Làm thế nào để cấu hình và sử dụng cổng SSH? Từng bước hướng dẫn

Secure Shell, hay viết tắt là SSH, nó là một trong những công nghệ bảo vệ dữ liệu tiên tiến nhất trong việc truyền tải. Việc sử dụng một chế độ như vậy trên cùng một router cho phép không chỉ tính bảo mật của thông tin truyền đi, mà còn để tăng tốc độ trao đổi các gói tin. Tuy nhiên, không phải ai cũng biết xa như vậy để mở cổng SSH, và lý do tại sao tất cả điều này là cần thiết. Trong trường hợp này nó là cần thiết để đưa ra một lời giải thích mang tính xây dựng.

Cổng SSH: nó là gì và tại sao chúng ta cần?

Vì chúng ta đang nói về an ninh, trong trường hợp này, dưới cổng SSH được hiểu kênh chuyên dụng dưới dạng một đường hầm, cung cấp mã hóa dữ liệu.

Đề án nguyên thủy nhất của đường hầm này là một mở SSH cổng được sử dụng bởi mặc định để mã hóa dữ liệu tại nguồn và giải mã trên thiết bị đầu cuối. Điều này có thể được giải thích như sau: cho dù bạn có thích hay không, truyền giao thông, không giống như IPSec, mã hóa dưới sức ép và các thiết bị đầu cuối đầu ra của mạng, và ở phía bên nhận của lối vào. Để giải mã các thông tin được truyền trên kênh này, nhà ga nhận sử dụng khóa đặc biệt. Nói cách khác, để can thiệp vào việc chuyển nhượng hoặc thỏa hiệp sự toàn vẹn của dữ liệu được truyền vào lúc này người ta có thể không phải không có một chìa khóa.

Chỉ cần mở SSH cổng trên bất kỳ router hoặc bằng cách sử dụng các thiết lập thích hợp của khách hàng thêm tương tác trực tiếp với SSH-server, cho phép bạn sử dụng đầy đủ tất cả các tính năng của hệ thống an ninh mạng hiện đại. Chúng tôi đang ở đây về cách sử dụng một cổng được gán bởi các thiết lập mặc định hoặc tùy chỉnh. Những thông số này trong việc áp dụng có thể trông khó khăn, nhưng nếu không có sự hiểu biết về việc tổ chức một kết nối như vậy là chưa đủ.

cổng chuẩn SSH

Thật vậy, nếu dựa trên các thông số của bất kỳ của router đầu tiên nên xác định thứ tự, những loại phần mềm sẽ được sử dụng để kích hoạt liên kết này. Trong thực tế, các cổng SSH mặc định có thể có các cài đặt khác nhau. Tất cả mọi thứ phụ thuộc vào phương pháp gì được sử dụng tại thời điểm (kết nối trực tiếp đến máy chủ, cài đặt thêm cổng chuyển tiếp khách hàng và vân vân. D.).

Ví dụ, nếu khách hàng sử dụng Jabber, cho các kết nối đúng, mã hóa, và truyền dữ liệu cổng 443 được sử dụng, mặc dù hiện thân được thiết lập trong các tiêu chuẩn cổng 22.

Để thiết lập lại router để phân bổ cho một chương trình cụ thể hoặc xử lý các điều kiện cần thiết phải thực hiện chuyển tiếp cổng SSH. nó là gì? Đó là mục đích của một truy cập đặc biệt đến một chương trình duy nhất có sử dụng kết nối Internet, bất kể là thiết lập là hiện trao đổi giao thức dữ liệu (IPv4 hay IPv6).

biện minh kỹ thuật

Tiêu chuẩn SSH cổng 22 không phải luôn luôn được sử dụng như nó đã rõ ràng. Tuy nhiên, ở đây nó là cần thiết để phân bổ một số đặc điểm và các thiết lập sử dụng trong thiết lập.

Tại sao mã hóa giao thức bảo mật dữ liệu liên quan đến việc sử dụng SSH là một hoàn toàn bên ngoài (khách) cổng sử dụng? Nhưng chỉ vì đường hầm được áp dụng nó cho phép sử dụng một cái gọi là remote shell (SSH), để đạt được quyền truy cập vào công tác quản lý thiết bị đầu cuối thông qua đăng nhập từ xa (slogin), và áp dụng các thủ tục sao chép từ xa (scp).

Bên cạnh đó, SSH cổng có thể được kích hoạt trong trường hợp người sử dụng là cần thiết để thực thi các kịch bản từ xa X Windows, mà trong trường hợp đơn giản nhất là chuyển thông tin từ máy này sang máy khác, như đã nói, với một mã hóa dữ liệu cưỡng bức. Trong những tình huống như vậy, cần thiết nhất sẽ sử dụng dựa trên các thuật toán AES. Đây là một thuật toán mã hóa đối xứng, mà ban đầu được cung cấp trong công nghệ SSH. Và sử dụng nó không chỉ có thể nhưng cần thiết.

Lịch sử của việc thực hiện

Công nghệ này đã xuất hiện trong một thời gian dài. Chúng ta hãy bỏ qua một bên vấn đề làm thế nào để làm cho cổng đóng băng SSH, và tập trung vào nó như thế nào tất cả các công trình.

Thông thường nó đi xuống đến, để sử dụng một proxy trên cơ sở Socks hoặc sử dụng VPN đường hầm. Trong trường hợp một số phần mềm ứng dụng có thể làm việc với VPN, tốt hơn để chọn tùy chọn này. Thực tế là hầu hết các chương trình được biết đến ngày nay sử dụng lưu lượng Internet, VPN có thể làm việc, nhưng dễ dàng định tuyến cấu hình thì không. Điều này, như trong trường hợp của các máy chủ proxy, cho phép rời khỏi địa chỉ bên ngoài của thiết bị đầu cuối từ đó hiện đang được sản xuất trong mạng đầu ra, không được công nhận. Đó là trường hợp với các địa chỉ proxy luôn luôn thay đổi, và phiên bản VPN vẫn không thay đổi với sự định hình của một khu vực nhất định, khác với một trong những nơi có một lệnh cấm truy cập.

Các công nghệ rất tương tự mà cung cấp cổng SSH, được phát triển vào năm 1995 tại Đại học Công nghệ ở Phần Lan (SSH-1). Năm 1996, những cải tiến đã được thêm vào theo hình thức SSH-2 giao thức, mà là khá phổ biến trong không gian hậu Xô Viết, mặc dù cho điều này, cũng như ở một số nước Tây Âu, nó là đôi khi cần thiết để có được phép sử dụng đường hầm này, và từ các cơ quan chính phủ.

Ưu điểm chính của việc mở SSH-cảng, như trái ngược với telnet hoặc rlogin, là việc sử dụng chữ ký số RSA hoặc DSA (việc sử dụng một cặp mở và một phím chôn). Hơn nữa, trong tình huống này bạn có thể sử dụng cái gọi là khóa phiên dựa trên thuật toán Diffie-Hellman, trong đó bao gồm việc sử dụng một sản lượng mã hóa đối xứng, mặc dù không loại trừ việc sử dụng các thuật toán mã hóa bất đối xứng trong quá trình truyền dữ liệu và tiếp nhận bởi máy khác.

Máy chủ và vỏ

Trên Windows hoặc Linux SSH cổng mở không phải là quá khó khăn. Câu hỏi duy nhất là, những loại công cụ cho mục đích này sẽ được sử dụng.

Theo nghĩa này, nó là cần thiết phải chú ý đến vấn đề truyền tải thông tin và xác thực. Thứ nhất, các giao thức riêng của mình được bảo vệ đầy đủ bằng các sniffing cái gọi là, đó là thông thường nhất "nghe lén" của giao thông. SSH-1 được chứng minh là dễ bị tấn công. Can thiệp vào quá trình chuyển dữ liệu trong các hình thức của một chương trình của "người đàn ông ở giữa" có kết quả của nó. Thông tin chỉ có thể đánh chặn và giải mã khá tiểu học. Tuy nhiên, phiên bản thứ hai (SSH-2) đã được miễn dịch với loại can thiệp, được gọi là phiên tặc, nhờ vào những gì là phổ biến nhất.

cấm an ninh

Đối với an ninh đối với các dữ liệu được truyền và nhận, việc tổ chức kết nối được thiết lập với việc sử dụng công nghệ đó cho phép tránh được những vấn đề sau đây:

• chính xác đến host ở bước truyền, khi một "ảnh chụp» vân tay;
• Hỗ trợ cho Windows và các hệ thống UNIX-like;
• thay thế IP và địa chỉ DNS (giả mạo);
• chặn mật khẩu mở với quyền truy cập vật lý vào các kênh dữ liệu.

Trên thực tế, toàn bộ tổ chức của một hệ thống như vậy được xây dựng trên nguyên tắc "client-server", có nghĩa là, trước hết máy tính của người dùng thông qua một chương trình đặc biệt hoặc bổ sung trong các cuộc gọi đến máy chủ, trong đó sản xuất một chuyển hướng tương ứng.

đường hầm

Nó đi mà không nói rằng việc thực hiện các kết nối của loại hình này ở một trình điều khiển đặc biệt phải được cài đặt trên hệ thống.

Thông thường, trong các hệ thống dựa trên Windows được xây dựng vào trình điều khiển chương trình shell Microsoft Teredo, mà là một loại phương tiện thi đua ảo của IPv6 trong mạng chỉ hỗ trợ IPv4. bộ chuyển đổi Tunnel mặc định được kích hoạt. Trong trường hợp thất bại liên kết với nó, bạn chỉ có thể tạo ra một hệ thống khởi động lại hoặc thực hiện tắt máy và khởi động lại lệnh từ lệnh console. Để vô hiệu hóa dòng như vậy được sử dụng:

• netsh;
• giao diện con mọt ghe bộ nhà nước vô hiệu hóa;
• giao diện ISATAP thiết lập trạng thái vô hiệu hóa.

Sau khi nhập lệnh nên khởi động lại. Để kích hoạt lại adapter và kiểm tra tình trạng khuyết tật thay vì đăng ký giấy phép kích hoạt, sau đó, một lần nữa, nên khởi động lại toàn bộ hệ thống.

SSH-server

Bây giờ chúng ta hãy xem cách cổng SSH được sử dụng làm nòng cốt, bắt đầu từ chương trình "client-server". Giá trị mặc định thường được áp dụng 22 phút cảng, nhưng, như đã đề cập ở trên, có thể được sử dụng và 443. Câu hỏi duy nhất trong các ưu đãi của máy chủ riêng của mình.

Phổ biến nhất SSH-máy chủ được coi là như sau:

• cho Windows: Tectia SSH Server, OpenSSH với Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, FreeSSHd;
• cho FreeBSD: OpenSSH;
• cho Linux: Tectia SSH Server, ssh, openssh-server, lsh-server, dropbear.

Tất cả các máy chủ đều miễn phí. Tuy nhiên, bạn có thể tìm và trả tiền dịch vụ cung cấp mức độ lớn hơn về an ninh, đó là cần thiết cho việc tổ chức truy cập mạng và an ninh thông tin trong các doanh nghiệp. Chi phí của các dịch vụ đó không được thảo luận. Nhưng nói chung chúng ta có thể nói rằng nó là tương đối rẻ tiền, thậm chí so với việc cài đặt các phần mềm đặc biệt hay "phần cứng" tường lửa.

SSH-client

cổng Thay đổi SSH có thể được thực hiện trên cơ sở các chương trình khách hàng hoặc các thiết lập thích hợp khi cổng chuyển tiếp trên router của bạn.

Tuy nhiên, nếu bạn chạm vào vỏ khách hàng, các sản phẩm phần mềm sau đây có thể được sử dụng cho các hệ thống khác nhau:

• Windows - SecureCRT, PuTTY \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, Xshell, ProSSHD vv;..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux và BSD: lsh-client, kdessh, openssh-client, Vinagre, putty.

Xác thực dựa trên khóa công khai, và thay đổi cổng

Bây giờ một vài lời về cách thức xác minh và thiết lập một máy chủ. Trong trường hợp đơn giản nhất, bạn phải sử dụng một tập tin cấu hình (sshd_config). Tuy nhiên, bạn có thể làm mà không có nó, ví dụ, trong trường hợp của các chương trình như PuTTY. cổng Thay đổi SSH từ giá trị mặc định (22) cho bất kỳ khác là hoàn toàn tiểu học.

Điều quan trọng - để mở một số cổng không vượt quá giá trị 65535 (cổng cao hơn chỉ đơn giản là không tồn tại trong tự nhiên). Bên cạnh đó, nên chú ý đến một số cổng mở theo mặc định, có thể được sử dụng bởi khách hàng như cơ sở dữ liệu MySQL hoặc ftpd. Nếu bạn xác định chúng cho cấu hình SSH, tất nhiên, họ chỉ ngừng làm việc.

Nó đáng chú ý là cùng một khách hàng Jabber phải chạy trong môi trường tương tự sử dụng SSH-server, ví dụ, trên một máy ảo. Và hầu hết máy chủ localhost sẽ cần phải gán giá trị cho 4430 (thay vì 443, như đã đề cập ở trên). Cấu hình này có thể được sử dụng khi truy cập vào các tập tin jabber.example.com chính bị chặn bởi tường lửa.

Mặt khác, các cổng chuyển có thể trên router bằng cách sử dụng cấu hình của giao diện của nó với việc tạo ra các ngoại lệ đối với các quy tắc. Trong hầu hết các mô hình đầu vào thông qua địa chỉ đầu vào bắt đầu với 192,168 bổ sung 0.1 hoặc 1.1, nhưng các router kết hợp khả năng ADSL modem như MikroTik, địa chỉ cuối liên quan đến việc sử dụng 88,1.

Trong trường hợp này, tạo ra một quy tắc mới, sau đó thiết lập các thông số cần thiết, ví dụ, để cài đặt các kết nối bên ngoài dst-nat, cũng như tự quy định các cổng này không thuộc thẩm các cài đặt chung và trong phần ưu đãi Hoạt động (Action). Không có gì quá phức tạp ở đây. Điều quan trọng - để xác định các giá trị cần thiết lập và thiết lập đúng cổng. Theo mặc định, bạn có thể sử dụng cổng 22, nhưng nếu khách hàng sử dụng một đặc biệt (một số những điều trên cho các hệ thống khác nhau), giá trị có thể thay đổi tùy ý, nhưng chỉ để tham số này không vượt quá trị giá khai báo, trên đó số cổng chỉ đơn giản là không có sẵn.

Khi bạn thiết lập các kết nối cũng nên chú ý đến các thông số của chương trình khách hàng. Nó cũng có thể là trong môi trường của nó phải xác định độ dài tối thiểu là chìa khóa (512), mặc dù mặc định thường được thiết lập 768. Nó cũng là mong muốn thiết lập thời gian chờ để đăng nhập vào mức độ 600 giây và cho phép truy cập từ xa với quyền root. Sau khi áp dụng các thiết lập này, bạn cũng cần phải cho phép sử dụng tất cả các quyền thẩm định, trừ những người dựa trên .rhost sử dụng (nhưng nó là cần thiết chỉ để quản trị hệ thống).

Trong số những thứ khác, nếu tên người dùng đã đăng ký trong hệ thống, không giống như giới thiệu vào lúc này, nó phải được xác định một cách rõ ràng bằng cách sử dụng lệnh tổng thể sử dụng ssh với sự ra đời của các tham số bổ sung (đối với những người hiểu những gì đang bị đe dọa).

Đội ~ / .ssh / id_dsa có thể được sử dụng để chuyển đổi các phím và các phương pháp mã hóa (hoặc rsa). Để tạo một khóa công khai sử dụng bởi việc chuyển đổi sử dụng dòng ~ / .ssh / identity.pub (nhưng không nhất thiết). Tuy nhiên, như các chương trình thực tế, cách dễ nhất để sử dụng lệnh như ssh-keygen. Ở đây, bản chất của vấn đề là giảm chỉ đến một thực tế, để thêm chìa khóa để các công cụ xác thực có sẵn (~ / .ssh / authorized_keys).

Nhưng chúng tôi đã đi quá xa. Nếu bạn quay trở lại vấn đề cài đặt cổng SSH, như đã rõ ràng cổng thay đổi SSH không phải là quá khó khăn. Tuy nhiên, trong một số trường hợp, họ nói, sẽ phải đổ mồ hôi, bởi vì sự cần thiết phải đưa vào tài khoản tất cả các giá trị của các thông số quan trọng. Phần còn lại của vấn đề cấu hình nắm đến lối vào của bất kỳ máy chủ hoặc khách hàng chương trình (nếu nó được cung cấp ban đầu), hoặc sử dụng cổng chuyển tiếp trên router. Nhưng ngay cả trong trường hợp thay đổi các cổng 22, mặc định, đến 443 cùng, nên được hiểu rõ ràng rằng một chương trình như vậy không phải lúc nào hoạt động, nhưng chỉ trong trường hợp cài đặt cùng một add-in Jabber (chất tương tự khác có thể kích hoạt và cổng tương ứng của họ, nó khác với tiêu chuẩn). Bên cạnh đó, đặc biệt chú ý nên được tham số thiết lập SSH-client, mà sẽ trực tiếp tương tác với SSH-server, nếu nó thực sự có nghĩa vụ phải sử dụng kết nối hiện tại.

Đối với phần còn lại, nếu các cổng chuyển tiếp không được cung cấp ban đầu (mặc dù đó là mong muốn thực hiện hành động như vậy), các thiết lập và tùy chọn cho việc truy cập thông qua SSH, bạn không thể thay đổi. Có bất kỳ vấn đề khi tạo một kết nối, và tiếp tục sử dụng nó, nói chung, không được mong đợi (trừ khi, tất nhiên, sẽ không được sử dụng bằng tay cấu hình máy chủ dựa trên cấu hình và khách hàng). Các trường hợp ngoại lệ phổ biến nhất để tạo ra các quy tắc trên router cho phép bạn sửa chữa bất kỳ vấn đề hoặc tránh chúng.