok po kroku

Secure Shell, lub w skrócie SSH, jest to jeden z najbardziej zaawansowanych technologii ochrony danych w przekazie. Zastosowanie takiego systemu na tym samym routerze pozwala nie tylko poufność przesyłanych informacji, ale również do przyspieszenia wymiany pakietów. Nie każdy jednak wie, ile otworzyć port SSH, i dlaczego to wszystko jest konieczne. W tym przypadku konieczne jest, aby dać konstruktywne wyjaśnienie.

Port SSH: co to jest i dlaczego potrzebujemy?

Ponieważ mówimy o bezpieczeństwie, w tym przypadku, na podstawie portu SSH należy rozumieć dedykowany kanał w postaci tunelu, który zapewnia szyfrowanie danych.

Najbardziej prymitywny schemat tego tunelu jest otwarty port SSH domyślnie używany jest do szyfrowania danych u źródła i deszyfrowania na końcowym. Można to wytłumaczyć w następujący sposób: czy ci się to podoba czy nie, przekazywane ruchu, w przeciwieństwie do IPSec szyfrowane pod przymusem i zaciskiem wyjściowym sieci, a po stronie odbiorczej wejściem. Aby odszyfrować informacje przekazane na tym kanale, terminal odbiorczy używa specjalnego klucza. Innymi słowy, aby interweniować w transferze lub zagrozić integralności przesyłanych danych w tej chwili nie można bez klucza.

Tylko otwarcie portu SSH na dowolnym routerem lub za pomocą odpowiednich ustawień dodatkowego klienta oddziałuje bezpośrednio z serwerem SSH, pozwala w pełni wykorzystać wszystkie funkcje nowoczesnych systemów bezpieczeństwa sieci. Jesteśmy tutaj, w jaki sposób korzystać z portu, który jest przypisany przez domyślnych lub niestandardowych ustawień. Te parametry w aplikacji może wyglądać trudne, ale bez zrozumienia organizacji takiego połączenia nie jest wystarczające.

Standardowy port SSH

Jeśli rzeczywiście, na podstawie parametrów dowolnego routera należy najpierw ustalić kolejność, jakie oprogramowanie będzie wykorzystywane do aktywowania ten link. W rzeczywistości, domyślny port SSH może mieć różne ustawienia. Wszystko zależy od tego, jaka metoda jest stosowana w danym momencie (bezpośrednie połączenie z serwerem, instalowania dodatkowego przekierowania portów klient i tak dalej. D.).

Na przykład, jeśli klient wykorzystywane Jabber dla poprawnych połączeń, szyfrowanie i Port transferu danych 443 ma być stosowany, chociaż ucieleśnieniem jest w standardowy port 22.

Aby zresetować router do przydziału dla danego programu lub przetwarzać niezbędne warunki muszą wykonać Port Forwarding SSH. Co to jest? To jest cel danego dostęp do jednego programu, który korzysta z połączenia internetowego, niezależnie od tego, które ustawienie jest obecne wymiany protokół danych (IPv4 lub IPv6).

uzasadnienie techniczne

Standardowy port SSH 22 nie jest używany zawsze, jak to było już jasne. Jednak tutaj trzeba przeznaczyć niektóre z cech i ustawień używanych podczas instalacji.

Dlaczego szyfrowany protokół poufność danych wiąże się z wykorzystaniem SSH jako czysto zewnętrznej (gość) portu użytkownika? Ale tylko dlatego, że tunelowanie jest stosowana umożliwia korzystanie z tzw zdalnego shell (SSH), aby uzyskać dostęp do zarządzania zdalnego terminala poprzez login (szalogować) i zastosować procedurę kopiowania zdalnego (SCP).

Ponadto, SSH-port może być aktywowana w przypadku, gdy użytkownik jest niezbędne do wykonywania zdalnych skryptów X Windows, który w najprostszym przypadku jest przekazywanie informacji z jednego komputera do drugiego, jak już zostało powiedziane, z wymuszonym szyfrowaniem danych. W takich sytuacjach najbardziej konieczne będzie zastosowana w oparciu o algorytm AES. Jest to symetryczny algorytm szyfrowania, który został pierwotnie przewidziane w technologii SSH. I używać go nie tylko możliwe, ale konieczne.

Historia realizacji

Technologia pojawił się przez długi czas. Pozostawmy na boku kwestię, jak zrobić lukier portu SSH, a skupić się na jak to wszystko działa.

Zazwyczaj sprowadza się to do, aby korzystać z serwera proxy na podstawie Skarpety lub użyć tunelowania VPN. W przypadku niektórych aplikacja może pracować z VPN, lepiej wybrać tę opcję. Fakt, że używają niemal wszystkie znane programy dzisiaj ruch internetowy, VPN mogą pracować, ale konfiguracja nie jest łatwo routingu. To, podobnie jak w przypadku serwerów proxy, pozwala na opuszczenie adresu zewnętrznego terminala, z którego aktualnie produkowanej w sieci wyjściowej, nierozpoznany. Tak jest w przypadku z adresu proxy ciągle się zmienia, a wersja VPN pozostaje niezmieniona z utrwalenia pewnego regionu, innego niż to, w którym istnieje zakaz dostępu.

Ta sama technologia, która oferuje portu SSH, został opracowany w 1995 roku w University of Technology w Finlandii (SSH-1). W 1996 roku, ulepszenia, które zostały dodane w postaci SSH-2 protokołu, który był dość rozpowszechniony w przestrzeni poradzieckiej, chociaż do tego, a także w niektórych krajach Europy Zachodniej, jest czasami konieczne, aby uzyskać pozwolenie na używanie tego tunelu, a od agencji rządowych.

Główną zaletą otwarcia SSH-portowy, w przeciwieństwie do telnet lub rlogin, jest stosowanie podpisów cyfrowych RSA lub DSA (z użyciem pary otwarte i pochowany klucz). Ponadto, w tej sytuacji można użyć tzw klucza sesji w oparciu o algorytm Diffie-Hellmana, który obejmuje korzystanie z szyfrowania symetrycznego wyjścia, chociaż nie wyklucza wykorzystania algorytmów szyfrowania asymetrycznego podczas transmisji i odbioru danych przez inne urządzenia.

Serwery i powłoki

W systemie Windows lub Linux SSH-Port otwarty nie jest tak trudne. Jedyne pytanie, jakie narzędzia do tego celu zostaną wykorzystane.

W tym sensie jest to konieczne, aby zwrócić uwagę na kwestię przekazywania informacji i uwierzytelniania. Po pierwsze, sam protokół jest dostatecznie chronione tzw wąchania, który jest najbardziej zwykle „podsłuch” ruchu. SSH-1 okazał się podatny na ataki. Zakłócenia w procesie przesyłania danych w postaci schematu „man in the middle” miała swoje wyniki. Informacja może po prostu przechwycić i rozszyfrować dość elementarny. Ale druga wersja (SSH-2) jest odporny na tego rodzaju interwencji, znany jako przechwycenia sesji, dzięki co jest najbardziej popularne.

zakazuje bezpieczeństwa

Jeśli chodzi o bezpieczeństwo w odniesieniu do przesyłanych i odbieranych danych, organizację połączeń utworzonych przy użyciu takiej technologii pozwala uniknąć następujące problemy:

  • klucz identyfikacyjny dla gospodarza na etapie transmisji, gdy karta „snapshot» odcisków palców;
  • Wsparcie dla systemów Windows i UNIX, takich jak;
  • Zmiana adresów IP i DNS (sfałszowanie);
  • przechwytując otwarty hasło z fizycznym dostępem do kanału danych.

Właściwie cała organizacja takiego systemu jest zbudowany na zasadzie „klient-serwer”, czyli przede wszystkim komputerze użytkownika za pomocą specjalnego programu lub dodatek połączeń do serwera, który wytwarza odpowiednie przekierowanie.

tunelowanie

Jest rzeczą oczywistą, że realizacja połączenia tego typu w specjalny sterownik musi być zainstalowany w systemie.

Zazwyczaj w systemach opartych na systemie Windows jest wbudowany w sterownik powłoki programu Microsoft Teredo, która jest swego rodzaju wirtualnym pomocą emulacji IPv6 w sieciach obsługujących tylko IPv4. Domyślnym tunel karta jest aktywna. W przypadku awarii związanej z nim, można po prostu zrobić restart systemu lub wykonać zamknięcie i ponowne uruchomienie polecenia z konsoli poleceń. Aby wyłączyć te linie są stosowane:

  • netsh;
  • Interfejs stan zestaw teredo wyłączona;
  • interfejs ISATAP ustawić stan wyłączony.

Po wpisaniu polecenia należy ponownie uruchomić. Aby ponownie włączyć zasilacz i sprawdzić stan wyłączony zamiast włączoną zezwolenia rejestrach, po czym znowu należy ponownie uruchomić cały system.

Serwer SSH

Teraz zobaczmy jak port SSH jest stosowany jako rdzeń, począwszy od programu „klient-serwer”. Domyślnym jest zwykle stosowany 22 minut do portu, ale, jak wspomniano powyżej, mogą być używane i 443-cie. Pytanie tylko w preferencji samego serwera.

Najczęstszymi SSH serwery uważany jest następujące:

  • dla systemu Windows: Tectia serwer SSH, OpenSSH z Cygwin, MobaSSH, KpyM Telnet / SSH Server WinSSHD, copssh, freeSSHd;
  • FreeBSD: OpenSSH;
  • dla Linux: Tectia SSH Server, ssh, openssh-server, LSH-serwer, dropbear.

Wszystkie serwery są wolne. Można jednak znaleźć i płatne usługi, które zapewniają jeszcze wyższy poziom bezpieczeństwa, który jest niezbędny dla organizacji dostępu do sieci i bezpieczeństwo informacji w przedsiębiorstwach. Koszt takich usług nie są omawiane. Ale ogólnie rzecz biorąc można powiedzieć, że jest to stosunkowo niedrogie, nawet w porównaniu z instalacji specjalnego oprogramowania lub „hardware” firewall.

SSH-client

Zmiana portu SSH może być dokonana na podstawie programu klienckiego lub odpowiednich ustawień podczas przekierowania portów na routerze.

Jednakże, jeśli dotykać powłoki klienta, następujące produkty programowe mogą być wykorzystywane do różnych systemów:

  • Windows – SecureCRT, PuTTY Kitty, Axessh, ShellGuard, SSHWindows, ZOC, xShell, ProSSHD itp..
  • Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
  • Linux i BSD: LSH-client, kdessh, OpenSSH-client, Vinagre, szpachlówki.

Uwierzytelnianie jest oparte na kluczu publicznym i zmienić port

Teraz kilka słów o tym, jak weryfikacja i konfigurowania serwera. W najprostszym przypadku, należy użyć pliku konfiguracyjnego (sshd_config). Jednakże, można to zrobić bez niego, na przykład, w przypadku programów takich jak PuTTY. Zmiana portu SSH od wartości domyślnej (22) do wszelkich innych jest zupełnie elementarny.

Najważniejsze – aby otworzyć numer portu nie przekracza wartości 65535 (wyższy porty po prostu nie istnieją w naturze). Ponadto, należy zwrócić uwagę na kilka otwartych portów domyślnie, które mogą być wykorzystywane przez klientów, takich jak bazy danych MySQL lub ftpd. Jeśli podasz je do konfiguracji SSH, oczywiście, po prostu przestać działać.

Warto zauważyć, że ten sam klient Jabbera musi być uruchomiony w tym samym środowisku używając ssh-serwer, na przykład na maszynie wirtualnej. I najbardziej serwer localhost będzie trzeba przypisać wartość do 4430 (zamiast 443, jak wspomniano powyżej). Ta konfiguracja może być stosowany, gdy dostęp do głównego jabber.example.com plików blokowane przez zaporę.

Z drugiej strony, porty transferu może być na routerze przy użyciu konfiguracji interfejsu z tworzenia wyjątków od reguł. W większości modeli wejście poprzez adresy wejściowych począwszy 192.168 uzupełnionej 0,1 lub 1,1, ale routery łączące możliwości modemy ADSL jak Mikrotik, adres końcowy polega na wykorzystaniu 88,1.

W tym przypadku, należy utworzyć nową regułę, a następnie ustawić odpowiednie parametry, na przykład, aby zainstalować podłączenie zewnętrznego dst-nat, a także ręcznie przepisane porty nie są na podstawie ogólnych ustawieniach oraz w sekcji preferencji aktywizm (Działanie). Nic zbyt skomplikowane tutaj. Najważniejsze – aby określić wymagane wartości ustawień i ustawić odpowiedni port. Domyślnie można użyć portu 22, ale jeśli klient używa specjalnego (niektóre z wyżej dla różnych systemów), wartość może być zmieniana dowolnie, ale tylko dlatego, że ten parametr nie przekracza deklarowanej wartości, powyżej której numery portów nie są po prostu dostępne.

Po skonfigurowaniu połączenia również należy zwrócić uwagę na parametry programu klienckiego. Równie dobrze może być to, że w jej ustawieniach trzeba określić minimalną długość klucza (512), choć domyślny jest zwykle ustawiony 768. Pożądane jest również, aby ustawić limit czasu, aby zalogować się na poziomie 600 sekund i zgody zdalnego dostępu z uprawnieniami administratora. Po zastosowaniu tych ustawień, należy również zezwolić na stosowanie wszystkich praw uwierzytelniania, inne niż te oparte na wykorzystaniu .rhost (ale jest to konieczne tylko dla administratorów systemu).

Między innymi, jeśli nazwa użytkownika zarejestrowany w systemie, nie taki sam jak wprowadzony w tej chwili, to musi być określony jawnie przy użyciu polecenia głównego ssh użytkownik z wprowadzeniem dodatkowych parametrów (dla tych, którzy rozumieją, o co chodzi).

Zespół ~ / .ssh / id_dsa mogą być wykorzystane do przekształcenia klucz i metody szyfrowania (lub RSA). Aby utworzyć klucz publiczny używany przez konwersję za pomocą wiersza ~ / .ssh / identity.pub (ale niekoniecznie). Jednak, jak pokazuje praktyka, najprostszym sposobem użycia polecenia jak ssh-keygen. Oto istota problemu jest ograniczona tylko do faktu, aby dodać klucz do dostępnych narzędzi uwierzytelniania (~ / .ssh / authorized_keys).

Ale posunęliśmy się za daleko. Jeśli wrócić do kwestii ustawienia portu SSH, jak było jasne zmiana portu SSH nie jest tak trudne. Jednak w niektórych sytuacjach, jak mówią, będzie musiał się pocić, ponieważ należy wziąć pod uwagę wszystkie wartości kluczowych parametrów. Reszta kwestii konfiguracji sprowadza się do wejścia do dowolnego programu serwera lub klienta (jeśli jest to przewidziane początkowo), lub użyć przekierowania portów na routerze. Ale nawet w przypadku zmiany portu 22, domyślny, aby tym samym 443. Należy rozumieć, że taki system nie zawsze działa, ale tylko w przypadku instalowania tego samego dodatku w Jabbera (inne analogi mogą aktywować i ich odpowiednie porty, różni się on od wzorca). Ponadto, szczególną uwagę należy zwrócić na ustawienie ssh-klient, który będzie bezpośrednio oddziaływać z serwerem SSH, jeśli jest to naprawdę powinien używać aktualnego połączenia parametr.

Co do reszty, jeśli port forwarding nie jest przewidziane początkowo (choć pożądane jest przeprowadzenie takich działań), ustawienia i opcje dostępu przez SSH, nie można zmienić. Jakieś problemy podczas nawiązywania połączenia, i jej dalszego wykorzystania, w ogóle, nie należy się spodziewać (o ile, oczywiście, nie będzie używany ręcznie skonfigurować serwer opartej konfiguracji i klienta). Najczęstszymi wyjątki od zasad dotyczących tworzenia routera pozwala skorygować ewentualne problemy lub ich uniknąć.