Ako konfigurovať a používať SSH port? podrobný sprievodca

Secure Shell, alebo skrátene SSH, je to jedna z najmodernejších technológií na ochranu osobných údajov v oblasti prenosu. Použitie tohto systému na rovnakom routeru umožňuje nielen dôvernosť prenášaných informácií, ale aj k urýchleniu výmeny paketov. Avšak, nie každý vie, že pokiaľ ide o otvorenie portu SSH, a preto, že toto všetko potrebné. V tomto prípade je nutné dať konštruktívne vysvetlenie.

Port SSH: čo to je a prečo to potrebujeme?

Vzhľadom k tomu, hovoríme o bezpečnosti, v tomto prípade v rámci SSH porte treba chápať vyhradený kanál v tvare tunelu, ktorý zaisťuje šifrovanie dát.

Najprimitívnejšie schéma tohto tunela je skutočnosť, že otvorená SSH-Port je predvolene použitý pre šifrovanie dát priamo pri zdroji a dešifrovanie na koncový bod. To možno vysvetliť takto: nech sa vám to páči alebo nie, prenáša prevádzku, na rozdiel od IPSec, šifrovaný pod nátlakom a výstupný terminál siete, a na prijímacej strane od vchodu. Dešifrovať informácie zaslané na tomto kanáli, prijímacie terminál používa špeciálny kľúč. Inými slovami, zasahovať do prevodu alebo ohroziť integritu prenášaných dát v okamihu, keď človek nemôže bez kľúča.

Len otvorenie SSH-port na akomkoľvek routeru alebo pomocou vhodných nastavení ďalšieho klienta spolupracuje priamo s SSH serverom, umožňuje plne využívať všetky funkcie moderných sieťových bezpečnostných systémov. Sme tu na to, ako použiť port, ktorá je priradená predvolené alebo vlastné nastavenie. Tieto parametre v žiadosti môže vyzerať ťažké, ale bez pochopenia organizácia takéhoto vzťahu nestačí.

Štandardné port SSH

Ak sa skutočne na základe parametrov niektorého z routeru je potrebné najprv určiť poradie, aký softvér bude použitý pre aktiváciu tohto odkazu. V skutočnosti je predvolený SSH port môže mať rôzne nastavenia. Všetko záleží na tom, čo metóda sa používa v tomto okamihu (priame pripojenie k serveru, inštalácia ďalšieho presmerovania portu klienta a tak ďalej. D.).

Napríklad v prípade, že klient používa Jabber pre správne pripojenie, šifrovanie a dátovú prípojkou pre prenos 443 má byť použitá, aj keď prevedenie je nastavená štandardný port 22.

Ak chcete resetovať smerovač na prideľovanie pre konkrétny program alebo proces nevyhnutné podmienky nutné vykonať smerovanie portu SSH. Čo je to? To je účel konkrétneho prístupu do jedného programu, ktorý využíva pripojenie k internetu bez ohľadu na to, ktoré nastavenie je aktuálne výmenné protokol dát (IPv4 alebo IPv6).

technické zdôvodnenie

Štandardné SSH port 22 nie je vždy, ako to bolo už jasné. Avšak, tu je nutné prideliť niektoré z vlastností a nastavení používaných počas inštalácie.

Prečo šifrované dáta dôvernosť protokol zahŕňa použitie SSH ako čisto vonkajšie (hodnotenie) používateľského portu? Ale len preto, že je aplikovaný tunelovanie umožňuje použitie takzvaného diaľkového shell (SSH), aby ste získali prístup k terminálu riadenie prostredníctvom vzdialeného prihlásení (spřihlásit), a uplatní postup vzdialeného kopírovania (SCP).

Okrem toho, SSH-port môže byť aktivovaný v prípade, kedy je nutné aby užívateľ vykonávať vzdialenej skripty X Windows, ktorý v najjednoduchšom prípade je prenos informácií z jedného počítača do druhého, ako už bolo povedané, s núteným šifrovanie dát. V takýchto situáciách je najpotrebnejšie budú používať na základe algoritmu AES. Jedná sa o symetrický šifrovací algoritmus, ktorý bol pôvodne uvedený v SSH technológie. A používať to nielen možné, ale nutné.

História realizácie

Táto technológia sa objavil na dlhú dobu. Nechajme bokom otázku, ako sa robí námraza SSH port a sústrediť sa na, ako to všetko funguje.

Obvykle ide o to, použiť proxy na základe ponožky alebo pomocou VPN tunelovanie. V prípade, že sa niektoré softvérové aplikácie pracovať s VPN, lepšie zvoliť túto možnosť. Skutočnosť, že takmer všetky známe programy dnes používať internetový prevádzku, VPN môže fungovať, ale ľahko smerovanie konfigurácia nie je. To, rovnako ako v prípade proxy serverov, umožňuje ponechať externé adresy terminálu, z ktorého v súčasnosti vyrábané vo výstupnom sieti, nepovšimnutý. To je prípad s proxy adresy sa neustále mení, a VPN verzia zostáva nezmenená s fixáciou na určité oblasti, ako je ten, kde je zákaz prístupu.

Ten istý technológia, ktorá ponúka portu SSH, bol vyvinutý v roku 1995 v University of Technology vo Fínsku (SSH-1). V roku 1996 došlo k zlepšeniu pridané vo forme SSH-2 protokol, ktorý bol pomerne rozšírený v post-sovietskom priestore, aj keď pre to, rovnako ako v niektorých krajinách západnej Európy, je niekedy nutné získať oprávnenie používať tento tunel, a od vládnych agentúr.

Hlavnou výhodou otvorenie SSH-port, na rozdiel od telnet alebo rlogin, je použitie digitálnych podpisov RSA alebo DSA (použitia páru otvorené a pochovaný kľúč). Okrem toho, v tejto situácii, môžete použiť takzvaný kľúč relácie založenú na Diffie-Hellman algoritmus, ktorý zahŕňa použitie symetrického šifrovania výstupu, aj keď nevylučuje použitie asymetrických šifrovacích algoritmov v priebehu prenosu dát a príjem iným strojom.

Servery a shell

V systéme Windows alebo Linux SSH porty otvoreným nie je tak ťažké. Jedinou otázkou je, aký druh nástroja na tento účel budú použité.

V tomto zmysle je potrebné venovať pozornosť otázke prenosu informácií a overovania. Po prvé, Protokol je dostatočne chránený tzv ňuchania, čo je najobvyklejší "odposluchov" prevádzky. SSH-1 sa ukázal byť náchylné k útokom. Zasahovanie do procesu prenosu dát vo forme schéme "man in the middle" má svoje výsledky. Informácie by mohli jednoducho zachytiť a rozšifrovať úplne elementárne. Ale druhá verzia (SSH-2) bol imúnny voči tomuto druhu intervencie, známy ako neoprávneným prístupom, a to vďaka tomu, čo je najobľúbenejší.

zakazuje zabezpečenia

Čo sa týka bezpečnosti, pokiaľ ide o odoslaných a prijatých dát, organizácia nadviazaných spojenie s využitím tejto technológie umožňuje vyhnúť sa s týmito problémami:

• identifikačný kľúč k hostiteľovi v prenosovom kroku, kedy sa "snímku» odtlačok;
• Podpora pre Windows a UNIX-like systémoch;
• substitúcie IP a DNS adries (spoofing);
• záchytné otvorený heslo s fyzickým prístupom k dátovým kanálom.

V skutočnosti, celá organizácia takéhoto systému je postavená na princípe "klient-server", to znamená, že v prvom rade užívateľovom počítači pomocou špeciálneho programu alebo doplnok volania na serveri, ktorý produkuje zodpovedajúce presmerovanie.

tunelovanie

Je samozrejmé, že realizácia spojenie tohto druhu v špeciálnom ovládačom musí byť nainštalovaná v systéme.

Typicky, v systémoch Windows je integrovaná do ovládač programu shell Microsoft Teredo, ktorý je akousi virtuálnou emulácie prostredníctvom protokolu IPv6 v sieťach iba podporujúcich IPv4. Tunel predvolený adaptér je aktívny. V prípade poruchy spojené s tým, stačí vykonať reštart systému alebo vykonať vypnutie a reštart príkazy z príkazového konzoly. Deaktivácia sa také linky:

• netsh;
• Rozhranie Teredo set state zakázané;
• Rozhranie ISATAP nastaviť stav zakázané.

Po zadaní príkazu by sa reštartuje. Ak chcete znova povoliť adaptér a skontrolujte stav telesne postihnuté miesto povoleným povolenie registrov, po ktorom opäť mali reštartovať celý systém.

SSH-server

Teraz sa pozrime, ako sa SSH port používaný ako jadro, vychádzajúc z režimu "klient-server". Predvolené je zvyčajne aplikovaná 22 minút portu, ale ako už bolo uvedené vyššie, môžu byť použité a 443 .. Jedinou otázkou v preferenciách samotného servera.

Medzi najčastejšie SSH servery sa považuje nasledovné:

• pre Windows: Tectite SSH servera OpenSSH s Cygwin, MobaSSH, KpyM Telnet / SSH server, WinSSHD, copssh, freeSSHd;
• pre FreeBSD: OpenSSH;
• pre Linux: Tectite SSH servera SSH OpenSSH-server, LSH-server, dropbear.

Všetky servery sú zadarmo. Avšak, môžete nájsť a platené služby, ktoré poskytujú ešte vyššiu úroveň bezpečnosti, ktorá je nevyhnutná pre organizáciu prístupu do siete a informačnú bezpečnosť v podnikoch. Náklady na tieto služby nie je diskutovaná. Ale všeobecne sa dá povedať, že je pomerne lacná, a to aj v porovnaní s inštaláciou špeciálneho softvéru alebo "hardvér" firewall.

SSH klient

Zmena SSH port môže byť vykonaná na základe klientského programu alebo príslušných nastavení pri presmerovaní portu na routeri.

Avšak, ak sa dotknete klienta škrupinu, tieto softvérové produkty môžu byť použité pre rôzne systémy:

• Okná - SecureCRT, tmely \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD atď.;.
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux a BSD: LSH-client, kdessh, openssh-client, Vinagre, tmely.

Autentizácia je založená na verejný kľúč a zmeniť port

Teraz pár slov o tom, ako overovanie a nastavenia servera. V najjednoduchšom prípade je nutné použiť konfiguračný súbor (sshd_config). Avšak, môžete tak urobiť bez nej, napríklad v prípade programov, ako je tmelom. Zmena SSH port z východiskovej hodnoty (22) akákoľvek iná je úplne elementárne.

Hlavná vec - otvoriť číslo portu neprekročí hodnotu 65535 (vyššia porty jednoducho neexistujú v prírode). Okrem toho by mali venovať pozornosť niekoľkých otvorených portov v predvolenom nastavení, ktoré môžu byť použité klientov, ako sú MySQL alebo ftpd databáz. Ak máte je nastaviť pre konfiguráciu SSH, samozrejme, jednoducho prestane fungovať.

Stojí za to poznamenať, že rovnaký Jabber klienta musí byť spustená v rovnakom prostredí pomocou SSH-server, napríklad na virtuálnom stroji. A väčšina servera localhost bude potrebné priradiť hodnotu 4430 (namiesto 443, ako je uvedené vyššie). Túto konfiguráciu je možné použiť pri prístupe k hlavnému súboru jabber.example.com blokovaná firewallom.

Na druhú stranu, prenosové porty môžu byť na routeru pomocou konfiguráciu svojho rozhrania s vytvorením výnimiek z pravidiel. Vo väčšine modelov vstup cez vstupné adresy začínajúce 192.168 doplneným 0,1 alebo 1,1, ale routery kombinujú schopnosti zo ADSL modemy ako Mikrotik, koncová adresa zahŕňa použitie 88.1.

V tomto prípade vytvorte nové pravidlo a potom nastavte potrebné parametre, napríklad pre inštaláciu externé pripojenie dst-nat, rovnako ako ručne predpísané prístavy nie sú v súlade so všeobecnými nastaveniami av sekcii preferencií aktivizmu (akcie). Nič tu nie je príliš zložité. Hlavná vec - na určenie požadovaných hodnôt nastavenia a nastaviť správny port. V predvolenom nastavení môžete použiť port 22, ale v prípade, že zákazník používa špeciálny (niektoré z vyššie uvedených pre rôzne systémy), môže byť hodnota ľubovoľne meniť, ale len preto, že tento parameter neprekročí deklarovanú hodnotu, pri ktorej prekročení čísla portov sú jednoducho nie sú k dispozícii.

Pri nastavení pripojenia tiež mali venovať pozornosť parametrom klientskeho programu. Je celkom dobre možné, že v jeho nastavení je potrebné zadať minimálnu dĺžku kľúča (512), aj keď je predvolená je zvyčajne nastavená 768. Je tiež potrebné stanoviť časový limit pre prihlásenie k úrovni 600 sekúnd a povolenie vzdialeného prístupu s koreňovou práv. Po použití týchto nastavení, treba tiež umožniť využitie všetkých práv autentizácia, ktoré nie sú založené na použití .rhostov (ale to je len nutné systémových administrátorov).

Okrem iného v prípade, že užívateľské meno zaregistrovaný v systéme, nie je to isté, ako boli zavedené v momente, musí byť zadaný explicitne pomocou hlavného príkazu užívateľ ssh sa zavedením ďalších parametrov (pre tých, ktorí pochopili, čo je v stávke).

Tím ~ / .ssh / id_dsa môže byť použitý pre transformáciu kľúče a spôsobu šifrovania (alebo RSA). Vytvoriť verejný kľúč použitý konverzií za použitia línie ~ / .ssh / identity.pub (ale nie nevyhnutne). Ale, ako prax ukazuje, najjednoduchší spôsob, ako používať príkazy ako ssh-keygen. Tu je podstatou problému je znížená len na skutočnosť, pridať kľúč k dostupným nástrojom autentizácia (~ / .ssh / authorized_keys).

Ale my sme zašli príliš ďaleko. Ak sa vydáte späť k otázke nastavenia portu SSH, ako tomu bolo zrejmé zmene SSH port nie je tak ťažké. Avšak, v niektorých situáciách, hovoria, budú musieť potiť, pretože je potrebné vziať do úvahy všetky hodnoty kľúčových parametrov. Zvyšok problému konfigurácie scvrkáva na vstupe akéhokoľvek servera alebo klientsky program (ak je k dispozícii na začiatku), alebo použiť port forwarding na routeru. Ale aj v prípade zmeny portu 22, predvolené, k rovnakému 443. by mali byť jasné, že takýto systém nefunguje vždy, ale iba v prípade inštalácie rovnaký doplnok Jabber (iné analógy môžu aktivovať a ich príslušných portov to sa líši od štandardu). Navyše, osobitná pozornosť by sa mala venovať parameter nastavenia SSH-klient, ktorý bude priamo komunikovať s SSH serverom, ak je to naozaj mal použiť existujúce pripojenie.

Pokiaľ ide o zvyšok, ak je port forwarding neposkytla spočiatku (aj keď to je žiaduce vykonať takéto akcie), nastavenie a možnosti prístupu cez SSH, nemožno zmeniť. Existujú nejaké problémy pri vytváraní spojenia, a jeho ďalšie používanie, všeobecne, sa neočakáva (pokiaľ však nebude použitý ručne konfigurovať konfigurácie servera a klienta). Medzi najbežnejšie výnimky tvorbe pravidiel na routeri vám umožní opraviť problémy alebo sa im vyhnúť.