Sådan konfigureres og bruge SSH port? Trinvis guide

Secure Shell, eller forkortet SSH, det er en af de mest avancerede databeskyttelse teknologi til transmission. Brugen af en sådan ordning på samme router tillader ikke alene fortroligheden af transmitteret information, men også at fremskynde udvekslingen af pakker. Men ikke alle ved langt som til at åbne SSH porten, og hvorfor alt dette er nødvendigt. I dette tilfælde er det nødvendigt at give en konstruktiv forklaring.

Port SSH: hvad er det og hvorfor har vi brug for?

Da vi taler om sikkerhed, i dette tilfælde, under SSH porten skal forstås dedikeret kanal i form af en tunnel, der leverer data kryptering.

Den mest primitive ordning af denne tunnel er, at et åbent SSH-port bruges som standard til at kryptere data ved kilden og dekryptering på endpoint. Dette kan forklares på følgende måde: om man kan lide det eller ej, transmitteret trafik, i modsætning til IPSec, krypteret under tvang og udgangsterminalen af nettet, og på den modtagende side af indgangen. For at afkode informationen sendes på denne kanal, den modtagende terminal benytter en speciel nøgle. Med andre ord, til at gribe ind i overførslen eller kompromittere integriteten af de overførte data i det øjeblik man kan ikke uden en nøgle.

Bare åbne SSH-porten på enhver router eller ved at bruge de relevante indstillinger for yderligere klient interagerer direkte med SSH-server, kan du fuldt ud at bruge alle funktionerne i moderne netværk sikringssystemer. Vi er her på, hvordan man bruger en port, der er tildelt som standard eller brugerdefinerede indstillinger. Disse parametre i programmet ser måske svært, men uden en forståelse af organiseringen af en sådan forbindelse er ikke nok.

Standard SSH port

Hvis ja, er baseret på parametrene for nogen af routeren skal først bestemme rækkefølgen, hvilken form for software vil blive brugt til at aktivere dette link. Faktisk kan standard SSH porten have forskellige indstillinger. Alt afhænger af, hvilken metode der bruges i øjeblikket (direkte forbindelse til serveren, installere yderligere klient port forwarding og så videre. D.).

For eksempel, hvis kunden anvendte Jabber, for korrekt forbindelser, kryptering og dataoverførsel port 443 skal anvendes, selvom udførelsesformen er angivet i standarden port 22.

For at nulstille routeren til tildelingen til et bestemt program eller behandle de nødvendige betingelser er nødt til at udføre port forwarding SSH. Hvad er det? Det er formålet med en bestemt adgang til et enkelt program, der bruger en internetforbindelse, uanset hvilken indstilling er aktuelle protokol udveksle data (IPv4 eller IPv6).

teknisk begrundelse

Standard SSH port 22 er ikke altid bruges som det var allerede klart. Men her er det nødvendigt at afsætte nogle af de egenskaber og indstillinger, der bruges under opsætning.

Hvorfor krypteret data fortrolighed protokol indebærer anvendelse af SSH som en rent ydre (gæst) bruger port? Men kun fordi tunneling påføres det tillader brug af en såkaldt ekstern shell (SSH), for at få adgang til terminalen ledelse gennem remote login (slogge), og anvende kopien procedure fjernbetjening (SCP).

Derudover kan SSH-port aktiveres i det tilfælde, hvor brugeren er nødvendig for at udføre fjerntliggende scripts X Windows, som i det enkleste tilfælde er en overførsel af information fra en maskine til en anden, som det er blevet sagt, med en tvungen datakryptering. I sådanne situationer vil det mest nødvendige bruge baseret på AES algoritme. Dette er en symmetrisk krypteringsalgoritme, der oprindelig var forudsat i SSH-teknologi. Og brug det ikke kun muligt, men nødvendigt.

Historien om realiseringen

Teknologien har optrådt i lang tid. Lad os se bort spørgsmålet om, hvordan man laver glasur SSH-port, og fokusere på, hvordan det hele fungerer.

Normalt er det kommer ned til, at bruge en proxy på grundlag af Strømper eller bruge VPN tunneling. I tilfælde noget software program kan arbejde med VPN, bedre at vælge denne mulighed. Det faktum, at næsten alle kendte programmer i dag bruger internettet trafik, kan VPN arbejde, men let routing konfiguration er ikke. Dette er, som i tilfældet med de proxy-servere, giver mulighed for at forlade den eksterne adresse på terminalen, hvorfra den aktuelt produceres i output-netværket, ukendt. Dette er tilfældet med den proxy-adresse er altid under forandring, og VPN-versionen forbliver uændret med fiksering af en bestemt region, andet end den, hvor der er et forbud mod adgang.

Den meget samme teknologi, der tilbyder SSH-port, blev udviklet i 1995 i University of Technology i Finland (SSH-1). I 1996 er der tilføjet forbedringer i form af SSH-2-protokol, som var ganske udbredt i den post-sovjetiske rum, men for dette, såvel som i nogle vesteuropæiske lande, er det nogle gange nødvendigt at indhente tilladelse til at bruge denne tunnel, og fra offentlige myndigheder.

Den største fordel ved at åbne SSH-port, i modsætning til telnet eller rlogin, er anvendelsen af digitale signaturer RSA eller DSA (brugen af et par åben og en begravet nøgle). Endvidere i denne situation kan du anvende såkaldt sessionsnøgle baseret på Diffie-Hellman-algoritmen, som involverer anvendelsen af en symmetrisk kryptering output, men ikke udelukke anvendelse af asymmetriske krypteringsalgoritmer under datatransmission og modtagelse af en anden maskine.

Servere og shell

På Windows eller Linux SSH-port åben er ikke så svært. Det eneste spørgsmål er, hvilken slags værktøjer til dette formål vil blive brugt.

I den forstand er det nødvendigt at være opmærksom på spørgsmålet om information transmission og godkendelse. For det første er den protokol, selv tilstrækkeligt beskyttet af den såkaldte sniffing, som er den mest sædvanlige "aflytning" af trafik. SSH-1 viste sig at være sårbare over for angreb. Interferens i færd med at overføre data i form af en ordning med "manden i midten" havde sine resultater. Information kunne simpelthen opfange og afkode helt elementære. Men den anden version (SSH-2) er blevet immune over for denne form for indgreb, kendt som sessionskapring, takket være det, der er mest populære.

Bans sikkerhed

Med hensyn til sikkerheden i forbindelse med de udsendte og modtagne data, afholdelse af forbindelser, der er etableret med brugen af en sådan teknologi gør det muligt at undgå følgende problemer:

• identifikationsnøgle til værten ved transmissionen trin, når en "snapshot» fingeraftryk;
• Støtte til Windows og UNIX-lignende systemer;
• substitution af IP og DNS-adresser (spoofing);
• opsnappe åben adgangskode med fysisk adgang til data kanal.

Faktisk er hele organisationen af et sådant system er bygget på princippet om "klient-server", det vil sige, først og fremmest på brugerens computer via et særligt program eller add-in kald til serveren, som producerer en tilsvarende omdirigering.

tunnelering

Det siger sig selv, at gennemførelsen af tilslutning af denne art i en speciel driver skal være installeret på systemet.

Typisk i Windows-baserede systemer er bygget ind i programmet skallen driveren Microsoft Teredo, som er en slags virtuel emulering hjælp af IPv6 i netværk kun understøtter IPv4. Tunnel standard adapter er aktiv. I tilfælde af svigt i forbindelse med det, kan du bare lave en genstart af systemet eller udføre en nedlukning og genstart kommandoer fra kommandoen konsollen. At deaktivere der anvendes sådanne linier:

• netsh;
• grænseflade Teredo satte tilstand deaktiveret;
• grænseflade ISATAP indstillet tilstand deaktiveret.

Efter indtastning af kommando skal genstarte. For at genaktivere adapteren og kontrollere status for handicappede i stedet for den aktiverede registre tillader det, hvorefter, igen, skal genstarte hele systemet.

SSH-server

Lad os nu se, hvordan SSH porten bruges som kernen, startende fra ordningen "klient-server". Standard er normalt anvendes 22 minutter port, men som nævnt ovenfor, kan anvendes og 443.. Det eneste spørgsmål i præference for selve serveren.

De mest almindelige SSH-servere anses for at være følgende:

• til Windows: Tectia SSH Server, OpenSSH med Cygwin, MobaSSH, KpyM Telnet / SSH-server, WinSSHD, copssh, freeSSHd;
• for FreeBSD: OpenSSH;
• til Linux: Tectia SSH Server, ssh, openssh-server, LSH-server, dropbear.

Alle serverne er gratis. Men du kan finde og betalt tjenester, der giver endnu større grad af sikkerhed, som er afgørende for tilrettelæggelsen af netadgang og informationssikkerhed i virksomhederne. Omkostningerne ved sådanne tjenester er ikke diskuteret. Men generelt kan vi sige, at det er relativt billigt, selv i sammenligning med installation af speciel software eller "hardware" firewall.

SSH-klient

Skift SSH port kan foretages på grundlag af klientens program eller de passende indstillinger, når port forwarding på din router.

Men hvis du rører kunden skal, følgende softwareprodukter kan bruges til forskellige systemer:

• Vinduer - SecureCRT, PuTTY \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD osv..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux og BSD: LSH-klient, kdessh, openssh-klient, Vinagre, kit.

Godkendelse er baseret på den offentlige nøgle, og ændre porten

Nu et par ord om, hvordan kontrollen og opsætning af en server. I det enkleste tilfælde, skal du bruge en konfigurationsfil (sshd_config). Men du kan undvære det, for eksempel i forbindelse med programmer som f.eks PuTTY. Skift SSH port fra standardværdien (22) til en anden er helt elementære.

De vigtigste ting - at åbne en port nummer ikke overstiger værdien af 65535 (højere porte simpelthen ikke findes i naturen). Desuden bør være opmærksom på nogle åbne porte som standard, som kan bruges af klienter som MySQL eller ftpd databaser. Hvis du angiver dem for SSH konfiguration, selvfølgelig, de bare stoppe med at arbejde.

Det er værd at bemærke, at den samme Jabber klient skal køre i det samme miljø ved hjælp SSH-server, for eksempel på en virtuel maskine. Og de fleste server localhost bliver nødt til at tildele en værdi til 4430 (i stedet for 443, som nævnt ovenfor). Denne konfiguration kan bruges, når adgang til de vigtigste fil jabber.example.com blokeret af firewallen.

På den anden side, kan de overføre porte være på routeren ved hjælp af konfigurationen af dens grænseflade med oprettelsen af undtagelser fra reglerne. I de fleste modeller input gennem input-adresser begynder med 192.168 suppleret med 0,1 eller 1,1, men routere kombinerer kapaciteter ADSL-modems som Mikrotik, slutadressen involverer anvendelsen af 88,1.

I dette tilfælde skal oprette en ny regel, derefter indstille de nødvendige parametre, for eksempel for at installere den eksterne forbindelse DST-NAT, samt manuelt foreskrevne havne er ikke under de generelle indstillinger og i den del af aktivisme præferencer (aktion). Intet er for kompliceret her. De vigtigste ting - for at angive de ønskede værdier for indstillinger og indstille den korrekte port. Som standard kan du bruge port 22, men hvis kunden benytter en speciel (nogle af de ovenfor for forskellige systemer), kan værdien ændres vilkårligt, men kun så denne parameter ikke overstiger den deklarerede værdi, over hvilken portnumre er simpelthen ikke tilgængelig.

Når du opsætter forbindelser også bør være opmærksomme på parametrene i klientprogrammet. Det kan godt være, at i sine indstillinger skal angive den minimale længde af nøglen (512), selv om standard normalt er indstillet 768. Det er også ønskeligt at indstille timeout for at logge på niveauet for 600 sekunder og fjernbetjeningen adgangstilladelse med root rettigheder. Efter anvendelse af disse indstillinger, skal du også tillade brugen af alle rettigheder autentificering, bortset fra dem, baseret på anvendelsen .rhost (men det er kun nødvendigt at systemadministratorer).

Blandt andet hvis brugernavnet registreret i systemet, ikke det samme som introduceres i det øjeblik, det skal være angivet eksplicit ved hjælp af brugeren ssh mester kommando med indførelsen af yderligere parametre (for dem, der forstår, hvad der er på spil).

Hold ~ / .ssh / id_dsa kan anvendes til transformation af nøglen og krypteringsmetoden (eller rsa). For at oprette en offentlig nøgle, der anvendes af konverteringen hjælp linjen ~ / .ssh / identity.pub (men ikke nødvendigvis). Men som praksis viser, er den nemmeste måde at bruge kommandoer som ssh-keygen. Her essensen af problemet er reduceret kun til det faktum, at tilføje nøglen til de tilgængelige authentication værktøjer (~ / .ssh / authorized_keys).

Men vi er gået for langt. Hvis du går tilbage til portindstillinger SSH spørgsmålet, som det har været tydelig ændring SSH porten er ikke så svært. Men i nogle situationer, siger de, bliver nødt til at svede, fordi det er nødvendigt at tage hensyn til alle værdier af nøgleparametre. Resten af konfigurationen problem kan koges ned til indgangen af en server eller klient-program (hvis det er fastsat i starten), eller til at bruge port forwarding på routeren. Men selv i tilfælde af ændring af port 22, er standard, til det samme 443., skal forstås tydeligt, at en sådan ordning ikke altid virker, men kun i tilfælde af at installere den samme tilføjelsesprogrammet Jabber (andre analoger kan aktivere og deres respektive porte, den adskiller sig fra standarden). Desuden bør man være særlig opmærksom parametrering SSH-klient, som direkte vil interagere med SSH-serveren, hvis det virkelig er meningen at bruge den aktuelle forbindelse.

Som for resten, hvis den port forwarding ikke er fastsat oprindeligt (selv om det er ønskeligt at udføre sådanne handlinger), indstillinger og muligheder for adgang via SSH, kan du ikke ændre. Der eventuelle problemer, når du opretter en forbindelse, og den videre anvendelse generelt forventes ikke (medmindre, selvfølgelig, ikke vil blive brugt manuelt konfigurere konfigurationen serverbaseret og klient). De mest almindelige undtagelser fra skabelsen af reglerne om routeren giver dig mulighed for at rette eventuelle problemer eller undgå dem.