Hoe om te stel en te gebruik SSH-poort? Stap vir stap gids

Secure Shell, of afgekort as SSH, dit is een van die mees gevorderde beskerming van data tegnologie in die oordrag. Die gebruik van so 'n regime op dieselfde router kan nie net die vertroulikheid van oordraagbare inligting, maar ook om die bespoediging van die uitruil van pakkies. Maar nie almal weet ver as om die SSH-poort te open, en dit die rede waarom al die nodige is. In hierdie geval is dit nodig om 'n konstruktiewe verduideliking gee.

Port SSH: Wat is dit en hoekom het ons nodig?

Sedert ons praat oor veiligheid, in hierdie geval, onder die SSH-poort aan toegewyde kanaal verstaan in die vorm van 'n tonnel, wat data-enkripsie verskaf.

Die mees primitiewe skema van hierdie tonnel is dat 'n oop SSH-poort gebruik word by verstek aan data by die bron en dekripsie op die eindpunt te enkripteer. of jy nou daarvan hou of nie, oorgedra verkeer, in teenstelling met die IPSec, geïnkripteer onder dwang en die uitset terminale van die netwerk, en op die ontvangs kant van die ingang: Dit kan soos volg verduidelik word. Om die inligting wat op hierdie kanaal decrypt, die ontvangs terminale gebruik 'n spesiale sleutel. Met ander woorde, om in te gryp in die oordrag of in gevaar stel die integriteit van die oordraagbare data op die oomblik kan 'n mens nie sonder 'n sleutel.

Net die opening van SSH-poort op enige router of deur gebruik te maak van die toepaslike instellings van bykomende kliënt interaksie direk met die SSH-bediener, kan jy ten volle gebruik al die funksies van die moderne netwerk sekuriteit stelsels. Ons is hier oor hoe om 'n hawe wat opgedra is by verstek of persoonlike instellings te gebruik. Hierdie parameters in die aansoek mag lyk moeilik, maar sonder 'n begrip van die organisasie van so 'n verband is nie genoeg nie.

Standard SSH-poort

Indien wel, wat gebaseer is op die parameters van enige van die router moet eers die einde vas te stel watter soort sagteware sal gebruik word vir hierdie skakel te aktiveer. In feite, kan die standaard SSH-poort verskillende instellings het. Alles hang af van watter metode gebruik word op die oomblik (direkte verbinding met die bediener, die installering van bykomende kliënt Port Forwarding en so aan. D.).

Byvoorbeeld, indien die kliënt gebruik Jabber, vir korrekte konneksies, enkripsie, en data-oordrag hawe 443 is om gebruik te word, hoewel die verpersoonliking is ingestel in die standaard poort 22.

Om die router om die toekenning te herstel vir 'n bepaalde program of proses om die nodige voorwaardes moet uitvoer hawe ekspedisie SSH. Wat is dit? Dit is die doel van 'n bepaalde toegang tot 'n enkele program wat 'n internet konneksie gebruik, ongeag van wat omgewing is die huidige protokol ruil data (IPv4 of IPv6).

tegniese regverdiging

Standard SSH-poort 22 is nie altyd gebruik as dit was reeds duidelik. Maar hier is dit nodig om 'n paar van die eienskappe en instellings wat gebruik word tydens die opstel toe te ken.

Hoekom encrypted data vertroulikheid protokol behels die gebruik van SSH as 'n suiwer eksterne (gas) gebruiker hawe? Maar net omdat tunneling toegepas dit laat die gebruik van 'n sogenaamde afgeleë dop (SSH), om toegang tot die terminale bestuur deur afgeleë login (slogin) verkry, en die toepassing van die prosedure remote kopie (SCP).

Daarbenewens kan SSH-poort word geaktiveer in die geval waar die gebruiker nodig is om afgeleë skrifte X Windows, wat in die eenvoudigste geval is 'n oordrag van inligting van een masjien na 'n ander, soos reeds gesê, tydens 'n geforseerde data enkripsie te voer. In so 'n situasie, sal die meeste nodig heg gebaseer op die AES algoritme. Dit is 'n simmetriese enkripsie algoritme, wat oorspronklik voorsien in SSH tegnologie. En gebruik dit nie net moontlik nie, maar noodsaaklik.

Geskiedenis van die verwesenliking

Die tegnologie het verskyn vir 'n lang tyd. Kom ons laat eenkant die vraag van hoe om versiersuiker SSH-poort maak, en fokus op hoe dit alles werk.

Gewoonlik is dit kom neer op, om 'n gevolmagtigde te gebruik op die basis van sokkies of gebruik Skynprivaatnetwerk tunneling. In die geval kan 'n paar sagteware program werk met Skynprivaatnetwerk, beter om hierdie opsie te kies. Die feit dat gebruik byna alle bekende programme vandag die Internet verkeer, kan die VPN werk, maar maklik routing opset is nie. Dit, soos in die geval van die proxy servers, dit moontlik maak om die eksterne adres van die terminale waaruit die oomblik geproduseer in die produksie netwerk, onherkenbare verlaat. Dit is die geval met die proxy-posadres is altyd veranderende, en Skynprivaatnetwerk weergawe bly onveranderd met die bevestiging van 'n bepaalde streek, behalwe die een waar daar is 'n verbod op toegang.

Die einste tegnologie wat SSH-poort bied, is ontwikkel in 1995 in die Universiteit van Tegnologie in Finland (SSH-1). In 1996, het verbeterings is bygevoeg in die vorm van SSH-2 protokol, wat nogal algemeen in die post-Sowjet-ruimte was, hoewel vir hierdie, sowel as in sommige Wes-Europese lande, is dit soms nodig om toestemming om hierdie tonnel gebruik te verkry, en uit regeringsinstansies.

Die grootste voordeel van die opening van SSH-poort, in teenstelling met telnet of rlogin, is die gebruik van digitale handtekeninge RSA of DSA (die gebruik van 'n paar van 'n oop en 'n begrawe sleutel). Verder in hierdie situasie wat jy kan sogenaamde sessie sleutel gebaseer op Diffie-Hellman algoritme, wat die gebruik van 'n simmetriese enkripsie uitset behels gebruik, hoewel nie verhoed dat die gebruik van asimmetriese enkripsie-algoritmes tydens data-oordrag en ontvangs deur 'n ander masjien.

Servers en dop

Op Windows of Linux SSH-poort oop is nie so moeilik nie. Die enigste vraag is, watter soort gereedskap vir hierdie doel gebruik sal word.

In hierdie sin is dit nodig om aandag te skenk aan die kwessie van inligting oordrag en verifikasie. In die eerste plek, is die protokol self genoegsaam beskerm word deur die sogenaamde snuif, wat is die mees algemene "afluister" verkeer. SSH-1 bewys kwesbaar vir aanvalle te wees. Inmenging in die proses van oordrag van data in die vorm van 'n skema van "man in die middel" het sy resultate. Inligting kan eenvoudig onderskep en ontsyfer baie eenvoudige. Maar die tweede weergawe (SSH-2) het immuun teen hierdie soort van ingryping, bekend as sessie kaping was, te danke aan wat gewildste.

verbied sekuriteit

Soos vir die veiligheid ten opsigte van die oordraagbare en ontvang data, die organisasie van gestig met die gebruik van sulke tegnologie verbindings kan verhoed dat die volgende probleme:

• identifikasie sleutel tot die gasheer by die oordrag stap, toe 'n "snapshot» vingerafdruk;
• Ondersteuning vir Windows en UNIX-agtige stelsels;
• vervanging van IP en DNS adresse (spoofing);
• onderskepping oop wagwoord met fisiese toegang tot die data kanaal.

Eintlik is die hele organisasie van so 'n stelsel gebou op die beginsel van "kliënt-bediener", dit wil sê, in die eerste plek die gebruiker se rekenaar via 'n spesiale program of add-in oproepe na die bediener, wat 'n ooreenstemmende verwysing produseer.

tunneling

Dit spreek vanself dat die implementering van die verband van hierdie soort in 'n spesiale bestuurder op die stelsel geïnstalleer moet word.

Tipies, in Windows-gebaseerde stelsels is gebou in die program dop bestuurder Microsoft Teredo, wat is 'n soort van virtuele nydigheid middel van IPv6 in netwerke ondersteun net IPv4. Tonnel verstek adapter is aktief. In die geval van mislukking wat daarmee gepaard gaan, kan jy net 'n stelsel herlaai of uit te voer 'n afsluit en opdragte uit die opdrag konsole weer te begin. Deaktiveer sulke lyne word gebruik:

• netsh;
• koppelvlak Teredo stel staat afgeskakel;
• koppelvlak isatap stel staat afgeskakel.

Na die begin van die opdrag moet herlaai. Om weer in staat stel om die adapter en die status van gestremde in plaas van die staat gestel registers permit, waarna, weer, moet die hele stelsel weer te begin.

SSH-bediener

Nou laat ons sien hoe die SSH-poort word gebruik as die kern, vanaf die skema "kliënt-bediener". Die verstek is gewoonlik toegepas 22 minute hawe, maar, soos hierbo genoem, kan gebruik word en die 443. Die enigste vraag in die voorkeur van die bediener self.

Die mees algemene SSH-bedieners word beskou as die volgende:

• vir Windows: Tectia SSH-bediener, OpenSSH met Cygwin, MobaSSH, KpyM Telnet / SSH-bediener, WinSSHD, copssh, freeSSHd;
• vir FreeBSD: OpenSSH;
• vir Linux: Tectia SSH-bediener, ssh, OpenSSH-bediener, Lsh-bediener, dropbear.

Al die bedieners is gratis. Jy kan egter vind en dienste betaal wat selfs groter vlakke van sekuriteit, wat noodsaaklik is vir die organisasie van toegang tot die netwerk en inligting-sekuriteit in ondernemings te voorsien. Die koste van sodanige dienste is nie bespreek nie. Maar in die algemeen kan ons sê dat dit is relatief goedkoop, selfs in vergelyking met die installering van spesiale sagteware of "hardeware" firewall.

SSH-kliënt

Verandering SSH-poort kan gemaak word op die basis van die kliënt program of die toepaslike instellings wanneer port forwarding op jou router.

As jy egter die kliënt dop te raak, die volgende sagteware produkte kan gebruik word vir verskeie stelsels:

• Windows - SecureCRT, PuTTY \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD ens;..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux en BSD: Lsh-kliënt, kdessh, OpenSSH-kliënt, Vinagre, stopverf.

Verifikasie is gebaseer op die publieke sleutel, en verander die hawe

Nou 'n paar woorde oor hoe die verifikasie en die oprigting van 'n bediener. In die eenvoudigste geval, moet jy 'n konfigurasielêer (sshd_config) gebruik. Jy kan egter doen sonder dit, byvoorbeeld, in die geval van programme soos stopverf. Verandering SSH-poort van die verstek waarde (22) om enige ander is heeltemal elementêre.

Die belangrikste ding - om 'n poort nommer oopmaak nie meer as die waarde van 65.535 (hoër hawens eenvoudig nie bestaan nie in die natuur). Daarbenewens moet aandag gee aan 'n paar oop poorte by verstek, wat gebruik kan word deur kliënte soos MySQL of ftpd databasisse. As jy hulle spesifiseer vir SSH opset, natuurlik, hulle stop net werk.

Dit is opmerklik dat dieselfde Jabber kliënt moet loop in dieselfde omgewing met behulp van SSH-bediener, byvoorbeeld, op 'n virtuele masjien. En die meeste bediener localhost sal nodig hê om 'n waarde te wys aan 4430 (in plaas van 443, soos hierbo genoem). Hierdie opset gebruik kan word wanneer toegang tot die belangrikste lêer jabber.example.com geblokkeer deur die firewall.

Aan die ander kant, kan die oordrag hawens op die router met behulp van die opset van die koppelvlak met die skepping van uitsonderings op die reëls. In die meeste modelle insette deur insette adresse wat begin met 192,168 aangevul met 0.1 of 1.1, maar routers kombinasie van vermoëns ADSL-modems soos Mikrotik, einde adres behels die gebruik van 88,1.

In hierdie geval, skep 'n nuwe reël, dan stel die nodige parameters, byvoorbeeld, om die eksterne konneksie dst-nat te installeer, asook met die hand voorgeskryf hawens is nie onder die algemene instellings en in die afdeling van Aktivisme voorkeure (Aksie). Niks te hier ingewikkeld. Die belangrikste ding - om die vereiste waardes van instellings spesifiseer en stel die korrekte hawe. By verstek, kan jy gebruik port 22, maar as die kliënt maak gebruik van 'n spesiale (sommige van die bogenoemde vir verskillende sisteme), kan die waarde arbitrêr verander, maar net so dat hierdie parameter nie meer as die verklaarde waarde, veral wat die hawe getalle is eenvoudig nie beskikbaar nie.

Wanneer jy die opstel van verbindings moet ook aandag gee aan die parameters van die kliënt program. Dit mag wees dat in sy instellings moet die minimum lengte van die sleutel (512) spesifiseer, hoewel die standaard gewoonlik gestel 768. Dit is ook wenslik om die timeout stel om aan te meld om die vlak van 600 sekondes en die afgeleë toegang toestemming met wortel regte. Na die toepassing van hierdie instellings, moet jy ook toelaat dat die gebruik van al verifikasie regte, behalwe dié wat gebaseer is op die gebruik .rhost (maar dit is nodig net om die stelsel administrateurs).

Onder andere, as die naam van die gebruiker in die stelsel geregistreer is, nie dieselfde as bekendgestel op die oomblik, dit moet uitdruklik vermeld met behulp van die opdrag gebruiker ssh meester met die bekendstelling van bykomende parameters (vir diegene wat verstaan wat op die spel).

Span ~ / .ssh / id_dsa kan gebruik word vir transformasie van die sleutel en die kodering metode (of RSA). Om 'n publieke sleutel wat gebruik word deur die omskakeling met behulp van die lyn ~ / .ssh / identity.pub (maar nie noodwendig) te skep. Maar, as die praktyk toon, die maklikste manier om opdragte soos ssh-keygen gebruik. Hier is die essensie van die saak is verminder net om die waarheid te sê, om die sleutel te voeg tot die beskikbare verifikasie tools (~ / .ssh / authorized_keys).

Maar ons het te ver gegaan. As jy terug gaan na die hawe instellings SSH kwessie, soos reeds duidelik verandering SSH-poort is nie so moeilik nie. Maar in sommige gevalle, sê hulle, sal moet sweet, want die behoefte om in ag neem al waardes van die belangrikste parameters. Die res van die opset kwessie kom neer op die ingang van 'n bediener of kliënt program (indien dit aanvanklik voorsien), of om port forwarding gebruik op die router. Maar selfs in die geval van verandering van die hawe 22, die verstek vir dieselfde 443, moet duidelik verstaan word dat so 'n skema nie altyd werk nie, maar slegs in die geval van die installering van dieselfde add-in Jabber (ander analoë kan en hul onderskeie hawens te aktiveer, dit verskil van die standaard). Daarbenewens moet spesiale aandag gegee word parameter opstel SSH-kliënt, wat direk sal interaksie met die SSH-bediener, as dit regtig veronderstel is om die huidige verband te gebruik.

Soos vir die res, as die poort ekspedisie nie aanvanklik voorsien (alhoewel dit wenslik om sulke aksies uit te voer is), instellings en opsies vir toegang via SSH, jy kan nie verander nie. Daar enige probleme wanneer die skep van 'n verband, en die verdere gebruik, in die algemeen, is nie verwag (tensy, natuurlik, sal nie met die hand gebruik instel van die opset-bediener-gebaseerde en kliënt). Die mees algemene uitsonderings op die skepping van reëls op die router kan jy enige probleme op te los of dit te vermy.