Jak skonfigurować i używać portu SSH? Instrukcja krok po kroku

Secure Shell, lub w skrócie SSH, jest jedną z najbardziej zaawansowanych technologii ochrony danych podczas transmisji. Korzystanie z tego trybu na tym samym routerze pozwala zapewnić nie tylko poufność przekazywanych informacji, ale i przyspieszyć wymianę pakietów. To prawda, nie wszyscy wiedzą, jak otworzyć port SSH i po co to wszystko? W tym przypadku trzeba dać konstruktywne wyjaśnienie.

Port SSH: co to jest i po co?

Ponieważ chodzi o bezpieczeństwo, w tym przypadku pod portem SSH należy rozumieć kanał komunikacji w postaci tunelu, zapewniającego szyfrowanie danych.

Najbardziej prymitywna schemat działania takiego tunelu jest to, że odkryty SSH-domyślny port używany do зашифровки informacji w źródle i дешифровке na punkcie końcowym. Wyjaśnić to można tak: chcesz tego czy nie, przesyłany ruch, w przeciwieństwie do protokołu IPSec, są szyfrowane w trybie przymusowym i na wyjściu jednego terminala sieciowego, i na wlocie po stronie hosta. Do odszyfrowania informacji przesyłanych w danym kanale, odbierający terminal wykorzystuje specjalny klucz. Innymi słowy, interweniować w transmisji lub naruszyć integralność przesyłanych danych w tej chwili bez klucza nie może nikt.

Właśnie otwieranie SSH-port na każdym routerze lub za pomocą odpowiednich ustawień dodatkowego klienta współpracującego z SSH serwer bezpośrednio, pozwala w pełni wykorzystać wszystkie możliwości systemu bezpieczeństwa nowoczesnych sieci. Mowa tu o tym, aby korzystać z portu przypisany domyślnie, lub ustawienia użytkownika. Te ustawienia w stosowaniu mogą wyglądać dość trudne, jednak bez zrozumienia organizacji takiego połączenia nie obejdzie.

Standardowy port SSH

Jeśli naprawdę pochodzić z parametrów każdego routera, należy najpierw zdecydować, jakie oprogramowanie będzie wykorzystywane do aktywacji tego kanału komunikacji. W rzeczywistości, port SSH domyślnie może mieć różne ustawienia. Wszystko zależy od tego, jaka metoda jest stosowana w tej chwili (bezpośrednie połączenie z serwerem, instalacja dodatkowego klienta, przekierowanie portów, itp.).

Bardziej:

Co to jest Ethernet – główne zalety internetu-sieci

O tym, co to jest Ethernet, okazało się w latach siedemdziesiątych XX wieku. Wynalazł ten typ sieci lokalnej Robert Metcalfe, który pracował w tym czasie na firmy Xerox. W latach 70-tych Metcalf otworzył własną firmę 3com, gdzie zakończyła się opraco...

UAC: wyłączyć lub ułaskawienie

W odległej już od nas w 2006 roku światowa komputerowa opinia publiczna była wstrząsa wyjściem SYSTEMU Windows Vista. Na nowy system od razu runął niesamowity lawinę negatywnych, powód dla którego nadal zostały.Jednym z nich była opcja UAC, wyłączyć ...

Jak dodać muzykę w iTunes: trzy proste sposoby

Telefony komórkowe kilku lat przekształciliśmy się z zwykłego narzędzia komunikacji w gadżety, które zastępują konsole do gier, książki, wideo i odtwarzaczy audio. A jeśli nie tak dawno muzykę można było po prostu pobrać z witryn internetowych i usta...

Tak więc, na przykład, jeśli jako klient stosuje Jabber, do prawidłowego połączenia, szyfrowania i przesyłania danych powinien być używany port 443, choć w wersji standardowej jest port 22.

Aby ponownie skonfigurować router z zaznaczeniem konkretnego programu lub procesu niezbędnych warunków, będzie musiał wykonać przekierowanie portów SSH. Co to jest? To jest przypisanie określonego dostępu do poszczególnego programu, który korzysta z połączenia Internetowego, niezależnie od tego, jakie ustawienia ma aktualny protokół wymiany danych (IPv4 lub IPv6).

Wykonalność Techniczna

Jak już wiadomo, standardowy port SSH 22 jest nie zawsze. Jednak tu trzeba podkreślić niektóre funkcje i ustawienia używane przy konfiguracji.

Dlaczego poufność transmisji zaszyfrowanych danych polega na wykorzystaniu protokołu SSH w postaci wyłącznie zewnętrznego (obiektu) niestandardowego portu? Tak, tylko dlatego, że stosowane tunelowanie umożliwia korzystanie z tzw. zdalnej powłoki (SSH), uzyskać dostęp do zarządzania terminalem za pomocą zdalnego logowania (slogin), a także stosować procedury zdalnego kopiowania (scp).

Ponadto, SSH-port może być używany również w przypadku, gdy użytkownik występuje konieczność wykonywania zdalnych skryptów X Windows, że w najprostszym przypadku jest przekazanie informacji z jednej maszyny na drugą, jak już wspomniano, z wymuszonym szyfrowaniem danych. W takich sytuacjach najbardziej konieczne będzie zastosowanie algorytmów na podstawie AES. To jest algorytm szyfrowania symetrycznego, które początkowo przewidziano w technologii SSH. I używać go nie tylko można, ale i trzeba.

Historia realizacji

Sama technologia pojawiła się dość dawno. Zostawmy na razie na boku kwestię tego, jak zrobić przekierowanie portów SSH, a skupić się na tym, jak to wszystko działa.

Zwykle wszystko sprowadza się do tego, aby korzystać z serwera proxy na podstawie Socks lub zastosować tunelowania VPN. W przypadku jeśli jakiś program jest w stanie pracować z VPN, lepiej zdecydować się na właśnie ten wariant. Rzecz w tym, że praktycznie wszystkie znane dziś programy korzystające z internetu-ruch, z VPN pracować mogą, a konfiguracja routingu trudne nie jest. To, jak i w przypadku z serwerami proxy, pozwala zostawić zewnętrzny adres terminala, z którego w tej chwili odbywa się wyjście w sieci, nierozpoznane. Czyli w przypadku proxy adres zmienia się nieustannie, a w wersji VPN pozostaje bez zmian z zatwierdzeniem danego regionu, dobrego od tego, gdzie obowiązuje zakaz dostępu.

Sama technologia, gdy otwiera port SSH, powstała w 1995 roku w Technologii uniwersytecie w Finlandii (SSH-1). W 1996 roku dodano udoskonalenie w postaci protokołu SSH-2, który otrzymał wystarczająco dużą dystrybucję na obszarze poradzieckim, chociaż do tego, tak jak i w niektórych krajach Europy Zachodniej, czasami konieczne jest uzyskanie pozwolenia na użytkowanietakiego tunelu, przy czym od organów państwowych.

Główną zaletą otwarcia SSH-port, w przeciwieństwie do telnet lub rlogin, jest zastosowanie podpisu RSA lub DSA (wykorzystanie pary w postaci otwartego i зарытого klucza). Ponadto, w tej sytuacji może korzystać z tzw. сеансовый klucz na podstawie algorytmu Diffie-Hellman, który zakłada stosowanie szyfrowania symetrycznego na wyjściu, choć nie wyklucza wykorzystanie algorytmów szyfrowania asymetrycznego w procesie przesyłania danych i ich odbioru przez inną maszynę.

Serwery i powłoki

W systemie Windows lub Linux SSH-port otworzyć nie jest tak trudno. Pytanie tylko, jakie narzędzia do tego będzie używany.

W tym sensie należy zwrócić uwagę na kwestię przekazywania informacji i uwierzytelniania. Po pierwsze, sam protokół okazuje się wystarczająco chroniony przed tzw. снифинга, stanowiącej najbardziej zwykłych «podsłuch» ruchu. SSH-1 okazał się bezbronny przed atakami. Ingerencja w proces przekazywania danych w formie schematu «człowiek w środku» miało swoje wyniki. Informacje można było po prostu przechwycić i rozszyfrować zupełnie elementarne. Natomiast druga wersja (SSH-2) została ubezpieczona od tego typu interwencji, zwanego session hijacking, dzięki czemu i otrzymała największą popularność.

Zakazy zabezpieczeń

Co do bezpieczeństwa w odniesieniu do wysłanych i odebranych danych, organizacja łączności, utworzonego z użyciem takich technologii, pozwala uniknąć takich problemów:

• Definiowanie klucza do hosta na etapie transferu, gdy jest używany «wycisk» fingerprint;
• Wsparcie dla Windows i systemów UNIKSOWYCH;
• Podmiana adresów IP i DNS (spoofing);
• Przejęcie otwartych haseł przy fizycznym dostępie do transmisji danych.

W Rzeczywistości, cała organizacja takiego systemu opiera się na zasadzie „klient-serwer», czyli w pierwszej kolejności z komputera użytkownika za pomocą specjalnego programu lub dodatki kontaktuje się z serwerem, który wytwarza odpowiednie przekierowanie.

Tunelowanie

Jest rzeczą oczywistą, że dla realizacji połączenia tego rodzaju w systemie musi być zainstalowany odpowiedni sterownik.

Jak zwykle, w Windows-operacyjnych jest wbudowany w oprogramowanie powłokę sterownik Microsoft Teredo, który reprezentuje sobą jakieś wirtualne narzędzie эмулирования protokołu IPv6 w sieciach z obsługą tylko IPv4. Tunelowy adapter domyślnie znajduje się w stanie aktywnym. W przypadku pojawienia się błędów z nim związanych, można po prostu wykonać restart systemu lub wykonanie polecenia wyłączenia i restartu w konsoli poleceń. Aby wyłączyć są używane takie polecenia:

• Netsh;
• Interface teredo set state disabled;
• Interface isatap set state disabled.

Po wpisaniu poleceń następuje restart. W celu ponownego włączenia zasilacza i sprawdzenie jego stanu zamiast disabled zalecana rozdzielczość enabled, po czym znowu następuje restart całego systemu.

Serwer SSH

A Teraz zobaczmy, jaki port SSH jest używany jako główny, począwszy od schematu «klient-serwer». Zazwyczaj domyślnie jest 22-gi port, ale, jak już stwierdzono powyżej, może użyć i 443-th. Pytanie tylko zamiast samego serwera.

Najczęstsze SSH-serwerami uważa się następujące:

• Dla systemu Windows: Tectia SSH Server, OpenSSH z Cygwin, MobaSSH, KpyM Telnet/SSH Server, WinSSHD, copssh, freeSSHd;
• Dla FreeBSD: OpenSSH;
• Dla systemu Linux: Tectia SSH Server, ssh, openssh-server, lsh-server, mpb.

Wszystkie te serwery są bezpłatne. Można jednak znaleźć i płatne usługi, które charakteryzują się podwyższonym poziomem zabezpieczeń, co jest bardzo potrzebne dla organizacji sieciowego dostępu i ochrony informacji w przedsiębiorstwach. Cena takich usług, teraz się nie dyskutuje. Ale ogólnie można powiedzieć, że jest to stosunkowo tanio, nawet w porównaniu z zastosowaniem specjalistycznego oprogramowania lub «iron» zapory ogniowej.

Klient SSH

Zmiana portu SSH może odbywać się na podstawie programu klienta lub odpowiednich ustawień w пробросе portów na routerze.

Jednakże, jeśli dotyczyć klientów śluzowych, dla różnych systemów mogą być stosowane następujące produkty:

• Windows ó SecureCRT, PuTTYKiTTY, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD, itp.;
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux i BSD: lsh-client, kdessh, openssh-client, Vinagre, putty.

Uwierzytelnianie na podstawie kluczy publicznych i zmiana portu

Teraz kilka słów o tym, jak odbywa się weryfikacja i konfiguracja serwera. W najprostszym przypadku należy użyć pliku konfiguracyjnego (sshd_config). Jednak można obejść się i bez tego, na przykład, w przypadku korzystania z programów takich jak PuTTY. Zmiana portu SSH ze standardowej wartości (22) na każde inne można zupełnie elementarne.

Najważniejsze – aby pokój otwieranego portu nie przekraczał wartość 65535 (powyżej portów po prostu nie zdarza się w naturze). Ponadto należy zwrócić uwagę na niektóre otwarte domyślnie porty, które mogą być używane przez klientów jak MySQL lub bazami danych FTPD. Jeśli określić dla SSH ich konfigurację, oczywiście, te po prostu przestaną działać.

Warto wziąć pod uwagę, że ten sam klient Jabber musi być uruchomiony w jednym środowisku z użyciem SSH-serwera, na przykład na maszynie wirtualnej. A samemu serwerem localhost konieczne będzie przypisanie wartości 4430 (a nie 443, jak wspomniano powyżej). Taka konfiguracja może być stosowany w przypadku, gdy dostęp do głównego pliku jabber.example.com blokowany jest za firewallem.

Z drugiej strony, przerzucić porty można i na samym routerze, za pomocą tego ustawienia interfejsu z tworzeniem reguł wyjątki. W większości modeli logowanie odbywa się poprzez podanie adresów zaczynających się od 192.168 z dodatkiem 0.1 lub 1.1, ale na роутерах, łączących możliwości ADSL modemy jak Mikrotik, adres docelowy zakłada wykorzystanie 88.1.

W tym przypadku tworzona jest nowa zasada, po to są ustawione odpowiednie opcje, np. do instalacji zewnętrznego połączenia dst-nat, a także ręcznie wyznaczonym porty nie w dziale ogólne ustawienia i w sekcji preferencji aktywnych działań (Action). Nic szczególnie trudnego tutaj nie ma. Najważniejsze – określić wymagane ustawienia i ustawić odpowiedni port. Domyślnie można użyć portu 22, ale, jeśli używany jest specjalistyczny klient (jakiś z powyższych dla różnych systemów), wartość można zmieniać dowolnie, ale tylko tak, aby parametr ten nie przekraczał deklarowana wartość, powyżej której numery portów po prostu brakuje.

W Przypadku konfigurowania połączenia warto również zwrócić uwagę na parametry programu klienta. Bardzo być może, że w jej ustawieniach trzeba określić minimalną długość klucza (512), choć domyślnie zazwyczaj jest ustawiona 768. Jest również wskazane, aby ustawić limit czasu logowania na poziomie 600 sekund i zezwolenie na zdalny dostęp z wykorzystaniem praw root. Po zastosowaniu takich ustawień, należy dać jeszcze i zezwolenie na korzystanie z wszystkich praw uwierzytelniania, z wyjątkiem tych, które opierają się na wykorzystaniu .rhost (ale to tylko trzeba administratorów systemów).

Ponadto, jeśli nazwa użytkownika zarejestrowanego w systemie, nie pokrywa się z które wpisano w tej chwili, trzeba będzie określić go wyraźnie, używając do tego polecenie ssh user master z wprowadzeniem dodatkowych parametrów (dla tych, którzy rozumieją, o co chodzi).

Do konwersji klucza i samej metody szyfrowania może być zespół ~/.ssh/id_dsa (lub rsa). Do tworzenia klucza publicznego jest używany konwersja za pomocą polecenia ~/.ssh/identity.pub (ale to niekoniecznie). Ale, jak pokazuje praktyka, najprościej użyć polecenia, jak ssh-keygen. Tu jest sedno sprawy sprowadza się tylko do tego, aby dodać klucz do dostępnych narzędzi autoryzacji (~/.ssh/authorized_keys).

Ale posunęliśmy się za daleko. Jeśli wracać do kwestii ustawienia portu SSH, jak już wiadomo, zmiana portu SSH nie jest takie trudne. Co prawda, w niektórych sytuacjach, co nazywa, będzie musiał ciężko pracować, bo trzeba będzie wziąć pod uwagę wszystkie wartości podstawowych parametrów. Reszta to kwestia ustawienia sprowadza się albo do wejścia do serwerowni lub oprogramowania klienta (jeśli jest to przewidziane początkowo), lub do korzystania z przekazywania portów na routerze. Ale nawet w przypadku zmiany portu 22, domyślnej, w tym samym 443-ej, musimy jasno zrozumieć, że taki schemat nie działa zawsze, a tylko w przypadku z zainstalowaniem tej samej dodatki Jabber (inne analogi mogą wykorzystać i odpowiadające im porty, różniące się od standardowych). Ponadto, szczególną uwagę należy zwrócić na wystawianie opcji SSH-klienta, który będzie bezpośrednio współpracować z SSH serwer, jeśli uznamy, że naprawdę założono w użyciu bieżącego połączenia.

W przeciwnym razie, jeśli przekierowanie portów nie przewidziany pierwotnie (choć pożądane jest, aby przeprowadzić takie działania, ustawienia i ustawienia dostępu przy użyciu protokołu SSH można i nie zmieniać. Tu większych problemów podczas tworzenia połączenia i jego dalszego wykorzystania, w ogóle, nie przewiduje się (jeśli, oczywiście, nie będzie używany ręczna konfiguracja na bazie serwera i klienta). Najczęściej tworzenie reguły wykluczenia na routerze pozwala rozwiązać wszystkie problemy lub zapobiec ich pojawieniu się.