Как да конфигурирам и използвам порта SSH? Инструкция стъпка по стъпка

Secure Shell,

SSH порт: Какво е това и защо?

Що се отнася до сигурността, в този случай портът SSH трябва да се разбира като специален комуникационен канал под формата на тунел, който осигурява криптиране на данните.

Най-примитивната схема на функционирането на такъв тунел е тази отворен ssh порт По подразбиране се използва за криптиране на информацията в източника и за дешифриране на крайната точка. За да бъде изяснено това е възможно: дали ви харесва или не, предаваният трафик, за разлика от IPSec, е криптиран насилствено и на изхода на един мрежов терминал и на входа на приемащата страна. За да декриптира информацията, предавана по този канал, приемащият терминал използва специален ключ. С други думи, никой не може да пречи на прехвърлянето или да наруши целостта на предадените данни в момента без ключ.

Само отварянето на SSH порт на всеки маршрутизатор или използването на подходящите настройки на допълнителен клиент, взаимодействащ със сървъра SSH, ви позволява директно да се възползвате от всички функции за защита на съвременните мрежи. Става въпрос за използването на порт по подразбиране или персонализирани настройки. Тези параметри в приложението може да изглеждат доста трудни, но без разбиране организацията на тази връзка е абсолютно необходима.

Стандартен SSH порт

Ако наистина започнете от параметрите на всеки маршрутизатор, първо трябва да определите кой софтуер да бъде използван за активиране на този комуникационен канал. Всъщност по подразбиране портът SSH може да има различни настройки. Всичко зависи от това каква техника се използва в момента (директна връзка със сървъра, инсталиране на допълнителен клиент, препращане на порт и т.н.).

Например, ако Jabber се използва като клиент, порт 443 трябва да се използва за правилно свързване, шифроване и трансфер на данни, въпреки че порт 22 е инсталиран в стандартната версия.

За да преконфигурирате маршрутизатора, като подчертаете необходимите условия за конкретна програма или процес, ще трябва да изпълните препращане на портове SSH. Какво е това? Това е има задаване на определен достъп за отделна програма, която използва Интернет връзка, независимо от това какви настройки има текущият комуникационен протокол (IPv4 или IPv6).

Техническа обосновка

Както виждате, стандартният порт SSH 22 не винаги се използва. Тук обаче трябва да подчертаете някои от характеристиките и параметрите, използвани в конфигурацията.

Защо поверителността на шифрованото предаване на данни включва използването на SSH протокола като изключително външен (гост) потребителски порт? Но само защото се прилага тунелиране го позволява използването на така наречената отдалечена обвивка (SSH), за да получат достъп до терминал управление чрез дистанционно вход (влезнете), и прилага процедурата за дистанционно копие (ВКП).

В допълнение, SSH-порт може да се активира в случай, когато е необходимо потребителят да изпълни отдалечени скриптове X Windows, която в най-простия случай на прехвърляне на информация от един компютър на друг, както беше казано, с принудително криптиране на данните. В такива ситуации най-важното ще бъде използването на алгоритми, базирани на AES. Това е симетричен алгоритъм за кодиране, който първоначално е предвиден в SSH технологията. И вие не само можете да го използвате, но и вие имате нужда от него.

История на внедряването

Самата технология се е появила преди доста време. Да оставим настрана въпроса как да препращаме порта SSH, но ще спрем как всичко работи.

Обикновено всичко се свежда до използването на прокси базирани на чорапи или използване на VPN тунели. В случай че някое софтуерно приложение може да работи с VPN, е по-добре да предпочитате тази опция. Факт е, че почти всички известни понастоящем програми, които използват интернет трафика с VPN, могат да работят, а конфигурацията на маршрутизацията не прави много усилия. Това, както в случая на прокси сървъри, ви позволява да оставите външния адрес на терминала, който понастоящем е достъпен в мрежата, неразпознат. Тоест в случая на пълномощник адреса се променя непрекъснато, а във версията на VPN той остава непроменен при фиксирането на определен регион, различен от този, където действа забраната за достъп.

Самата технология, когато се отвори SSH порт, бе разработена през 1995 г. в Технологичния университет на Финландия (SSH-1). През 1996 г. са били добавени подобрения във формата на SSH-2 протокол, който е доста разпространено в постсъветското пространство, въпреки че за това, както и в някои западноевропейски страни, понякога е необходимо да се получи разрешение за използване на този тунел, както и от правителствени агенции.

Основното предимство на отваряне на SSH-порт, за разлика от телнет или Rlogin, е използването на цифрови подписи RSA или DSA (използването на чифт отворен и погребан ключ). Освен това, в тази ситуация можете да използвате така наречените ключовете на сесията на базата на Diffie-Hellman алгоритъм, който включва използването на симетричен изход криптиране, въпреки че не изключва възможността за използване на асиметрични криптиращи алгоритми по време на предаване и приемане от друга машина.

Сървъри и корпуси

В Windows или Linux SSH портът не е толкова трудно да се отвори. Единственият въпрос е коя кутия с инструменти ще бъде използвана за това.

В този смисъл е необходимо да се обърне внимание на въпроса за предаването на информация и удостоверяването. Първо, самият протокол е достатъчно защитен от така нареченото подуване, което е най-често срещаното "подслушване" на трафика. SSH-1 беше беззащитен преди атаките. Интерференцията в процеса на предаване на данни под формата на схема "човек в средата" имаше своите резултати. Информацията може просто да бъде залостена и разчистена съвсем просто. Но втората версия (SSH-2) беше застрахована срещу този вид интервенция, наречена отвличане на сесии, което я направи най-разпространено.

Забрани за безопасност

Що се отнася до сигурността по отношение на предаваните и получените данни, организирането на връзка, създадена чрез използването на такива технологии, избягва появата на следните проблеми:

• дефиницията на ключа към хоста на етапа на предаване, когато се използва пръстови отпечатъци "пръстови отпечатъци";
• поддръжка на Windows и UNIX-подобни системи;
• замяна на IP и DNS адреси (spoofing);
• прихващане на отворени пароли с физически достъп до канала за предаване на данни.

Всъщност цялата организация на такава система е изградена на принципа "клиент-сървър", т.е. на първо място потребителската машина чрез специална програма или допълнителни адреси към сървъра, който изпълнява съответното пренасочване.

тунелиране

От само себе си се разбира, че в системата трябва да бъде инсталиран специален драйвер за осъществяване на този тип връзка.

Обикновено в системите, базирани на Windows, това е драйверът на Microsoft Teredo, вграден в софтуерната обвивка, което е вид виртуален инструмент за емулиране на IPv6 в мрежи само за IPv4. Тунелен адаптер по подразбиране той е в активно състояние. В случай на асоциирани с него неизправности, можете просто да рестартирате системата или да изпълните командите за изключване и рестартиране в командната конзола. За дезактивиране се използват следните редове:

• Netsh;
• интерфейсът teredo е деактивиран;
• интерфейсът isatap е деактивиран.

След като въведете командите, трябва да рестартирате. За да разрешите отново адаптера и да проверите състоянието му, вместо да го деактивирате, разрешението е разрешено, след което отново трябва да се рестартира цялата система.

SSH сървър

Сега да видим кой SSH порт се използва като основен порт, като се започне от схемата "клиент-сървър". Обикновено 22-ният порт се използва по подразбиране, но, както вече бе споменато по-горе, може да се използва 443-тата. Единственият въпрос е предпочитанието на самия сървър.

Най-често срещаните сървъри SSH се считат за следните:

• за Windows: Tectia SSH сървър, OpenSSH с Cygwin, MobaSSH, KpyM Telnet / SSH сървър, WinSSHD, copssh, freeSSHd;
• за FreeBSD: OpenSSH;
• за Linux: Tectia SSH сървър, ssh, openssh-сървър, lsh-сървър, dropbear.

Всички изброени сървъри са безплатни. Въпреки това можете да намерите платени услуги, които се характеризират с повишено ниво на сигурност, което е изключително необходимо за организиране на достъпа до мрежата и защита на информацията в предприятията. Цената на тези услуги не се обсъжда сега. Но като цяло можем да кажем, че е сравнително евтино, дори в сравнение с инсталирането на специализиран софтуер или "желязна" защитна стена.

SSH клиент

Портът SSH може да бъде променен въз основа на клиентската програма или съответните настройки при маршрутизиране на пристанищата в рутера.

Ако обаче докоснете клиентските корпуси, следните софтуерни продукти могат да се използват за различни системи:

• Windows - SecureCRT, PuTTY KiTTY, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD и др .;
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux и BSD: lsh-клиент, kdessh, openssh-клиент, Vinagre, шпакловки.

Удостоверяване чрез публични ключове и смяна на порт

Сега няколко думи за това как се извършва проверката и конфигурацията на сървъра. В най-простия случай трябва да използвате конфигурационния файл (sshd_config). Можете обаче да го направите, например, в случай на програми като PuTTY. Промяната на SSH порт от стандартната стойност (22) към всяка друга може да бъде доста елементарна.

Основното е, че броят на отвореното пристанище не надвишава стойността на 65535 (просто няма такова нещо в природата над пристанищата). Освен това трябва да обърнете внимание на някои отворени портове по подразбиране, които могат да се използват от клиенти като MySQL или FTPD бази данни. Ако посочите конфигурацията си за SSH, разбира се, те просто спрат да работят.

Трябва да се отбележи, че един и същ клиент на Jabber трябва да работи в една и съща среда, използвайки SSH сървър, например във виртуална машина. Самият сървър localhost ще трябва да зададе стойност 4430 (а не 443, както бе споменато по-горе). Тази конфигурация може да се използва, когато достъпът до основния файл jabber.example.com е блокиран от защитната стена.

От друга страна, можете да прехвърляте портове в самия маршрутизатор, като използвате настройките на неговия интерфейс, за да създадете правила за изключване за това. В повечето модели вход чрез въвеждане на адреси, започващи с 192,168, допълнена с 0.1 или 1.1, но рутери, комбиниращи възможности ADSL модеми като Mikrotik, край адрес включва използването на 88,1.

В този случай се създава ново правило, след което се установяват необходимите параметри, например за установяване на външна връзка dst-nat, както и за ръчно задаване на портове, които не са в секцията Общи настройки, и в секцията Предпочитания за действие. Няма нищо особено сложно тук. Основното е да укажете необходимите настройки и да зададете правилния порт. По подразбиране, можете да използвате порт 22, но ако клиентът използва специален (някои от по-горе за различните системи), стойността може да се променя произволно, но само толкова, че този параметър не надвишава обявената стойност, над която номера на портове, просто не са налични.

Когато конфигурирате връзката, трябва да обърнете внимание и на параметрите на клиентската програма. Може да се окаже, че в настройките му трябва да зададете минималната дължина на ключа (512), въпреки че по подразбиране обикновено е определен 768. Желателно е също така да настроите времето за изчакване за влизане в нивото на 600 секунди и разрешение за отдалечен достъп с права корен. След като приложите тези настройки, трябва да дадете разрешение да използвате всички права за удостоверяване, с изключение на тези, които се основават на използването на .rhost (но това е необходимо само за системните администратори).

Наред с другите неща, ако потребителското име, регистрирано в системата, не е същото като въвежда в момента, то трябва да се посочи изрично, използвайки потребителското SSH майстор командата с въвеждането на допълнителни параметри (за тези, които разбират какво е заложено на карта).

Командата ~ / .ssh / id_dsa (или rsa) може да се използва за конвертиране на самия ключ и метода на шифроване. За да създадете публичен ключ, преобразуването се извършва чрез string / / .ssh / identity.pub (но това не е необходимо). Но, както показва практиката, най-лесно е да използвате команди като ssh-keygen. Тук същността на въпроса се свежда само до добавянето на ключ към наличните инструменти за оторизация (~ / .ssh / authorized_keys).

Но отидохме твърде далеч. Ако се върнем към проблема за конфигурирането на порта SSH, както вече знаете, промяната на SSH порт не е толкова трудна. Вярно е, че в някои ситуации, както се казва, трябва да се потите, тъй като ще трябва да вземете под внимание всички стойности на основните параметри. В противен случай проблемът с конфигурирането се намалява или до входа към сървъра или клиентската програма (ако е предоставен първоначално), или към пренасочването на порт към рутера. Но дори и в случай на промяна на пристанището 22, по подразбиране, към една и съща 443-тия, трябва ясно да се разбере, че подобна схема не винаги работи, но само в случай на инсталиране на една и съща добавката в Jabber (други аналози могат да активират и съответните им пристанища, които се различават от стандартните). Освен това, трябва да се обърне специално внимание на настройването на параметрите на SSH клиента, който директно да взаимодейства със SSH сървъра, ако наистина се предполага, че се използва текущата връзка.

В противен случай, ако няма първоначално пренасочване на портове (въпреки че е препоръчително да се изпълняват такива действия), настройките и параметрите за SSH достъп не могат да се променят. Няма особени проблеми при създаването на връзката и нейната по-нататъшна употреба, като цяло не се очаква (освен, разбира се, ръчна конфигурация на конфигурацията, базирана на сървъра и клиента). Най-често срещаното създаване на правило за изключване на рутера ви позволява да поправите всички проблеми или да избегнете появата им.