Jak konfigurovat a používat SSH port? Podrobný průvodce

Secure Shell, nebo zkráceně SSH, je to jedna z nejmodernějších technologií na ochranu osobních údajů v oblasti přenosu. Použití tohoto režimu na stejném routeru umožňuje nejen důvěrnost přenášených informací, ale také k urychlení výměny paketů. Nicméně, ne každý ví, že pokud jde o otevření portu SSH, a proto, že toto vše potřebné. V tomto případě je nutné dát konstruktivní vysvětlení.

Port SSH: co to je a proč to potřebujeme?

Vzhledem k tomu, mluvíme o bezpečnosti, v tomto případě v rámci SSH portu třeba chápat vyhrazený kanál ve tvaru tunelu, který zajišťuje šifrování dat.

Nejprimitivnější schéma tohoto tunelu je skutečnost, že otevřená SSH-Port je ve výchozím nastavení použit pro šifrování dat přímo u zdroje a dešifrování na koncový bod. To lze vysvětlit takto: ať se vám to líbí nebo ne, přenáší provoz, na rozdíl od IPSec, šifrovaný pod nátlakem a výstupní terminál sítě, a na přijímací straně od vchodu. Dešifrovat informace předané na tomto kanálu, přijímací terminál používá speciální klíč. Jinými slovy, zasahovat do převodu nebo ohrozit integritu přenášených dat v okamžiku, kdy člověk nemůže bez klíče.

Jen otevření SSH-port na jakémkoliv routeru nebo pomocí vhodných nastavení dalšího klienta spolupracuje přímo s SSH serverem, umožňuje plně využívat všechny funkce moderních síťových bezpečnostních systémů. Jsme tu na to, jak použít port, která je přiřazena výchozí nebo vlastní nastavení. Tyto parametry v žádosti může vypadat těžké, ale bez pochopení organizace takového vztahu nestačí.

Standardní port SSH

Pokud se skutečně na základě parametrů některého z routeru je třeba nejprve určit pořadí, jaký software bude použit pro aktivaci tohoto odkazu. Ve skutečnosti je výchozí SSH port může mít různá nastavení. Vše záleží na tom, co metoda se používá v tomto okamžiku (přímé připojení k serveru, instalace dalšího přesměrování portu klienta a tak dále. D.).

Například v případě, že klient používá Jabber pro správné připojení, šifrování a datovou přípojkou pro přenos 443 má být použita, i když provedení je nastavena standardní port 22.

Chcete-li resetovat směrovač na přidělování pro konkrétní program nebo proces nezbytné podmínky nutné provést směrování portu SSH. Co je to? To je účel konkrétního přístupu do jediného programu, který využívá připojení k internetu bez ohledu na to, které nastavení je aktuální směnné protokol dat (IPv4 nebo IPv6).

technické zdůvodnění

Standardní SSH port 22 není vždy, jak to bylo již jasné. Nicméně, zde je nutné přidělit některé z vlastností a nastavení používaných během instalace.

Proč šifrovaná data důvěrnost protokol zahrnuje použití SSH jako čistě vnější (hodnocení) uživatelského portu? Ale jen proto, že je aplikován tunelování umožňuje použití takzvaného dálkového shell (SSH), abyste získali přístup k terminálu řízení prostřednictvím vzdáleného přihlášení (spřihlásit), a uplatní postup vzdáleného kopírování (SCP).

Kromě toho, SSH-port může být aktivován v případě, kdy je nutné aby uživatel provádět vzdálené skripty X Windows, který v nejjednodušším případě je přenos informací z jednoho počítače do druhého, jak již bylo řečeno, s nuceným šifrování dat. V takových situacích je nejpotřebnější budou používat na základě algoritmu AES. Jedná se o symetrický šifrovací algoritmus, který byl původně uveden v SSH technologie. A používat to nejen možné, ale nutné.

Historie realizace

Tato technologie se objevil na dlouhou dobu. Nechme stranou otázku, jak se dělá námraza SSH port a soustředit se na, jak to všechno funguje.

Obvykle jde o to, použít proxy na základě ponožky nebo pomocí VPN tunelování. V případě, že se některé softwarové aplikace pracovat s VPN, lepší zvolit tuto možnost. Skutečnost, že téměř všechny známé programy dnes používat internetový provoz, VPN může fungovat, ale snadno směrování konfigurace není. To, stejně jako v případě proxy serverů, umožňuje ponechat externí adresy terminálu, ze kterého v současné době vyráběné ve výstupním síti, nepovšimnutý. To je případ s proxy adresy se neustále mění, a VPN verze zůstává nezměněna s fixací na určité oblasti, než je ten, kde je zákaz přístupu.

Ten samý technologie, která nabízí portu SSH, byl vyvinut v roce 1995 v University of Technology ve Finsku (SSH-1). V roce 1996 došlo ke zlepšení přidány ve formě SSH-2 protokol, který byl poměrně rozšířený v post-sovětském prostoru, i když pro to, stejně jako v některých zemích západní Evropy, je někdy nutné získat oprávnění používat tento tunel, a od vládních agentur.

Hlavní výhodou otevření SSH-port, na rozdíl od telnet nebo rlogin, je použití digitálních podpisů RSA nebo DSA (použití páru otevřené a pohřben klíč). Kromě toho, v této situaci, můžete použít takzvaný klíč relace založenou na Diffie-Hellman algoritmus, který zahrnuje použití symetrického šifrování výstupu, i když nevylučuje použití asymetrických šifrovacích algoritmů v průběhu přenosu dat a příjem jiným strojem.

Servery a shell

V systému Windows nebo Linux SSH porty otevřeným není tak těžké. Jedinou otázkou je, jaký druh nástroje k tomuto účelu budou použity.

V tomto smyslu je třeba věnovat pozornost otázce přenosu informací a ověřování. Za prvé, Protokol je dostatečně chráněn tzv čichání, což je nejobvyklejší „odposlechů“ provozu. SSH-1 se ukázal být náchylné k útokům. Zasahování do procesu přenosu dat ve formě schématu „man in the middle“ má své výsledky. Informace by mohly jednoduše zachytit a rozšifrovat zcela elementární. Ale druhá verze (SSH-2) byl imunní vůči tomuto druhu intervence, známý jako neoprávněným přístupem, a to díky tomu, co je nejoblíbenější.

zakazuje zabezpečení

Co se týče bezpečnosti, pokud jde o odeslaných a přijatých dat, organizace navázaných spojení s využitím této technologie umožňuje vyhnout se s těmito problémy:

• identifikační klíč k hostiteli v přenosovém kroku, kdy se „snímek» otisk;
• Podpora pro Windows a UNIX-like systémech;
• substituce IP a DNS adres (spoofing);
• záchytné otevřený heslo s fyzickým přístupem k datovým kanálem.

Ve skutečnosti, celá organizace takového systému je postavena na principu „klient-server“, to znamená, že v první řadě uživatelově počítači pomocí speciálního programu nebo doplněk volání na serveru, který produkuje odpovídající přesměrování.

tunelování

Je samozřejmé, že realizace spojení tohoto druhu ve speciálním ovladačem musí být nainstalována v systému.

Typicky, v systémech Windows je integrována do ovladač programu shell Microsoft Teredo, který je jakousi virtuální emulace prostřednictvím protokolu IPv6 v sítích pouze podporujících IPv4. Tunel výchozí adaptér je aktivní. V případě poruchy spojené s tím, stačí provést restart systému nebo provést vypnutí a restartování příkazy z příkazové konzoly. Deaktivace se takové linky:

• netsh;
• Rozhraní teredo set state zakázány;
• Rozhraní ISATAP nastavit stav zakázáno.

Po zadání příkazu by se restartuje. Chcete-li znovu povolit adaptér a zkontrolujte stav tělesně postižené místo povoleným povolení registrů, po kterém opět měli restartovat celý systém.

SSH-server

Nyní se podívejme, jak se SSH port používaný jako jádro, vycházeje z režimu „klient-server“. Výchozí je obvykle aplikována 22 minut portu, ale jak již bylo uvedeno výše, mohou být použity a 443.. Jedinou otázkou v preferencích samotného serveru.

Mezi nejčastější SSH servery se považuje následující:

• pro Windows: Tectia SSH serveru OpenSSH s Cygwin, MobaSSH, KpyM Telnet / SSH server, WinSSHD, copssh, freeSSHd;
• pro FreeBSD: OpenSSH;
• pro Linux: Tectia SSH serveru SSH OpenSSH-server, LSH-server, dropbear.

Všechny servery jsou zdarma. Nicméně, můžete najít a placené služby, které poskytují ještě vyšší úroveň bezpečnosti, která je nezbytná pro organizaci přístupu do sítě a informační bezpečnost v podnicích. Náklady na tyto služby není diskutována. Ale obecně se dá říci, že je poměrně levná, a to i ve srovnání s instalací speciálního softwaru nebo „hardware“ firewall.

SSH klient

Změna SSH port může být provedena na základě klientského programu nebo příslušných nastavení při přesměrování portu na routeru.

Nicméně, pokud se dotknete klienta skořápku, tyto softwarové produkty mohou být použity pro různé systémy:

• Okna - SecureCRT, tmely \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD atd.;.
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux a BSD: LSH-client, kdessh, openssh-client, Vinagre, tmely.

Autentizace je založena na veřejný klíč a změnit port

Nyní pár slov o tom, jak ověřování a nastavení serveru. V nejjednodušším případě je nutné použít konfigurační soubor (sshd_config). Nicméně, můžete tak učinit bez ní, například v případě programů, jako je tmelem. Změna SSH port z výchozí hodnoty (22) jakákoliv jiná je zcela elementární.

Hlavní věc - otevřít číslo portu nepřekročí hodnotu 65535 (vyšší porty prostě neexistují v přírodě). Kromě toho by měly věnovat pozornost několika otevřených portů ve výchozím nastavení, které mohou být použity klienty, jako jsou MySQL nebo ftpd databází. Máte-li je nastavit pro konfiguraci SSH, samozřejmě, prostě přestane fungovat.

Stojí za to poznamenat, že stejný Jabber klienta musí být spuštěna ve stejném prostředí pomocí SSH-server, například na virtuálním stroji. A většina serveru localhost bude nutné přiřadit hodnotu 4430 (namísto 443, jak je uvedeno výše). Tuto konfiguraci lze použít při přístupu k hlavnímu souboru jabber.example.com blokována firewallem.

Na druhou stranu, přenosové porty mohou být na routeru pomocí konfiguraci svého rozhraní s vytvořením výjimek z pravidel. Ve většině modelů vstup přes vstupní adresy začínající 192.168 doplněným 0,1 nebo 1,1, ale routery kombinují schopnosti ze ADSL modemy jako Mikrotik, koncová adresa zahrnuje použití 88.1.

V tomto případě vytvořte nové pravidlo a pak nastavte potřebné parametry, například pro instalaci externí připojení dst-nat, stejně jako ručně předepsané přístavy nejsou v souladu s obecnými nastaveními av sekci preferencí aktivismu (akce). Nic tu není příliš složité. Hlavní věc - k určení požadovaných hodnot nastavení a nastavit správný port. Ve výchozím nastavení můžete použít port 22, ale v případě, že zákazník používá speciální (některé z výše uvedených pro různé systémy), lze hodnotu libovolně měnit, ale jen proto, že tento parametr nepřekročí deklarovanou hodnotu, při jejímž překročení čísla portů jsou prostě nejsou k dispozici.

Při nastavení připojení také měli věnovat pozornost parametrům klientského programu. Je docela dobře možné, že v jeho nastavení je třeba zadat minimální délku klíče (512), i když je výchozí je obvykle nastavena 768. Je rovněž třeba stanovit časový limit pro přihlášení k úrovni 600 sekund a povolení vzdáleného přístupu s kořenovou práv. Po použití těchto nastavení, je třeba rovněž umožnit využití všech práv autentizace, které nejsou založeny na použití .rhost (ale to je jen nutné systémové administrátory).

Mimo jiné v případě, že uživatelské jméno zaregistrován v systému, není to samé, jak byly zavedeny v okamžiku, musí být zadán explicitně pomocí hlavního příkazu uživatel ssh se zavedením dalších parametrů (pro ty, kteří pochopili, co je v sázce).

Tým ~ / .ssh / id_dsa může být použit pro transformaci klíče a způsobu šifrování (nebo RSA). Vytvořit veřejný klíč použitý konverzí za použití linie ~ / .ssh / identity.pub (ale ne nezbytně). Ale, jak praxe ukazuje, nejjednodušší způsob, jak používat příkazy jako ssh-keygen. Zde je podstatou problému je snížena pouze na skutečnost, přidat klíč k dostupným nástrojům autentizace (~ / .ssh / authorized_keys).

Ale my jsme zašli příliš daleko. Vydáte-li se zpět k otázce nastavení portu SSH, jako tomu bylo zřejmé změně SSH port není tak těžké. Nicméně, v některých situacích, říkají, budou muset potit, protože je třeba vzít v úvahu všechny hodnoty klíčových parametrů. Zbytek problému konfigurace scvrkává na vstupu jakéhokoliv serveru nebo klientský program (pokud je k dispozici na začátku), nebo použít port forwarding na routeru. Ale i v případě změny portu 22, výchozí, ke stejnému 443. by měly být jasné, že takový systém nefunguje vždy, ale pouze v případě instalace stejný doplněk Jabber (jiné analogy mohou aktivovat a jejich příslušných portů To se liší od standardu). Navíc, zvláštní pozornost by měla být věnována parametr nastavení SSH-klient, který bude přímo komunikovat s SSH serverem, pokud je to opravdu měl použít stávající připojení.

Pokud jde o zbytek, pokud je port forwarding neposkytla zpočátku (i když to je žádoucí provést takové akce), nastavení a možnosti přístupu přes SSH, nelze změnit. Existují nějaké problémy při vytváření spojení, a jeho další používání, obecně, se neočekává (pokud ovšem nebude použit ručně konfigurovat konfigurace serveru a klienta). Mezi nejběžnější výjimky tvorbě pravidel na routeru vám umožní opravit problémy nebo se jim vyhnout.