Hvordan konfigurere og bruke SSH port? Trinnvis veiledning

Secure Shell, eller forkortet til SSH, er det en av de mest avanserte databeskyttelse teknologi i overføringen. Bruken av et slikt regime på samme router tillater ikke bare konfidensialitet av overført informasjon, men også for å øke hastigheten på den utveksling av pakker. Men ikke alle vet langt som å åpne SSH port, og hvorfor alt dette er nødvendig. I dette tilfellet er det nødvendig å gi en konstruktiv forklaring.

Port SSH: hva er det og hvorfor vi trenger?

Siden vi snakker om sikkerhet, i dette tilfellet, under SSH-porten skal forstås dedikert kanal i form av en tunnel, som sørger for datakryptering.

Den mest primitive ordningen av denne tunnel er det en åpen SSH-port blir brukt som standard for å kryptere data ved kilden og dekryptering på endepunktet. Dette kan forklares slik: enten du liker det eller ikke, overføres trafikk, i motsetning til IPSec, kryptert under tvang og utgang til nettverket, og på mottaks side av inngangen. For å dekryptere informasjonen som overføres på denne kanal, bruker den mottakende terminal en spesiell nøkkel. Med andre ord, for å gripe inn i overføringen eller kompromittere integriteten av de overførte data i øyeblikket kan man ikke uten en nøkkel.

Bare åpne SSH-port på en ruter eller ved å bruke de riktige innstillingene for ekstra klient kommuniserer direkte med SSH-server, kan du dra full nytte av alle funksjonene i moderne nettverk sikkerhetssystemer. Vi er her om hvordan du bruker en port som er tildelt av standardinnstillingene eller egendefinerte. Disse parametrene i programmet kan se vanskelig, men uten en forståelse av organiseringen av en slik forbindelse er ikke nok.

Standard SSH port

Hvis, ja, basert på parametere av noe av ruteren bør først bestemme rekkefølgen, hva slags programvare skal brukes til å aktivere denne linken. Faktisk kan den vanlige SSH port ha forskjellige innstillinger. Alt avhengig av hvilken metode som anvendes for øyeblikket (direkte tilkobling til serveren, installere ekstra klient portkobling og D. osv.).

For eksempel, hvis klienten brukes Jabber, for korrekt tilkobling, kryptering og overføring av data port 443 skal benyttes, selv om den utførelsesform som er angitt i standarden port 22.

For å tilbakestille ruteren til fordeling for et bestemt program eller behandle de nødvendige betingelser må utføre port videresending SSH. Hva er det? Det er hensikten med et bestemt aksess til et enkelt program som bruker en Internett-forbindelse, uavhengig av hvilken innstillingen er aktuelle protokoll utveksle data (IPv4 eller IPv6).

teknisk begrunnelse

Standard SSH port 22 er ikke alltid brukt som det var allerede klart. Men her er det nødvendig å sette av noen av de egenskapene og innstillingene som brukes under installasjonen.

Hvorfor kryptert data konfidensialitet protokollen innebærer bruk av SSH som en rent ytre (gjest) bruker port? Men bare fordi tunneling er brukt den tillater bruk av en såkalt ekstern shell (SSH), for å få tilgang til terminalen styring gjennom ekstern pålogging (slogge), og bruke remote procedure kopi (scp).

I tillegg kan SSH-port aktiveres i tilfellet hvor brukeren er nødvendig for å utføre fjern skript X vinduer, som i det enkleste tilfellet er en overføring av informasjon fra en maskin til en annen, som har vært sagt, med en tvungen datakryptering. I slike situasjoner vil det mest nødvendige bruke basert på AES-algoritmen. Dette er en symmetrisk krypteringsalgoritme, som opprinnelig ble gitt i SSH teknologi. Og bruke det ikke bare mulig, men nødvendig.

History of realisering

Teknologien har dukket opp i lang tid. La oss la til side spørsmålet om hvordan å lage glasur SSH port, og fokusere på hvordan det hele fungerer.

Vanligvis det kommer ned til, for å bruke en proxy på grunnlag av sokker eller bruke VPN tunneling. I tilfelle noen program kan arbeide med VPN, bedre å velge dette alternativet. Det faktum at nesten alle kjente programmer i dag bruker Internett-trafikk, kan VPN fungere, men lett ruting konfigurasjon er det ikke. Dette, som i tilfelle av proxy-servere, gjør det mulig å la den eksterne adressen til terminalen fra hvilken det for tiden produseres i utgangskretsen, som ikke gjenkjennes. Det er tilfelle med proxy-adressen er alltid i endring, og VPN-versjonen forblir uendret med fiksering av en bestemt region, annet enn der det er et forbud mot tilgang.

Den samme teknologien som tilbyr SSH port, ble utviklet i 1995 i University of Technology i Finland (SSH-1). I 1996 har forbedringer blitt lagt i form av SSH-2-protokollen, som var ganske utbredt i det post-sovjetiske plass, selv for dette, samt i noen vesteuropeiske land, er det noen ganger nødvendig å innhente tillatelse til å bruke denne tunnelen, og fra offentlige etater.

Den største fordelen med å åpne SSH-port, i motsetning til Telnet eller rlogin, er bruk av digitale signaturer RSA eller DSA (ved bruk av et par av åpne og en nedgravd nøkkel). Videre, i denne situasjon kan man bruke såkalt sesjonsnøkkelen basert på Diffie-Hellman algoritmen, som innebærer bruk av en symmetrisk krypterings utgang, men ikke utelukker bruk av asymmetriske krypteringsalgoritmer ved dataoverføringen og mottakelse av en annen maskin.

Servere og skallet

På Windows eller Linux SSH-port åpen er ikke så vanskelig. Det eneste spørsmålet er, hva slags verktøy for dette formålet vil bli brukt.

I denne forstand er det nødvendig å ta hensyn til spørsmålet om informasjonsoverføring og autentisering. For det første er protokollen selv tilstrekkelig ivaretatt av den såkalt sniffing, som er den mest vanlige "avlytting" av trafikk. SSH-en viste seg å være sårbare for angrep. Forstyrrelser i prosessen med overføring av data i form av en ordning av "man i midten" hadde resultatene. Informasjon kan bare fange opp og tyde ganske elementært. Men den andre versjonen (SSH-2) har vært immune mot denne typen inngrep, kjent som øktkapring, takket være det som er mest populære.

Bans sikkerhet

Som for sikkerhet for de overførte og mottatte data, organisering av tilkoblinger som er opprettet med bruk av slik teknologi gjør det mulig å unngå disse problemene:

• identifikasjon nøkkel til verten ved sendetrinnet, når et "øyeblikksbilde» fingeravtrykket;
• Støtte for Windows og UNIX-lignende systemer;
• substitusjon av IP-adresser og DNS (-forfalskning);
• avskjære åpen passord med fysisk tilgang til datakanalen.

Egentlig er hele organiseringen av et slikt system bygget på prinsippet om "klient-server", det vil si først og fremst brukerens datamaskin gjennom et spesielt program eller add-in samtaler til serveren, som produserer en tilsvarende omdirigering.

tunneling

Det sier seg selv at gjennomføringen av tilkobling av denne typen i en spesiell driver må være installert på systemet.

Vanligvis, i Windows-baserte systemer er bygget inn i programmet skallet driver Microsoft Teredo, som er en form for virtuelle emulerings hjelp av IPv6-nettverk som støtter IPv4. Tunnel standard adapter er aktiv. I tilfelle av svikt i forbindelse med den, kan du bare gjøre en omstart av systemet eller utføre en nedleggelse og starte kommandoer fra kommandokonsollen. For å deaktivere slike linjer er benyttet:

• netsh;
• grensesnitt Teredo satt tilstand deaktivert;
• grensesnitt ISATAP satt tilstand deaktivert.

Etter inn i kommandoen skal starte. For å aktivere kortet og sjekke status for funksjonshemmede i stedet for aktivert registre tillatelse, etter som, igjen, bør starte hele systemet.

SSH-serveren

La oss nå se hvordan SSH porten brukes som kjernen, fra ordningen "klient-server". Standard påføres vanligvis 22 minutter port, men, som nevnt ovenfor, kan anvendes, og fire hundre og førtitredje. Det eneste spørsmålet i preferanse av selve serveren.

De mest vanlige SSH-servere er ansett for å være følgende:

• for Windows: Tectia SSH Server, OpenSSH med Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd;
• for FreeBSD: OpenSSH;
• for Linux: Tectia SSH server, ssh, openssh-server, LSH-server, dropbear.

Alle serverne er gratis. Men du kan finne og betalte tjenester som gir enda større grad av sikkerhet, som er avgjørende for organiseringen av nettverkstilgang og informasjonssikkerhet i bedrifter. Kostnaden for slike tjenester er ikke diskutert. Men generelt kan vi si at det er relativt billig, selv i sammenligning med installasjon av spesiell programvare eller "hardware" brannmur.

SSH-klient

Endre SSH port kan gjøres på grunnlag av klientprogrammet eller de riktige innstillingene når port forwarding på ruteren.

Men hvis du berører klienten skallet, følgende programvareprodukter kan brukes til ulike systemer:

• Windows - SecureCRT, PuTTY \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD etc;..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux og BSD: LSH-klient, kdessh, openssh-klient, Vinagre, kitt.

Autentisering er basert på den offentlige nøkkelen, og endre porten

Nå noen ord om hvordan verifikasjon og sette opp en server. I det enkleste tilfellet, må du bruke en konfigurasjonsfil (sshd_config). Men du kan gjøre uten det, for eksempel når det gjelder programmer som PuTTY. Endre SSH port fra standardverdien (22) til en annen er helt elementært.

Det viktigste - å åpne en port nummer ikke overstiger verdien av 65535 (høyere havner rett og slett ikke finnes i naturen). I tillegg bør ta hensyn til noen åpne porter som standard, som kan brukes av kunder som MySQL eller ftpd databaser. Hvis du angir dem for SSH-konfigurasjon, selvfølgelig, de bare slutte å fungere.

Det er verdt å merke seg at den samme Jabber klient må kjøre i samme miljø ved hjelp av SSH-server, for eksempel på en virtuell maskin. Og de fleste server localhost må tildele en verdi til 4430 (i stedet for 443, som nevnt ovenfor). Denne konfigurasjon kan brukes når adgang til hovedfilen jabber.example.com blokkeres av brannmuren.

På den annen side, kan overføring portene være på ruteren med konfigurasjonen av sitt grensesnitt med etableringen av unntak fra reglene. I de fleste modeller inngang via inngangs- adresser som begynner med 192.168 supplert med 0,1 eller 1,1, men rutere som kombinerer kapasiteter ADSL-modemer som Mikrotik, omfatter sluttadresse bruk på 88,1.

I dette tilfellet, opprette en ny regel, og deretter sette de nødvendige parametrene, for eksempel vil installere den eksterne tilkoblingen dst-nat, samt manuelt foreskrevet havner ikke under de generelle innstillinger og i den delen av Aktivism preferanser (Handling). Ingenting er for komplisert her. Det viktigste - å spesifisere de nødvendige verdier for innstillinger og angi riktig port. Som standard kan du bruke port 22, men hvis kunden bruker en spesiell (noen av de ovennevnte for forskjellige systemer), kan verdien endres vilkårlig, men bare slik at denne parameteren ikke overstiger oppgitt verdi, over som portnumrene er rett og slett ikke tilgjengelig.

Når du setter opp tilkoblinger også bør ta hensyn til parametrene av klientprogrammet. Det kan godt være at det i innstillingene må spesifisere minimumslengden på tasten (512), selv om standard er vanligvis satt 768. Det er også ønskelig å sette timeout for å logge seg på nivået av 600 sekunder og ekstern tilgang tillatelse med root rettigheter. Etter bruk disse innstillingene, må du også tillate bruk av alle godkjennings rettigheter, annet enn de som er basert på bruk .rhost (men det er bare nødvendig å systemadministratorer).

Blant annet hvis brukernavnet er registrert i systemet, ikke det samme som introduserte i øyeblikket, det må spesifiseres eksplisitt å bruke hovedkommando brukeren ssh med innføringen av flere parametere (for de som forstår hva som står på spill).

Lagets ~ / .ssh / id_dsa kan brukes til transformasjon av nøkkel og krypteringsmetode (eller RSA). For å opprette en offentlig nøkkel som brukes ved konvertering bruker linjen ~ / .ssh / identity.pub (men ikke nødvendigvis). Men som praksis viser, den enkleste måten å bruke kommandoer som ssh-keygen. Her essensen av problemet er redusert bare til det faktum, for å legge nøkkelen til de tilgjengelige autentiseringsverktøy (~ / .ssh / authorized_keys).

Men vi har gått for langt. Hvis du går tilbake til portinnstillingene SSH problemet, er som har vært klar endring SSH port ikke så vanskelig. Men i noen situasjoner, sier de, blir nødt til å svette, fordi behovet for å ta hensyn til alle verdier av viktige parametere. Resten av konfigurasjonsfeil, koker ned til inngangen til en server eller klient program (dersom det er tilveiebragt innledningsvis), eller for å bruke port videresending i ruteren. Men selv i tilfelle endring av port 22, standard, til samme fire hundre og førtitredje bør gjøres klart at en slik ordning fungerer ikke alltid, men bare i tilfelle av å installere det samme tillegget Jabber (andre analoger kan aktivere og deres respektive porter, den skiller seg fra den standard). I tillegg bør spesiell oppmerksomhet gis parameter innstilling SSH-klient, som vil direkte samhandler med SSH-server, hvis det virkelig er ment å bruke den gjeldende tilkoblingen.

Som for resten, hvis port forwarding ikke er gitt i utgangspunktet (selv om det er ønskelig å utføre slike handlinger), innstillinger og muligheter for tilgang via SSH, du kan ikke endre. Det eventuelle problemer ved oppretting av en forbindelse, og dets videre anvendelse, generelt, ikke kan forventes (med mindre selvfølgelig ikke skal brukes manuelt konfigurere konfigurasjonen serverbasert og klient). De vanligste unntakene til etableringen av regler om ruteren kan du rette eventuelle problemer eller unngå dem.