Kako konfigurirati i koristiti SSH port? Korak po korak

Secure Shell, ili skraćeno SSH, jedna je od najnaprednijih tehnologija za zaštitu podataka za prijenos. Upotreba ovog načina rada na istom usmjerivaču osigurava ne samo povjerljivost prenesenih podataka, već i brzinu razmjene paketa. Istina, ne svatko zna kako otvoriti luku SSH i zašto je sve to potrebno. U ovom slučaju potrebno je dati konstruktivno objašnjenje.

SSH Port: Što je to i zašto?

Što se tiče sigurnosti, u ovom slučaju SSH luka treba shvatiti kao posvećeni komunikacijski kanal u obliku tunela koji omogućuje enkripciju podataka.

Najprimitivnije sheme ove tunelske operacije je da se otvorena SSH priključak koristi prema zadanim postavkama za šifriranje podataka u izvoru i dekriptiranje na krajnjoj točki. Da biste to pojasnili, možete to učiniti: želite li to ili ne, prenosi se promet, za razliku od IPSec, prisilno šifriran i na izlazu jednog mrežnog terminala, a na ulazu primatelja. Za dekriptiranje informacija koje se prenose na ovom kanalu, prijemni terminal koristi posebni ključ. Drugim riječima, nitko ne može ometati prijenos ili ometati integritet prenesenih podataka u trenutnom trenutku bez ključa.

Samo otvaranje SSH portova na bilo kojem ruteru ili korištenjem odgovarajućih postavki dodatnog klijenta koji komunicira s SSH poslužiteljem izravno vam omogućuje da iskoristite sve prednosti svih sigurnosnih značajki suvremenih mreža. Radi se o upotrebi zadanog priključka ili prilagođenih postavki. Ovi parametri u aplikaciji mogu izgledati vrlo teško, ali bez razumijevanja organizacije takve veze je neophodno.

Standardna SSH priključak

Ako stvarno napredujete od parametara bilo kojeg usmjerivača, najprije morate odrediti koji će se softver koristiti za aktiviranje ovog komunikacijskog kanala. Zapravo, zadani SSH port može imati različite postavke. Sve ovisi o tome koja se metoda koristi u ovom trenutku (izravna veza s poslužiteljem, instalacija dodatnog klijenta, prosljeđivanje luka itd.).

Na primjer, ako se Jabber koristi kao klijent, priključak 443 treba koristiti za pravilnu vezu, šifriranje i prijenos podataka, iako je priključak 22 instaliran u standardnu verziju.

Kako bi rekonfigurirali usmjerivač uz odabir potrebnih uvjeta za određeni program ili proces, morat ćete izvršiti prosljeđivanje SSH portova . Što je to? To je svrha određenog pristupa za jedan program koji koristi internetsku vezu, bez obzira na postavke trenutnog komunikacijskog protokola (IPv4 ili IPv6).

Tehnički razlozi

Kao što možete vidjeti, standardna SSH 22 priključnica se ne koristi uvijek. Međutim, ovdje morate istaknuti neke karakteristike i parametre koji se koriste u konfiguraciji.

Zašto povjerljivost šifriranog prijenosa podataka uključuje korištenje SSH protokola kao isključivo vanjske (gost) korisničke priključke? To je samo zato što se koristi tuneliranje koje vam omogućuje da koristite tzv. Daljinsku ljusku (SSH), da biste pristupili upravljanju terminalima putem daljinskog prijavljivanja (slogina) i koristiti postupke daljinskog kopiranja (scp).

Osim toga, SSH port se također može koristiti kada korisnik treba izvesti daljinske X Windows skripte, što je u najjednostavnijem slučaju prijenos podataka s jednog stroja na drugi, kao što je već spomenuto, s prisilnim šifriranjem podataka. U takvim situacijama bitno je korištenje algoritama na temelju AES-a. Ovo je simetrični algoritam šifriranja, koji je izvorno predviđen u SSH tehnologiji. I ne samo je moguće upotrijebiti, ali je također neophodno.

Povijest implementacije

Tehnologija se pojavila davno. Ostavimo pitanje kako napraviti prosljeđivanje SSH luka, ali zaustavljamo se kako to funkcionira.

Obično se svodi na korištenje proxyja na temelju čarapa ili VPN tuneliranja. U slučaju da bilo koja softverska aplikacija može raditi s VPN-om, bolje je da odaberete ovu opciju. Činjenica je da gotovo svi trenutno poznati programi koji koriste internetski promet mogu raditi s VPN-om, a konfiguracija usmjeravanja ne ulaže puno napora. To, kao u slučaju proxy poslužitelja, omogućuje vam da ostavite vanjsku adresu terminala, koja se trenutno pristupa mreži, koja nije prepoznata. To jest, u slučaju proxyja, adresa se stalno mijenja, a inačici VPN-a ostaje nepromijenjena s fiksiranjem određene regije različitog od onoga gdje zabrana pristupa funkcionira.

Sama tehnologija, kada je SSH otvoren, razvijen je još 1995. godine na Tehnološkom sveučilištu u Finskoj (SSH-1). U 1996. godini dodano je poboljšanje oblika SSH-2 protokola, koji je postao vrlo rasprostranjen u post-sovjetskom prostoru, iako za to, kao iu nekim zemljama Zapadne Europe, ponekad je potrebno dobiti dozvolu za korištenje takvog tunela i vladinih agencija.

Glavna prednost otvaranja SSH portova, za razliku od telnet ili rlogin, je uporaba digitalnog potpisa RSA ili DSA (upotreba para u obliku otvorenog i zakopanog ključa). Osim toga, u ovoj situaciji može koristiti takozvani ključ za sesije na temelju algoritma Diffie-Hellman, što podrazumijeva korištenje simetričnog šifriranja na izlazu, iako ne isključuje uporabu asimetričnih algoritama za šifriranje u procesu prijenosa i primanja podataka od strane drugog stroja.

Poslužitelji i školjke

U sustavu Windows ili Linux, SSH port nije tako teško otvoriti . Jedino je pitanje koje će alatke koristiti za to.

U tom smislu morate obratiti pažnju na pitanje prijenosa podataka i autentifikacije. Prvo, sam protokol je dovoljno zaštićen od tzv. Sniffing, što je najčešći "prisluškivanje" prometa. SSH-1 je prije napada bio bespomoćan. Interferencija u procesu prijenosa podataka u obliku "čovjeka u sredini" je imala svoje rezultate. Informacije se jednostavno mogu presresti i dešifrirati jednostavno. Ali druga verzija (SSH-2) bila je osigurana protiv ove vrste intervencije, nazvane otmice sesija, što je učinilo najčešćim.

Zabrana sigurnosti

Što se tiče sigurnosti u vezi s prenesenim i primljenim podacima, organizacija povezanosti stvorena pomoću takvih tehnologija izbjegava pojavu sljedećih problema:

• Određivanje ključa domaćinu u fazi prijenosa, kada se koristi otisak prsta otiska prsta;
• Podrška za Windows i UNIX-slične sustave;
• Zamjena IP i DNS adresa (spoofing);
• Presretanje otvorenih zaporki s fizičkim pristupom kanalu za prijenos podataka.

Zapravo, cijela organizacija takvog sustava izgrađena je na principu "klijent-poslužitelj", odnosno, prije svega, korisničkim računalom pomoću posebnog programa ili dodatnih adresa poslužitelju koji obavlja odgovarajuću preusmjeravanje.

tuneliranje

Neovisno je da se u sustavu mora instalirati poseban upravljački program za implementaciju ove vrste veze.

U pravilu, u sustavima koji se temelje na Windowsu, upravljački program tvrtke Microsoft Teredo ugrađen je u softversku ljusku koja je vrsta virtualnog alata emulacije za IPv6 protokol u mrežama koje podržavaju samo IPv4. Zadani tunel je u aktivnom stanju. U slučaju kvarova koji su povezani s njim možete jednostavno ponovo pokrenuti sustav ili izvršiti shutdown i restart naredbe u naredbi konzoli. Da biste deaktivirali, koriste se sljedeće retke:

• Netscape;
• Sučelje teredo set stanje onemogućeno;
• Sučelje je isključeno.

Nakon ulaska u naredbe morate ponovno pokrenuti. Da biste ponovno omogućili prilagodnik i provjerili njegov status umjesto onemogućen, dopuštenje je omogućeno, nakon čega se cijeli sustav treba ponovno pokrenuti.

SSH poslužitelj

Sada vidimo koji SSH port se koristi kao primarna luka, počevši od sheme "klijent-poslužitelj". Uobičajeno, 22. priključak se koristi prema zadanim postavkama, ali, kao što je već gore navedeno, može koristiti 443. Jedino je pitanje prednost samog poslužitelja.

Najčešći SSH poslužitelji smatraju se sljedećim:

• Za Windows: Tectia SSH poslužitelj, OpenSSH sa Cygwinom, MobaSSH, KpyM Telnet / SSH poslužitelj, WinSSHD, copssh, freeSSHd;
• Za FreeBSD: OpenSSH;
• Za Linux: Tectia SSH poslužitelj, ssh, openssh-server, lsh-server, dropbear.

Svi navedeni poslužitelji su besplatni. Međutim, možete pronaći plaćene usluge, koje karakterizira povećana razina sigurnosti, što je iznimno potrebno za organiziranje pristupa mreži i zaštitu podataka u poduzećima. Trošak takvih usluga sada se ne raspravlja. No, općenito, može se reći da je relativno jeftin, čak i u usporedbi s instaliranjem specijaliziranog softvera ili "željeznog" vatrozida.

SSH klijent

SSH port može se promijeniti na temelju klijentskog programa ili odgovarajućih postavki prilikom usmjeravanja portova na usmjerivač.

Međutim, ako dodirnete klijentske ljuske, sljedeći se softverski proizvodi mogu koristiti za različite sustave:

• Windows - SecureCRT, PuTTY \ KiTTY, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD itd.;
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux i BSD: lsh-klijent, kdessh, openssh-klijent, Vinagre, kit.

Provjera autentičnosti na temelju javnih ključeva i mijenjanje priključka

Sada je nekoliko riječi o načinu provjere i konfiguracije poslužitelja. U najjednostavnijem slučaju, morate koristiti konfiguracijsku datoteku (sshd_config). Međutim, možete to učiniti bez nje, na primjer, u slučaju programa poput PuTTY. Promjena SSH portova iz standardne vrijednosti (22) na bilo koji drugi može biti vrlo elementarna.

Glavna stvar je da broj luka koji se otvara ne prelazi vrijednost 65535 (jednostavno ne postoji luka u prirodi). Osim toga, zadane postavke trebate obratiti pažnju na neke otvorene priključke, koje mogu koristiti klijenti poput MySQL ili FTPD baza podataka. Ako odredite njihovu konfiguraciju za SSH, naravno, oni jednostavno prestanu raditi.

Treba napomenuti da bi isti Jabber klijent trebao raditi u istom okruženju pomoću SSH poslužitelja, na primjer, u virtualnom stroju. A sam poslužitelj localhost morat će dodijeliti vrijednost 4430 (a ne 443, kao što je gore spomenuto). Ova se konfiguracija može koristiti kada vatrozid blokira pristup glavnoj datoteci jabber.example.com.

S druge strane, portove možete prenijeti na sam router, koristeći postavke sučelja za stvaranje pravila o isključivanju za to. Na većini modela, unos je unosom adrese počevši od 192.168 s dodavanjem 0.1 ili 1.1, ali na usmjerivačima koji kombiniraju mogućnosti ADSL modema kao što je Mikrotik, krajnja adresa pretpostavlja korištenje 88.1.

U tom se slučaju stvara novo pravilo, a postavljaju se potrebni parametri, primjerice, za postavljanje vanjske veze dst-nat i ručno dodjeljivanje priključaka koji nisu u odjeljku općih postavki te u odjeljku Postavke akcije. Ovdje nije ništa posebno komplicirano. Glavno je odrediti potrebne postavke i postaviti ispravnu priključnicu. Prema zadanim postavkama možete koristiti priključak 22, ali ako koristite posvećenu klijent (neke od gore navedenih za različite sustave), vrijednost se može mijenjati samovoljno, ali samo tako da taj parametar ne premašuje deklariranu vrijednost iznad kojeg brojevi porta jednostavno nisu odvojeni.

Kada konfigurirate vezu, obratite pažnju i na parametre klijentskog programa. Moguće je da u svojim postavkama treba odrediti minimalnu duljinu ključa (512), iako je prema zadanim postavkama obično postavljena na 768. Također je poželjno postaviti vremensko ograničenje prijave na 600 sekundi i dozvolu za daljinski pristup korištenjem prava korijena. Nakon primjene tih postavki morate također dati dozvolu za upotrebu svih prava autentifikacije, osim onih koji se temelje na korištenju .rhost (ali to je potrebno samo administratorima sustava).

Osim toga, ako se korisničko ime registrirano na sustavu ne podudara s onom koju upravo upisujete, morat ćete ga izričito navesti pomoću korisničke ssh master naredbe s dodatnim parametrima (za one koji razumiju o čemu pričaju).

Naredba ~ / .ssh / id_dsa (ili rsa) može se koristiti za pretvaranje ključa i same metode šifriranja. Da biste stvorili javni ključ, konverzija se vrši pomoću niza ~ / .ssh / identity.pub (ali to nije potrebno). No, kao što pokazuje praksa, najlakše je koristiti naredbe poput ssh-keygen. Ovdje se bit stvari smanjuje samo na dodavanje ključa dostupnim alatima za autorizaciju (~ / .ssh / authorized_keys).

Ali otišli smo predaleko. Ako se vratite na problem postavljanja SSH portova, kao što već znate, promjena SSH portova nije tako teško. Istina, u nekim situacijama, kako kažu, morate znojiti, jer ćete morati uzeti u obzir sve vrijednosti glavnih parametara. U suprotnom, pitanje ugađanja se smanjuje ili na ulazu na poslužitelj ili program klijenta (ako se isporučuje u početku), ili na korištenje prosljeđivanja luka na usmjerivaču. Ali čak i ako se zadani priključak 22 promijeni na isti 443, morate jasno shvatiti da ova shema ne funkcionira uvijek, ali samo ako instalirate isti Jabber dodatak (drugi analogni također mogu koristiti svoje odgovarajuće priključke, Ono se razlikuje od standardnih). Osim toga, posebnu pažnju treba posvetiti postavljanju parametara SSH klijenta, koji će izravno komunicirati sa SSH poslužiteljem, ako je to stvarno trebalo koristiti trenutnu vezu.

U suprotnom, ako se prosljeđivanje ulaza ne pruža u početku (iako je poželjno izvršiti takve radnje), postavke i parametri za SSH pristup ne mogu se mijenjati. Nema posebnih problema prilikom stvaranja veze i njegove daljnje upotrebe, općenito, ne očekuje se (osim ako se, naravno, ručna konfiguracija konfiguracije temelji na poslužitelju i klijentu se koristi). Najčešće stvaranje pravila o iznimkama na usmjerivaču omogućuje vam popravljanje svih problema ili izbjegavanje njihovog pojavljivanja.