Nasıl yapılandırılacağı ve SSH bağlantı noktasının kullanılır? adım kılavuz adım

Güvenli Kabuk, ya SSH olarak kısaltılır, bu iletim en gelişmiş veri koruma teknolojilerinden biridir. Aynı yönlendirici üzerinde böyle bir rejimin kullanımı sadece iletilen bilgilerin gizliliğini sağlar, aynı zamanda paketlerinin alışverişini hızlandırmak için. Ancak, herkes uzak SSH bağlantı noktasının açılması olarak bilir ve neden bütün bu gereklidir. durumda yapıcı açıklama yapmak gereklidir.

Liman SSH: ne olduğunu ve niçin ihtiyacımız var?

Bu durumda, güvenlik bahsediyoruz olduğundan, SSH bağlantı altında veri şifreleme sağlayan bir tünel şeklinde özel bir kanal anlaşılmalıdır.

Bu tünelin en ilkel düzeni olduğunu açık bir SSH noktası uç noktası, kaynak ve şifre çözme veri şifrelemek için varsayılan olarak kullanılır. Eğer bu gibi ya da değil, IPSec'te farklı olarak, trafik iletilen zorlama ve ağ çıkış terminali altında şifrelenir ve girişin alıcı tarafta olup: bu, aşağıdaki gibi açıklanabilir. Bu kanalda iletilen bilgiyi deşifre etmek için, alıcı terminal özel bir anahtar kullanır. Bir başka deyişle, transfer müdahale etmek ya da bir değil bir anahtar olmadan can anda iletilen verinin bütünlüğünü tehlikeye.

Sadece SSH-sunucu ile doğrudan herhangi bir yönlendirici veya ek müşterinin uygun ayarları kullanarak SSH-port bağımlı olmak açarak, sen tamamen modern ağ güvenlik sistemlerinin tüm özelliklerini kullanmak için izin verir. Biz burada varsayılan veya özel ayarları tarafından atanan bağlantı noktasını nasıl kullanılacağına ilişkin bulunmaktadır. uygulamada Bu parametreler zor görünüyorsun, ama böyle bir bağlantının örgütün bir anlayış olmadan yeterli değildir olabilir.

Standart SSH bağlantı noktası

Eğer, gerçekten, ilk sırasını belirlemeli yönlendirici herhangi birinin parametrelere dayalı, yazılım ne tür bu bağlantıyı etkinleştirmek için kullanılacaktır. Aslında, varsayılan SSH bağlantı noktası farklı ayarlara sahip olabilir. Her şey (ek istemci port yönlendirmesi vb. D. yüklemeden, sunucuya doğrudan bağlantı) an az hangi yöntem kullanılırsa kullanılsın bağlıdır.

İstemci Jabber kullanıldığında edilen düzenekler, bağlantı 22 yer almaktadır, ancak, örneğin, doğru bağlantıları, şifreleme ve veri aktarımı bağlantı noktası 443, kullanılacak.

özel bir program için tahsis yönlendiriciyi sıfırlama veya gerekli şartlar gerçekleştirmek zorunda işlemek için bağlantı noktası yönlendirme SSH. Bu nedir? Bu ayar akımı bakılmaksızın, bir Internet bağlantısı kullanan tek bir program için belirli bir erişim amacı protokol değişimi verisi (IPv4 veya IPv6).

teknik gerekçe

Zaten açıktı gibi standart SSH portu 22 her zaman kullanılmaz. Ancak, burada kurulum sırasında kullanılan özellikleri ve bazı ayarları tahsis etmek gereklidir.

Neden şifreli veri gizliliği protokolü tamamen dış (misafir) kullanıcı liman olarak SSH kullanımını gerektirir? Ama tünel uygulanır çünkü sadece bir sözde uzak kabuk (SSH) kullanımı, uzaktan oturum açma (slogin) aracılığıyla terminal yönetimi erişmek ve uzaktan kopyalama prosedürünü (scp) uygulamasını sağlar.

Buna ek olarak, SSH port kullanıcı uzaktan komut zorunlu veri şifreleme ile, söylendiği gibi en basit durumda, başka bir makineden bir bilgi aktarımı X, Windows, yürütmek için gerekli olması halinde aktif hale getirilebilir. Bu gibi durumlarda, en gerekli AES algoritması dayalı kullanacaktır. Bu, başlangıçta SSH teknolojisinde sağlandı ve bir simetrik şifreleme algoritması olup. Ve mümkün ama gerekli değil sadece kullanın.

gerçekleşme Tarihçesi

teknoloji uzun süre göründü. Bize buzlanma SSH bağlantı noktasının nasıl sorusunu bir kenara bırakın ve nasıl hepsi eserlerin odaklanalım.

Genellikle Çorap temelinde bir proxy kullanacak veya VPN tünel kullanmak, aşağı gelir. durumda bazı yazılım uygulaması bu seçeneği seçmek için, VPN ile daha iyi çalışabilir. Hemen hemen tüm bilinen programlar bugün internet trafiğini kullanmak aslında, VPN çalışabilir, ancak kolayca yönlendirme yapılandırma değildir. Bu, proxy sunucular olduğu gibi, şu anda tanınmayan, çıkış ağında üretilen hangi terminalin dış adresinizi bırakın sağlar. O vekil adresi ile vaka hep değişiyor ve VPN sürüm erişimine yasaklanması yoktur dışındaki belli bölgenin tespit ile değişmez.

SSH portu sunuyor çok aynı teknoloji, Finlandiya'daki Teknoloji Üniversitesi (SSH-1) 1995 yılında geliştirildi. 1996 yılında, iyileştirmeler bunun için, hem de bazı Batı Avrupa ülkelerinde, tüneli kullanmak için izin almak bazen gerekli olmasına rağmen, Sovyet sonrası alanda oldukça yaygındı SSH-2 protokolü şeklinde eklenmiş ve devlet kurumlarından edilmiştir.

telnet veya rlogin aksine, SSH-port açma ana avantajı, dijital imzalar RSA veya DSA (açık ve bir çift gömülü bir anahtarın kullanımı) kullanılmasıdır. Başka bir makine tarafından veri iletimi ve alımı sırasında asimetrik şifreleme algoritmalarının kullanımını engellemez rağmen Dahası, bu durumda size, bir simetrik şifreleme çıkışı kullanımını gerektirir Diffie-Hellman algoritması dayalı sözde oturum anahtarını kullanabilirsiniz.

Sunucular ve kabuk

Windows veya On Linux SSH port açıkken o kadar zor değildir. Tek soru kullanılacak bu amaçla neyi araçlar türüdür.

Bu anlamda bilginin iletimi ve kimlik doğrulama konusuna dikkat etmek gereklidir. Öncelikle, protokol kendisi yeterince trafiğinin en olağan "telekulak" dir sözde koklama, tarafından korunmaktadır. SSH-1 saldırılara karşı savunmasız olduğunu kanıtladı. "Orta adam" bir şema şeklinde veri aktarımı sürecinde Girişim sonuçlarını vardı. Bilgi sadece yakalamak ve oldukça basit deşifre olabilir. Ama ikinci sürümü (SSH-2) En popüler nedir için teşekkürler oturum ele geçirme olarak bilinen bu tür bir müdahalenin, bağışıklık olmuştur.

güvenlik Yasakladı

iletilen ve alınan verileri ile ilgili olarak güvenlik için olduğu gibi, bu tür teknoloji kullanımı ile kurulan bağlantıların organizasyonu aşağıdaki sorunlardan kaçınmak sağlar:

• iletim aşamasında ev sahibinin bir "anlık» parmak izine tanımlama anahtarı;
• Windows ve UNIX benzeri sistemler için destek;
• IP ve DNS adresleri (sızdırma) ikamesi;
• veri kanalına fiziksel erişimi olan açık şifreyi müdahale.

Aslında böyle bir sistemin bütün kurum "istemci-sunucu" ilkesi üzerine kuruludur, yani özel bir program veya ilgili yönlendirmeyi üreten sunucusuna eklenti aramaları aracılığıyla tüm kullanıcının bilgisayarının ilk.

tünel açma

Bu özel bir sürücüden bu tür bağlantının uygulama sistemde yüklü olması gerektiğini söylemeye gerek yok.

Tipik olarak, Windows tabanlı sistemlerde yalnızca IPv4 destekleyen ağlarda IPv6 sanal öykünme aracı bir tür programın kabuk sürücüsü Microsoft Teredo, yerleşiktir. Tünel varsayılan adaptörü aktiftir. onunla ilişkili arızası durumunda, sadece sistemi yeniden başlatmayı yapmak veya kapatma gerçekleştirir ve komut konsolundan komutları yeniden başlatabilirsiniz. Bu tür hatlar kullanılmaktadır devre dışı bırakmak için:

• netsh;
• arayüz teredo grubu durum devre;
• arayüz isatap set durum devre.

yeniden gerektiğini komutu girdikten sonra. Için bundan sonra, yine, tüm sistemi yeniden başlatmak gerekir, adaptör yeniden etkinleştirmek ve bunun yerine etkin kayıtlar izni özürlü durumunu kontrol edin.

SSH-sunucu

Şimdi SSH portu şeması "istemci-sunucu" dan başlayarak, çekirdek olarak nasıl kullanıldığını görelim. Varsayılan genellikle yukarıda belirtildiği gibi, kullanılan 443 olabilir, 22 dakika noktası uygulanır, ancak. sunucusunun kendi tercihine tek bir soru.

En yaygın SSH-sunucuları aşağıdaki olarak kabul edilir:

• Windows için: Tectia SSH Sunucusu Cygwin, MobaSSH, KpyM Telnet / SSH Server WinSSHD, copssh, freeSSHd ile OpenSSH;
• FreeBSD için: OpenSSH'ın;
• Tectia SSH Sunucusu, ssh, openssh-sunucu LSH-sunucu dropbear: Linux için.

sunucuların tamamı ücretsizdir. Ancak, işletmelerde ağ erişimi ve bilgi güvenliği organizasyonu için gerekli olan güvenlik, daha seviyeleri sağlayan hizmetleri bulmak ve ücretli olabilir. Bu tür hizmetlerin maliyeti ele alınmamıştır. Ama genel olarak biz bile özel bir yazılım ya da "donanım" güvenlik duvarı kurulumu ile karşılaştırıldığında, nispeten ucuz olduğunu söyleyebiliriz.

SSH-istemci

Değişim SSH bağlantı noktası istemci program temelinde veya yönlendirici üzerindeki uygun ayarlar port yönlendirme yapılabilir.

istemci kabuğunu dokunma Ancak, aşağıdaki yazılım ürünleri çeşitli sistemler için kullanılabilir:

• Pencereler - SecureCRT PuTTY \ KiTTY, Axessh, ShellGuard, SSHWindows, ZOC, Xshell, ProSSHD vb;..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux ve BSD: LSH-client, kdessh, openssh-client, Vinagre, macun.

Kimlik ortak anahtar dayalı ve bağlantı noktasını değiştirecek mi

Şimdi nasıl doğrulama ve bir sunucu kurma hakkında birkaç söz. En basit durumda, bir yapılandırma dosyası (sshd_config) kullanmalıdır. Ancak, bu tür PuTTY gibi programlar söz konusu olduğunda, örneğin, onsuz yapabilirsiniz. Başka varsayılan değere (22) değiştirin SSH bağlantı noktası tamamen temel olduğunu.

Önemli olan - bir port numarasını açmak için 65535 değerini (daha yüksek port sadece doğada var olmayan) aşmıyor. Buna ek olarak, MySQL veya ftpd veritabanları gibi müşteriler tarafından kullanılabilir varsayılan olarak bazı açık portlar, dikkat edilmelidir. Eğer SSH yapılandırma için bunları belirtirseniz, tabii ki, onlar sadece durabilir.

Aynı Jabber istemcisi sanal makine üzerinde, örneğin, SSH-sunucusunu kullanarak aynı ortamda çalışıyor olması gerektiğini belirtmek gerekir. Ve en sunucu localhost (yukarıda da belirtildiği gibi, yerine 443) 4430 bir değer atamak gerekir. Ana dosya jabber.example.com erişimin güvenlik duvarı tarafından engelleniyor Bu konfigürasyon kullanılabilir.

Öte yandan, transfer portları kurallara istisna yaratılması ile arayüzünün yapılandırmayı kullanarak yönlendirici üzerinde olabilir. En modellerinde, giriş adresi boyunca giriş 0.1 veya 1.1 ile takviye edilmiş 192.168 ile başlayan fakat Mikrotik gibi yetenekleri ADSL modem birleştiren yönlendiriciler, bitiş adresi 88.1 kullanımını içerir.

yanı sıra manuel reçete portlar genel ayarlar altında ve Aktivizm tercihleri bölümünde (Eylem) olmayan, harici bağlantı dst-nat yüklemek için, bu durumda, daha sonra, yeni bir kural oluşturmak örneğin, gerekli parametrelerini ayarlamak. Hiçbir şey çok burada biraz karışık. Önemli olan - ayarların gerekli değerleri belirtmek ve doğru bağlantı noktasını ayarlamak için. Varsayılan olarak, port 22 kullanabilirsiniz, ancak müşteri özel (farklı sistemler için yukarıda bazılarını) kullanıyorsa, değer keyfi değiştirilebilir, ancak sadece bu yüzden bu parametre bağlantı noktası numaraları basitçe mevcut değildir yukarıda beyan edilen değer, aşmıyor.

Bağlantıları kurarken de istemci programının parametrelerine dikkat etmelidir. İyi varsayılan genellikle 768 set Ayrıca 600 saniye düzeyinde ve kök haklarıyla uzaktan erişim izni oturum açmak için zaman aşımı ayarlamak için arzu edilir olmasına rağmen kendi ayarlarında, anahtarın (512) minimum uzunluğunu belirtmek zorunda olabilir. Bu ayarları uyguladıktan sonra, ayrıca kullanım .rhost dayalı olanlar dışındaki tüm kimlik doğrulama haklarının kullanımını izin gerekir (ancak yalnızca sistem yöneticileri için gereklidir).

kullanıcı adı sistemde kayıtlı ise diğer şeylerin yanı sıra, şu anda tanıtılan aynı değil, o (tehlikede ne olduğunu anlamak isteyenler için) ek parametreler tanıtımıyla kullanıcı ssh ana komutunu kullanarak açıkça belirtilmelidir.

Takım ~ / .ssh / id_dsa anahtar transformasyonu ve şifreleme yöntemiyle (veya RSA) için de kullanılabilir. hat ~ / .ssh / identity.pub (ancak zorunlu olarak değil) kullanarak, dönüşüm tarafından kullanılan bir ortak anahtar oluşturmak için. Ancak, uygulamada gösterdiği gibi en kolay yolu ssh-keygen gibi komutlarını kullanmak için. İşte konunun özü mevcut kimlik doğrulama araçları (~ / .ssh / authorized_keys) anahtarı eklemek için, sadece gerçeği düşürülür.

Ama biz çok ileri gitti. Eğer port ayarları SSH konuya dönersek, olduğu gibi net bir değişim SSH bağlantı noktası o kadar zor değildir. Ancak, bazı durumlarda, derler, ihtiyaç dikkate anahtar parametrelerin tüm değerleri almak çünkü ter zorunda kalacaktır. yapılandırma sorunu kalanı (başlangıçta sağlanırsa) herhangi bir sunucu veya istemci programın girişinde aşağı kaynar ya yönlendirici port yönlendirme kullanmak. Ama port 22 değişmesi halinde, varsayılan, aynı 443rd için, açıkça, böyle bir düzeni her zaman diğer analogları ve ilgili bağlantı noktalarını etkinleştirebilirsiniz (ancak aynı eklentisini Jabber yükleme durumunda çalışmıyor anlaşılmalıdır Bu) standart farklıdır. Buna ek olarak, özel dikkat gerçekten geçerli bağlantı kullanmak gerekiyordu eğer doğrudan, SSH-sunucu ile etkileşime gireceği SSH ile istemci ayarı parametre verilmelidir.

(Tür eylemleri gerçekleştirmek için arzu edilir olsa da) port yönlendirme başlangıçta sağlanmazsa kalanı için olduğu gibi, SSH üzerinden erişim için ayarlar ve seçenekler, değiştirmek mümkün değil. (Tabii ki, elle kullanılan konfigürasyon tabanlı sunucu-ve istemci yapılandırmak olmayacak, sürece) Orada genelde bir bağlantı ve bunun daha ileri kullanımını oluşturma herhangi bir sorun, beklenmemektedir. yönlendirici üzerindeki kuralların oluşturulması için en yaygın istisnalar Herhangi bir sorun düzeltmek veya bunları önlemek için izin verir.