Kā konfigurēt un izmantot SSH portu? Soli-pa-solim instrukcija

Secure Shell jeb saīsināts SSH ir viena no vismodernākajām datu pārraides tehnoloģijām. Izmantojot šo režīmu uz tā paša maršrutētāja, jūs varat nodrošināt ne tikai nosūtāmās informācijas konfidencialitāti, bet arī paātrināt pakešu apmaiņu. Tiesa, ne visi zina, kā atvērt SSH ostu un kāpēc tas viss ir nepieciešams. Šajā gadījumā ir nepieciešams sniegt konstruktīvu skaidrojumu.

SSH ports: kas tas ir un kāpēc?

Ciktāl tas attiecas uz drošību, šādā gadījumā SSH ports jāuztver kā īpašs komunikācijas kanāls tuneļa veidā, kas nodrošina datu šifrēšanu.

Visniturīgākā šī tuneļa darbības shēma ir tā, ka pēc noklusējuma SSH ports tiek izmantots, lai šifrētu informāciju avotā un atšifrētu gala punktā. Lai to noskaidrotu, jūs to varat izdarīt: vai tas jums patīk vai nē, pārsūtītā datplūsma, atšķirībā no IPSec, tiek šifrēta piespiedu kārtā un vienā tīkla termināla izejā un saņēmēja puses ievadē. Lai atšifrētu šajā kanālā pārraidīto informāciju, saņemšanas terminālis izmanto īpašu taustiņu. Citiem vārdiem sakot, neviens nevar traucēt pārsūtīt vai pārtraukt nosūtīto datu integritāti pašreizējā brīdī bez atslēgas.

Vienkārši atverot SSH portu jebkurā maršrutētājā vai izmantojot atbilstošus papildu klienta iestatījumus, kas mijiedarbojas ar SSH serveri, varat tieši izmantot visas mūsdienu tīklu drošības funkcijas. Runa ir par noklusējuma porta vai pielāgoto iestatījumu izmantošanu. Šie parametri pieteikumā var izskatīties diezgan grūti, taču bez izpratnes par šāda savienojuma organizāciju ir obligāti.

Standarta SSH ports

Ja jūs patiešām izmantojat jebkuru maršrutētāja parametrus, vispirms ir jānosaka, kura programmatūra tiks izmantota, lai aktivizētu šo saziņas kanālu. Patiesībā noklusētajam SSH portam var būt atšķirīgi iestatījumi. Tas viss ir atkarīgs no tā, kāda metode tiek izmantota brīdī (tiešs savienojums ar serveri, papildu klienta uzstādīšana, pāradresācija utt.).

Piemēram, ja Jabber tiek izmantots kā klients, pareizai savienojumam, šifrēšanai un datu pārsūtīšanai jāizmanto 443. ports, lai gan standarta versijā ir instalēta 22. ports.

Lai pārveidotu maršrutētāju, izvēloties nepieciešamos nosacījumus konkrētai programmai vai procesam, jums būs jāveic SSH portu pāradresācija . Kas tas ir? Tas ir konkrētas piekļuves mērķis vienai programmai, kas izmanto interneta pieslēgumu, neatkarīgi no tā, kādi iestatījumi ir pašreizējam sakaru protokolam (IPv4 vai IPv6).

Tehniskais pamatojums

Kā redzat, standarta SSH 22 portu ne vienmēr izmanto. Tomēr šeit ir jāizceļ daži parametri, kas tiek izmantoti konfigurācijā.

Kāpēc šifrētu datu pārraides konfidencialitāte ietver SSH protokola izmantošanu kā tikai ārēju (viesu) lietotāja portu? Tas ir tikai tāpēc, ka izmantotais tunelis ļauj jums izmantot tā saucamo attālināto apvalku (SSH), lai piekļūtu terminālu pārvaldībai, izmantojot attālo pieteikšanos (slogin), kā arī izmantot attālo kopiju (scp) procedūras.

Turklāt SSH portu var izmantot arī tad, ja lietotājam ir nepieciešams veikt attālās X Windows skriptus, kas vienkāršākā gadījumā ir informācijas nodošana no vienas iekārtas uz otru, kā jau minēts, ar piespiedu datu šifrēšanu. Šādās situācijās vissvarīgākais būs algoritmu izmantošana, pamatojoties uz AES. Šis ir simetrisks šifrēšanas algoritms, kas sākotnēji tika paredzēts SSH tehnoloģijai. Un tas ir iespējams ne tikai izmantot, bet tas ir arī nepieciešams.

Īstenošanas vēsture

Tehnoloģija pati par sevi parādījās jau sen. Let's atstāt malā jautājumu par to, kā padarīt SSH portu pāradresāciju, bet mēs pārtrauksimies, kā tā darbojas.

Parasti tas viss ir atkarīgs no starpniekservera izmantošanas, pamatojoties uz zeķēm vai izmantojot VPN tunelēšanu. Gadījumā, ja jebkura lietojumprogramma var darboties ar VPN, labāk ir izvēlēties šo opciju. Fakts ir tāds, ka gandrīz visas pašlaik pazīstamās programmas, kas izmanto interneta datplūsmu, var strādāt ar VPN, un maršrutēšanas konfigurācija neveic daudz pūļu. Tas, tāpat kā starpniekserveru gadījumā, ļauj atstāt neatpazītu termināļa, uz kuru pašlaik piekļūst tīklam, ārējo adresi. Proti, proxy gadījumā šī adrese pastāvīgi mainās, un VPN versijā tā paliek nemainīga, ja fiksē noteiktu reģionu, kas atšķiras no tā, kur darbojas piekļuves aizliegums.

Pati tehnoloģija, kad tiek atvērts SSH ports, tika izstrādāta 1995. gadā Somijas Tehnoloģiskajā universitātē (SSH-1). 1996. gadā tika papildināts ar SSH-2 protokola formu, kas pēc Padomju laika bija samērā izplatīts, lai gan šim un dažām Rietumeiropas valstīm reizēm ir nepieciešams iegūt atļauju izmantot šādu tuneli, kā arī no valsts aģentūrām.

Atšķirībā no telnet vai rlogin, galvenā SSH porta atvēršanas priekšrocība ir digitālā paraksta RSA vai DSA izmantošana (pāra izmantošana atvērtā un apraktā atslēga). Turklāt šajā situācijā var izmantot tā dēvēto sesijas atslēgu, pamatojoties uz Diffie-Hellmana algoritmu, kas nozīmē, ka izejā tiek izmantota simetriskā šifrēšana, lai gan tas neizslēdz asimetrisko šifrēšanas algoritmu izmantošanu datu pārraides un saņemšanas procesā citā datorā.

Serveri un apvalki

Windows vai Linux SSH portu nav tik grūti atvērt . Vienīgais jautājums ir tas, kura rīku klase tiks izmantota šim nolūkam.

Šajā ziņā jums ir jāpievērš uzmanība jautājumam par informācijas nodošanu un autentificēšanu. Pirmkārt, pats protokols ir pietiekami aizsargāts no tā sauktās sniffing, kas ir visizplatītākā trafika "klausīšanās". Pirms uzbrukumiem SSH-1 bija neaizsargāts. Rezultāti ietekmēja traucējumus datu pārsūtīšanas procesā "cilvēks vidū" shēmā. Informāciju vienkārši var pārtvert un atšifrēt vienkārši. Bet otrā versija (SSH-2) bija apdrošināta pret šāda veida iejaukšanos, ko sauc par sesiju nolaupīšanu, kas to padara visizplatītāko.

Drošības aizliegumi

Attiecībā uz drošību attiecībā uz pārsūtītajiem un saņemtajiem datiem, savienojuma organizācija, kas izveidota, izmantojot šādas tehnoloģijas, novērš šādu problēmu rašanos:

• Pārraides posmā, kad tiek izmantots pirkstu nospiedumu pirkstu nospiedums, nosaka resursa atslēgu;
• Atbalsts Windows un UNIX līdzīgām sistēmām;
• IP un DNS adreses nomaiņa (spoofing);
• Atvērto paroļu pārtveršana ar fizisku piekļuvi datu pārraides kanālam.

Patiesībā visa šādas sistēmas organizācija tiek veidota, pamatojoties uz "klienta-servera" principu, proti, pirmkārt, lietotāja mašīna, izmantojot serveri izveidoto īpašo programmu vai adrešu adreses, kas veic atbilstošo novirzīšanu.

Tunelēšana

Pats par sevi saprotams, ka sistēmā ir jāinstalē īpašs draiveris, lai īstenotu šāda veida savienojumu.

Parasti Windows sistēmās Microsoft Teredo draiveris ir iebūvēts programmatūras čaulā, kas ir sava veida virtuāls emulācijas rīks IPv6 protokolam tīklā, kurā tiek atbalstīts tikai IPv4 atbalsts. Pēc noklusējuma tuneļa adapteris atrodas aktīvajā stāvoklī. Ja ar to saistītas kļūdas, varat vienkārši restartēt sistēmu vai izpildīt izslēgšanu un restartēt komandas komandu konsolei. Lai deaktivizētu, tiek izmantotas šādas rindiņas:

• Netsh;
• Interfeiss teredo iestatīts stāvoklis invalīds;
• Interfeiss isatap iestatīts stāvoklis ir atspējots.

Pēc komandu ievadīšanas jums ir jāpārstartē. Lai atkārtoti iespējotu adapteru un pārbaudītu tā statusu, nevis atspējotu, ir iespējota atļauja, pēc kuras atkal visa sistēma jāatsāk no jauna.

SSH serveris

Tagad redzēsim, kurš SSH ports tiek izmantots kā galvenais ports, sākot no klienta-servera shēmas. Raksturīgi, ka pēc noklusējuma izmanto 22. ostu, bet, kā jau minēts iepriekš, var izmantot 443. Vienīgais jautājums ir pati servera priekšrocība.

Visbiežāk sastopamie SSH serveri tiek uzskatīti par sekojošiem:

• Windows: Tectia SSH serveris, OpenSSH ar Cygwin, MobaSSH, KpyM Telnet / SSH serveris, WinSSHD, copssh, freeSSHd;
• Par FreeBSD: OpenSSH;
• Linux: Tectia SSH serveris, ssh, openssh-serveris, lsh-serveris, piltuve.

Visi uzskaitītie serveri ir bezmaksas. Tomēr jūs varat atrast maksas pakalpojumus, kam raksturīgs paaugstināts drošības līmenis, kas ir ārkārtīgi nepieciešams, lai organizētu piekļuvi tīklam un aizsargātu informāciju uzņēmumos. Šādu pakalpojumu izmaksas pašlaik nav apspriestas. Bet kopumā var teikt, ka tas ir salīdzinoši lēts, pat salīdzinot ar specializētas programmatūras vai "dzelzs" ugunsmūra instalēšanu.

SSH klients

SSH portu var mainīt, pamatojoties uz klienta programmu vai atbilstošajiem iestatījumiem maršrutēšanas maršrutētāju maršrutos.

Tomēr, ja pieskaras klienta apvalkiem, dažādām sistēmām var izmantot šādus programmatūras produktus:

• Windows - SecureCRT, PuTTY \ KiTTY, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD uc;
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux un BSD: lsh-client, kdessh, openssh-client, Vinagre, tepe.

Autentifikācija, pamatojoties uz publiskām atslēgām un porta maiņu

Tagad daži vārdi par to, kā tiek veikta servera verifikācija un konfigurācija. Vienkāršākajā gadījumā jums jāizmanto konfigurācijas fails (sshd_config). Tomēr jūs varat iztikt bez tā, piemēram, tādu programmu gadījumā kā PuTTY. SSH porta maiņa no standarta vērtības (22) uz jebkuru citu var būt diezgan vienkārša.

Galvenais ir tas, ka atvērtās ostas numurs nepārsniedz vērtību 65535 (dabā vienkārši nav tādas lietas kā osta). Turklāt pēc noklusējuma jums vajadzētu pievērst uzmanību dažām atvērtajām ostām, kuras var izmantot tādi klienti kā MySQL vai FTPD datu bāzes. Protams, ja jūs norādāt SSH konfigurāciju, viņi vienkārši pārstāj darboties.

Jāatzīmē, ka vienam Jabber klientam vajadzētu darboties tajā pašā vidē, izmantojot SSH serveri, piemēram, virtuālajā mašīnā. Un serverim localhost pati būs jāpiešķir vērtība 4430 (nevis 443, kā minēts iepriekš). Šo konfigurāciju var izmantot, ja ugunsmūri bloķē piekļuvi galvenajam failam jabber.example.com.

No otras puses, jūs varat pārsūtīt porti maršrutētājam pats, izmantojot tā saskarnes iestatījumus, lai izveidotu izslēgšanas noteikumus šim nolūkam. Lielākajā daļā modeļu ievade tiek veikta, ievadot adreses, sākot ar 192.168, pievienojot 0,1 vai 1.1, bet maršrutētājiem, kas apvieno ADSL modemu iespējas, piemēram, Mikrotik, gala adrese pieprasa izmantot 88.1.

Šajā gadījumā tiek izveidots jauns noteikums, tad ir noteikti nepieciešamie parametri, piemēram, lai iestatītu ārēju savienojumu dst-nat, kā arī manuāli piešķirtu ostas, kas nav vispārīgo iestatījumu sadaļā un sadaļā Rīcības preferences. Šeit nav nekas sarežģīts. Galvenais ir norādīt nepieciešamos iestatījumus un iestatīt pareizo portu. Pēc noklusējuma jūs varat izmantot 22. portu, bet, ja jūs izmantojat īpašu klientu (dažas no iepriekšminētajām dažādām sistēmām), vērtību var mainīt patvaļīgi, bet tikai tā, lai šis parametrs nepārsniegtu deklarēto vērtību, virs kura vienkārši nav portu skaitļu.

Konfigurējot savienojumu, jums vajadzētu pievērst uzmanību arī klienta programmas parametriem. Var būt ļoti labi, ka tā iestatījumos ir jānorāda atslēgas minimālais garums (512), lai gan pēc noklusējuma tas parasti ir iestatīts uz 768. Vēlams iestatīt pieteikšanās taimautu 600 sekundēs un atļauju attālajai piekļuvei, izmantojot saknes tiesības. Pēc šo iestatījumu izmantošanas jums ir arī jāpiešķir atļauja izmantot visas autentifikācijas tiesības, izņemot tās, kas balstītas uz .rhost izmantošanu (bet tas ir nepieciešams tikai sistēmas administratoriem).

Turklāt, ja sistēmā reģistrētais lietotājvārds nesakrīt ar to, kuru jūs pašlaik rakstāt, jums tas būs nepārprotami jāprecizē, izmantojot lietotāja ssh kapteiņa komandu ar papildu parametriem (tiem, kas saprot, par ko viņi runā).

Komandu ~ / .ssh / id_dsa (vai rsa) var izmantot, lai pārveidotu atslēgu un paša šifrēšanas metodi. Lai izveidotu publisko atslēgu, konvertēšana tiek veikta, izmantojot virkni ~ / .ssh / identity.pub (bet tas nav nepieciešams). Bet, kā pierāda prakse, visvieglāk ir izmantot komandas, piemēram, ssh-keygen. Šeit jautājuma būtība tiek samazināta tikai, lai pievienotu pieejamo autorizācijas rīku atslēgu (~ / .ssh / authorized_keys).

Bet mēs aizgājām pārāk tālu. Ja atgriezīsieties pie SSH portu konfigurācijas problēmas, kā jau jūs zināt, SSH porta maiņa nav tik grūta. Taisnība, dažās situācijās, kā saka, jums ir sviedri, jo jums būs jāņem vērā visas galveno parametru vērtības. Pretējā gadījumā iestatīšanas jautājums tiek samazināts vai nu uz servera vai klienta programmas ievadi (ja tas sākotnēji tiek sniegts), vai arī par maršrutēšanas portu pāradresācijas izmantošanu. Bet pat tad, ja noklusējuma ports 22 tiek mainīts uz to pašu 443, jums ir skaidri jāsaprot, ka šī shēma ne vienmēr darbojas, bet tikai tad, ja jūs instalējat to pašu Jabber pievienojumprogrammu (citi analogi var arī izmantot savas atbilstošās porti, Kas atšķiras no standarta). Turklāt īpaša uzmanība jāpievērš SSH klienta parametru iestatīšanai, kas tieši mijiedarbojas ar SSH serveri, ja tas patiešām ir vajadzīgs, izmantojot pašreizējo savienojumu.

Pretējā gadījumā, ja ostas pāradresācija sākotnēji netiek nodrošināta (lai gan vēlams veikt šādas darbības) SSH piekļuves iestatījumus un parametrus nevar mainīt. Veidojot savienojumu un tā turpmāko izmantošanu, īpašas problēmas nav, parasti tas nav gaidāms (ja vien, protams, netiek konfigurēta konfigurācija manuāli, pamatojoties uz serveri un klientu). Visizplatītākais izņēmuma noteikuma izveide maršrutētājā ļauj jums novērst visas problēmas vai izvairīties no to parādīšanās.