Hur man konfigurerar och använder SSH-porten? Steg för steg guide

Secure Shell, eller förkortat SSH, är det en av de mest avancerade tekniken för dataskydd i överföringen. Användningen av en sådan ordning på samma router tillåter inte bara sekretessen för överförd information, men också för att påskynda utbytet av paket. Men inte alla vet långt som att öppna SSH-porten, och varför allt detta är nödvändigt. I detta fall är det nödvändigt att ge en konstruktiv förklaring.

Port SSH: vad är det och varför behöver vi?

Eftersom vi talar om säkerhet, i detta fall, under SSH-porten skall förstås dedicerad kanal i form av en tunnel, som ger datakryptering.

Den mest primitiva systemet av denna tunnel är att en öppen SSH-port används som standard för att kryptera data vid källan och dekryptering på slutpunkten. Detta kan förklaras på följande sätt: om du vill det eller inte, överförd trafik, till skillnad från IPSec, krypterade under tvång och utgången på nätverket och på den mottagande sidan av entrén. Att dekryptera den information som överförs på denna kanal använder mottagande terminalen en specialnyckel. Med andra ord, att ingripa i överföringen eller äventyra integriteten i de överförda data för tillfället kan man inte utan nyckel.

Bara öppna SSH-port på någon router eller genom att använda lämpliga inställningar för ytterligare kund interagerar direkt med SSH-server, kan du till fullo utnyttja alla funktioner i moderna nätverk säkerhetssystem. Vi är här på hur man använder en port som tilldelas som standard eller anpassade inställningar. Dessa parametrar i programmet kan se svårt, men utan en förståelse för organisationen av en sådan anslutning är inte tillräckligt.

Standard SSH-porten

Om ja, baserat på parametrarna för någon av routern bör först bestämma i vilken ordning, vilken typ av programvara kommer att användas för att aktivera den här länken. I själva verket kan den förvalda SSH-porten ha olika inställningar. Allt beror på vilken metod som används för närvarande (direkt anslutning till servern, installation av extra klient Port Forwarding och så vidare. D.).

Till exempel, om klienten används Jabber, för korrekta anslutningar, kryptering och data överföringsöppning 443 skall användas, även om utföringsformen ligger i den standardport 22.

För att återställa routern till anslaget för ett visst program eller bearbeta förutsättningar måste utföra port forwarding SSH. Vad är det? Det är syftet med en viss tillgång till ett enda program som använder en Internet-anslutning, oavsett vilken inställning är aktuella protokollutbytesdata (IPv4 eller IPv6).

teknisk motivering

Standard SSH-porten 22 är inte alltid som det var redan klart. Det är dock här nödvändigt att avsätta en del av de egenskaper och inställningar som används under installationen.

Varför krypterad datasekretess protokoll innebär användning av SSH som en rent extern (guest) användarport? Men bara för att tunnel appliceras det tillåter användning av en så kallad fjärrskal (SSH), för att få tillgång till terminalhantering genom fjärrinloggning (slogin) och tillämpa fjärrkopieringsproceduren (SCP).

Dessutom kan SSH-port aktiveras i det fall då användaren är nödvändig för att köra fjärr skript X Windows, som i det enklaste fallet är en överföring av information från en maskin till en annan, vilket har nämnts, med en påtvingad datakryptering. I sådana situationer de mest nödvändiga kommer använda baseras på AES-algoritmen. Detta är en symmetrisk krypteringsalgoritm, som ursprungligen fanns i SSH-tekniken. Och använda det inte bara möjligt utan nödvändigt.

Historien om förverkligandet

Tekniken har dykt upp under en lång tid. Låt oss lämna åt sidan frågan om hur man gör isbildning SSH-port, och fokusera på hur det hela fungerar.

Vanligtvis handlar det om att att använda en proxy på grundval av strumpor eller använda VPN tunnel. Vid vissa program kan arbeta med VPN, bättre att välja detta alternativ. Det faktum att nästan alla kända program idag använder Internet-trafik, kan VPN arbeta, men lätt dirigering konfiguration inte. Detta, liksom i fallet med proxyservrar, gör det möjligt att lämna den yttre adressen för terminalen från vilken för närvarande produceras i utgångsnätet, okänt. Så är fallet med proxyadress är alltid förändras, och VPN version är oförändrad med upptagningen av en viss region, än den där det finns ett förbud mot tillträde.

Samma teknik som ger SSH-port, utvecklades under 1995 i University of Technology i Finland (SSH-1). Under 1996 har förbättringar lagts till i form av SSH-2-protokollet, som var ganska utbredd i den postsovjetiska utrymmet, men för detta, liksom i en del västeuropeiska länder, är det ibland nödvändigt att få tillstånd att använda denna tunnel och från statliga myndigheter.

Den största fördelen med att öppna SSH-porten, i motsats till telnet eller rlogin, är användningen av digitala signaturer RSA eller DSA (användning av ett par av öppen och en nedgrävd nyckel). Vidare i denna situation kan du använda så kallad sessionsnyckel baserad på Diffie-Hellman-algoritmen, som innebär användning av en symmetrisk kryptering utgång, men inte utesluta användningen av asymmetriska krypteringsalgoritmer under dataöverföring och mottagning av en annan maskin.

Servrar och skal

I Windows eller Linux SSH-port öppen är inte så svårt. Frågan är bara, vilken typ av verktyg för detta ändamål kommer att användas.

I denna mening är det nödvändigt att uppmärksamma frågan om överföring och autentiseringsinformation. För det första är själva protokollet tillräckligt skydd genom den så kallade sniffning, som är den mest vanliga "avlyssning" trafik. SSH-1 visade sig vara sårbar för attacker. Störningar i färd med att överföra data i form av ett system för "man i mitten" hade sina resultat. Information kan helt enkelt fånga upp och dechiffrera ganska elementära. Men den andra versionen (SSH-2) har varit immun mot denna typ av intervention, som kallas sessionskapning, tack vare det som är mest populära.

förbud säkerhet

När det gäller säkerheten för de överförda och mottagna data, tillåter organisationen anslutningar som upprättats med hjälp av sådan teknik undvika följande problem:

• identifieringsnyckel till värden vid överföringssteget, när en "ögonblicksbild» fingeravtryck;
• Stöd för Windows och UNIX-liknande system;
• substitution av IP- och DNS-adresser (spoofing);
• avlyssning öppna lösenord med fysisk tillgång till datakanalen.

Egentligen är hela organisationen av ett sådant system som bygger på principen "client-server", det vill säga i första hand användarens dator via ett särskilt program eller lägga in samtal till servern, vilket ger en motsvarande omdirigering.

tunnling

Det är självklart att genomförandet av anslutningen av detta slag i en särskild förare måste installeras på systemet.

Vanligtvis i Windows-baserade system är inbyggt i programmet skal föraren Microsoft Teredo, som är en slags virtuell emulering medel IPv6 i nätverk endast stöder IPv4. Tunnel standard adapter är aktiv. I händelse av fel i samband med det, kan du bara göra en omstart av systemet eller utföra en avstängning och starta kommandon från kommandokonsolen. Att avaktivera sådana linjer används:

• netsh;
• gränssnitts teredo inställda tillståndet inaktiverad;
• interface ISATAP satt tillstånd inaktiverad.

När du har angett kommandot ska starta. För att återaktivera adaptern och kontrollera status för funktionshindrade i stället för den aktiverade register tillstånd, varefter återigen bör starta om hela systemet.

SSH-server

Nu ska vi se hur SSH porten används som kärna, med början från systemet "client-server". Standard appliceras vanligen 22 minuter port, men, såsom nämnts ovan, kan användas och den 443: e. Den enda fråga i föredrar själva servern.

De vanligaste SSH-servrar anses vara följande:

• för Windows: Tectia SSH Server, OpenSSH med Cygwin, MobaSSH, KpyM Telnet / SSH Server WinSSHD, copssh, freeSSHd;
• för FreeBSD: OpenSSH;
• för Linux: Tectia SSH Server, ssh, openssh-server, LSH-server, dropbear.

Alla servrar är gratis. Däremot kan du hitta och betalda tjänster som ger ännu högre nivåer av säkerhet, vilket är nödvändigt för att organisera tillgång nät- och informationssäkerhet i företag. Kostnaden för dessa tjänster inte diskuteras. Men i allmänhet kan man säga att det är relativt billigt, även i jämförelse med installation av särskild programvara eller "hårdvara" brandvägg.

SSH-client

Ändra SSH-porten kan göras på grundval av klientprogrammet eller lämpliga inställningar när portforwarding på routern.

Men om du trycker på klient skal, följande programvaruprodukter kan användas för olika system:

• Windows - SecureCRT, kitt \ KiTTY, Axessh, ShellGuard, SSHWindows, ZOC, xShell, ProSSHD etc...
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux och BSD: LSH-klient, kdessh, openssh-client, Vinagre, kitt.

Autentisering är baserad på den publika nyckeln, och ändra port

Nu några ord om hur kontrollen och inrätta en server. I det enklaste fallet, måste du använda en konfigurationsfil (sshd_config). Men du kan göra utan att det till exempel i fallet med program som kitt. Förändring SSH-porten från standardvärdet (22) till någon annan är helt elementära.

Det viktigaste - att öppna ett portnummer inte överstiger värdet av 65535 (högre portar helt enkelt inte existerar i naturen). Dessutom bör vara uppmärksamma på vissa öppna portar som standard, vilket kan användas av kunder som MySQL eller ftpd databaser. Om du anger dem för SSH-konfiguration, naturligtvis, de bara sluta fungera.

Det är värt att notera att samma Jabber-klienten måste köra i samma miljö med SSH-server, till exempel på en virtuell maskin. Och de flesta server localhost kommer att behöva tilldela ett värde till 4430 (i stället för 443, som nämnts ovan). Denna konfiguration kan användas när åtkomst till huvudfilen jabber.example.com blockeras av brandväggen.

Å andra sidan kan överföringsportarna vara på routern med hjälp av konfigurationen av dess samverkan med skapandet av undantag från reglerna. I de flesta modeller som matas in genom inmatningsadresser som börjar med 192,168 kompletterat med 0,1 eller 1,1, men routrar kombinerar kapacitet ADSL-modem som Mikrotik, involverar slutadressen användning av 88,1.

I detta fall, skapa en ny regel, ställ sedan in de nödvändiga parametrarna, till exempel för att installera den externa anslutningen dst-nat, liksom manuellt föreskrivna portar är inte enligt de allmänna inställningarna och i den del av Aktivism preferenser (Action). Inget alltför komplicerat här. Det viktigaste - att ange önskade värden av inställningar och ställ in rätt port. Som standard kan du använda port 22, men om kunden använder en speciell (några av de ovan för olika system), kan värdet ändras godtyckligt, men bara så att denna parameter inte överstiger det deklarerade värdet, ovanför vilket portnummer är helt enkelt inte finns.

När du ställer in anslutningar bör också uppmärksamma parametrarna för klientprogrammet. Det kan mycket väl vara så att i sina inställningar måste ange minimilängden på nyckeln (512), även om standard är vanligtvis inställd 768. Det är också önskvärt att ställa in timeout för att logga in på samma nivå som 600 sekunder och den fjärråtkomst tillstånd med root rättigheter. Efter applicering dessa inställningar, måste du också tillåta användning av alla autentiserings rättigheter, andra än de som är baserade på användning .rhost (men det är nödvändigt för systemadministratörer).

Bland annat om användarnamnet är registrerat i systemet, inte samma sak som införts just nu, det måste uttryckligen anges med användar ssh mästare kommando med införandet av ytterligare parametrar (för dem som förstår vad som står på spel).

Laget ~ / .ssh / id_dsa kan användas för transformation av nyckeln och krypteringsmetoden (eller rsa). Att skapa en publik nyckel som används av den omvandling med användning av linjen ~ / .ssh / identity.pub (men inte nödvändigtvis). Men, som det visat sig, det enklaste sättet att använda kommandon som ssh-keygen. Här kärnan i problemet reduceras endast på det faktum, att lägga nyckeln till de tillgängliga verktygen autentiserings (~ / .ssh / authorized_keys).

Men vi har gått för långt. Om du går tillbaka till portinställningarna SSH frågan är vilket har varit tydlig förändring SSH-porten inte så svårt. Men i vissa situationer, säger de, kommer att behöva svettas, eftersom behovet av att ta hänsyn till alla värden på viktiga parametrar. Resten av konfigurationsproblem kokar ner till ingången av varje server eller klientprogram (om det finns en början), eller att använda port forwarding på routern. Men även i händelse av förändring av hamnen 22, standard, till samma 443: e, bör stå klart att ett sådant system inte alltid fungerar, men bara när det gäller att installera samma tilläggs Jabber (andra analoger kan aktivera och deras respektive portar, den skiljer sig från standard). Dessutom bör särskild uppmärksamhet ägnas åt parameterinställning SSH-klient, som direkt kommer att samverka med SSH-server, om det verkligen tänkt att använda den aktuella anslutningen.

För övrigt, om port forwarding inte tillhandahålls initialt (även om det är önskvärt att utföra sådana åtgärder), inställningar och alternativ för åtkomst via SSH, du kan inte ändra. Det några problem när du skapar en anslutning och dess vidare användning i allmänhet inte förväntas (om inte, naturligtvis, inte kommer att användas manuellt konfigurera konfigurationsserverbaserad och klient). De vanligaste undantag för skapandet av regler för router kan du korrigera eventuella problem eller undvika dem.