Si për të konfiguruar dhe përdorur port SSH? Udhëzues hap pas hapi

Secure Shell, ose shkurtuar si SSH, ajo është një nga teknologjitë më të përparuara mbrojtjen e të dhënave në transmetimin. Përdorimi i një regjimi të tillë në të njëjtën router mundëson jo vetëm konfidencialitetin e informacionit të transmetuar, por edhe të përshpejtojë shkëmbimin e paketave. Megjithatë, jo të gjithë e di sa është për të hapur portin SSH, dhe pse e gjithë kjo është e nevojshme. Në këtë rast është e nevojshme për të dhënë një shpjegim konstruktiv.

Port SSH: çfarë është ajo dhe pse nuk kemi nevojë?

Që ne jemi duke folur për sigurinë, në këtë rast, në bazë të portit SSH të kuptohet kanal dedikuar në formën e një tuneli, i cili siguron encryption të dhënave.

Skema më primitive e këtij tuneli është se një SSH-port të hapur është përdorur nga default për të encrypt të dhënave në burim dhe decryption në endpoint. Kjo mund të shpjegohet si vijon: nëse ju pëlqen apo jo, transmetohet trafikut, ndryshe nga IPSec, të koduara me detyrim dhe terminalin e prodhimit të rrjetit, dhe në anën marrëse të hyrjes. Për të decrypt informacionin e transmetuar në këtë kanal, terminali marrjes përdor një çelës të veçantë. Me fjalë të tjera, për të ndërhyrë në transferimin ose komprometojnë integritetin e të dhënave të transmetuara në këtë moment mund të mos pa një çelës.

Vetëm duke hapur SSH-port në çdo router ose duke përdorur cilësimet e duhura të klientit shtesë ndërvepron drejtpërdrejt me SSH-server, ju lejon të përdorni plotësisht të gjitha tiparet e sistemeve moderne të sigurisë të rrjetit. Ne jemi këtu se si të përdorin një port që është caktuar nga default ose doganore settings. Këto parametra në aplikimin mund të duket e vështirë, por pa një kuptim të organizimit të një lidhje të tillë nuk është e mjaftueshme.

port standarde SSH

Në qoftë se, në të vërtetë, në bazë të parametrave të ndonjë nga router duhet së pari të përcaktojë rendin, se çfarë lloj i softuerit do të përdoret për aktivizimin këtë lidhje. Në fakt, SSH port parazgjedhur mund të ketë parametrat e ndryshme. Çdo gjë varet nga ajo metodë është përdorur në këtë moment (lidhje të drejtpërdrejtë me server, instalimi shtesë forwarding port klientit dhe kështu me radhë. D.).

Për shembull, nëse klienti përdorur Jabber, për lidhjet të sakta, encryption, dhe transferimit të të dhënave port 443 është për t'u përdorur, edhe pse mishërim është vendosur në standarde portin 22.

Për të rivendosur router për ndarjen për një program të caktuar ose të procesit kushtet e nevojshme duhet të kryejë port forwarding SSH. Çfarë është ajo? Kjo është qëllimi i një qasje të veçantë në një program të vetëm që përdor një lidhje të internetit, pavarësisht nga të cilat cilësim është aktuale këmbimit protokoll të dhënave (IPv4 apo IPv6).

justifikim teknik

Standard SSH port 22 nuk është përdorur gjithmonë si ajo tashmë ishte e qartë. Megjithatë, këtu është e nevojshme të ndajë disa nga karakteristikat dhe parametrat e përdorura gjatë setup.

Pse Encrypted dhënat e konfidencialitetit protokoll përfshin përdorimin e SSH si (mysafir) port thjesht jashtme e përdoruesit? Por vetëm për shkak se tunneling zbatohet kjo lejon përdorimin e një të ashtu-quajtur të largët shell (SSH), për të fituar qasje në menaxhimin terminal përmes të largët e identifikimit (slogin), dhe të zbatojë procedurën e largët kopje (PKS).

Përveç kësaj, SSH-port mund të aktivizohet në rastin kur përdoruesi është e nevojshme për të ekzekutuar Scripts largët X e Windows, e cila në rastin më të thjeshtë është një transferim i informacionit nga një makinë në një tjetër, siç është thënë, me një encryption të dhënave të detyruar. Në situata të tilla, më e nevojshme do të përdorin bazuar në algorithm AES. Kjo është një algoritëm simetrik encryption, e cila ishte dhënë fillimisht në teknologji SSH. Dhe e përdorin atë jo vetëm e mundshme, por e nevojshme.

Historia e realizimit

Teknologjia ka shfaqur për një kohë të gjatë. Le të lënë mënjanë çështjen e si për të bërë krem port SSH, dhe të përqëndrohet në atë se si të gjitha punët.

Zakonisht ajo vjen poshtë për të, për të përdorur një proxy mbi bazën e Socks ose përdorin VPN tunneling. Në rast disa software aplikimit mund të punojnë me VPN, mirë për të zgjedhur këtë opsion. Fakti që pothuajse të gjithë programet e njohur sot e përdorin të trafikut të internetit, VPN mund të punojnë, por lehtësisht mposhti konfigurimit nuk është. Kjo, si në rastin e proxy servers, lejon për të lënë adresën e jashtme të terminalit nga i cili prodhohet aktualisht në rrjetin e prodhimit, i panjohur. Ky është rasti me adresën prokurë është gjithmonë në ndryshim, dhe VPN version mbetet e pandryshuar me fiksimin e një rajoni të caktuar, të ndryshme nga ajo ku ka një ndalim për të hyrë.

E njëjta teknologji që ofron port SSH, u zhvillua në vitin 1995 në Universitetin e Teknologjisë në Finlandë (SSH-1). Në vitin 1996, përmirësime janë shtuar në formën e SSH-2 protokoll, i cili ishte mjaft i përhapur në hapësirën post-sovjetike, edhe pse për këtë, si dhe në disa vende të Evropës Perëndimore, ajo ndonjëherë është e nevojshme për të marrë leje për të përdorur këtë tunel, dhe nga agjencitë qeveritare.

Avantazhi kryesor i hapjes SSH-port, në krahasim me Telnet ose Nëse shkëputet, është përdorimi i nënshkrimeve digjitale RSA ose DSA (përdorimin e një palë e hapur dhe një çelës varrosur). Për më tepër, në këtë situatë ju mund të përdorni të ashtuquajturën kyç seancë bazuar në Diffie-Hellman algorithm, e cila përfshin përdorimin e një dalje simetrike encryption, edhe pse nuk përjashton përdorimin e algoritme encryption asimetrike gjatë transmetimin e të dhënave dhe pritjen nga një tjetër makinë.

Serverat dhe shell

Në Windows ose Linux SSH-port të hapur nuk është aq e vështirë. Pyetja e vetme është, se çfarë lloj i mjeteve për këtë qëllim do të përdoret.

Në këtë kuptim është e nevojshme që të i kushtoj vëmendje për çështjen e transmetimit të informacionit dhe të legalizuara. Së pari, protokolli në vetvete është e mbrojtur sa duhet nga të ashtuquajturit nuhatës, e cila është më e zakonshme "përgjimit" të trafikut. SSH-1 provuar të jetë i pambrojtur ndaj sulmeve. Ndërhyrja në procesin e transferimit të të dhënave në formën e një skeme të "njeriut në mes" ka pasur rezultatet e tij. Informacione thjesht mund të përgjojë dhe deshifroj mjaft elementare. Por versioni i dytë (SSH-2) ka qenë imun ndaj këtë lloj të ndërhyrjes, i njohur si seancë rrëmbimi, në sajë të çfarë është më popullor.

ndalon sigurinë

Sa për sigurinë në lidhje me të të dhënave të transmetuara dhe të marra, organizimi i lidhjeve të krijuara me përdorimin e një teknologjie të tillë e lejon të shmangur problemet e mëposhtme:

• çelësi identifikimit në kampin e hapin transmetimit, kur një "fotografi» gjurmët e gishtave;
• Mbështetje për Windows dhe sistemet UNIX-like;
• zëvendësimi i IP dhe adresat DNS (spoofing);
• intercepting fjalëkalimin hapur me qasje fizike në kanalin e të dhënave.

Në fakt, i gjithë organizimi i një sistemi të tillë është e ndërtuar mbi parimin e "klient-server", që është, para së gjithash kompjuterin e përdoruesit me anë të një programi të veçantë ose shtesë në thirrjet për server, e cila prodhon një redirection përkatës.

tunneling

Ajo shkon pa thënë se zbatimi i lidhjen e këtij lloji në një shofer të veçantë duhet të jetë i instaluar në sistem.

Në mënyrë tipike, në sistemet e Windows-bazë është ndërtuar në shoferit shell program Microsoft Teredo, e cila është një lloj i mjeteve virtuale rivalitet të IPv6 në rrjetet mbështetëse vetëm IPv4. përshtatës tunelit default është aktiv. Në rast të dështimit të lidhur me të, ju vetëm mund të bëni një sistem restart ose të kryejë një mbyllje dhe restarto komandat nga komanda tastierë. Për të çaktivizuar linja të tilla janë përdorur:

• netsh;
• Ndërfaqja teredo set shtet me aftësi të kufizuara;
• Ndërfaqja isatap vendosur shtet me aftësi të kufizuara.

Pas hyrjes komandën duhet të rinisni. Për të ri-mundësuar përshtatës dhe kontrolloni statusin e aftësi të kufizuara në vend të lejes së aktivizuar regjistrave, pas së cilës, përsëri, duhet të rinisni të gjithë sistemin.

SSH-server

Tani le të shohim se si port SSH është përdorur si bazë, duke filluar nga skema e "klient-server". Default është aplikuar zakonisht 22 minuta port, por, siç u përmend më lart, mund të përdoret dhe 443. Pyetja e vetme në preferencën e serverit vetë.

Të SSH-servers më të zakonshme është konsideruar të jetë si më poshtë:

• për Windows: Tectia SSH Server, OpenSSH me Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd;
• për FreeBSD: OpenSSH;
• për Linux: Tectia SSH Server, ssh, OpenSSH-server, LSH-server, dropbear.

Të gjitha serverat janë të lirë. Megjithatë, ju mund të gjeni dhe të paguar shërbimet që ofrojnë nivele edhe më të mëdha të sigurisë, e cila është thelbësore për organizimin e aksesit të rrjetit dhe të sigurisë së informacionit në ndërmarrje. Kostoja e shërbimeve të tilla nuk është diskutuar. Por në përgjithësi mund të themi se ajo është relativisht i lirë, madje edhe në krahasim me instalimin e software të veçantë ose "hardware" firewall.

SSH-klient

port Ndryshimi SSH mund të bëhet në bazë të programit të klientit apo parametrat e duhur kur forwarding port në router tuaj.

Megjithatë, nëse ju prekni shell klientit, produktet e mëposhtme software mund të përdoret për sisteme të ndryshme:

• Dritaret - SecureCRT, stuko \ kotele, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD etj;..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux dhe BSD: Fibrat njëfishe LSH-klient, kdessh, OpenSSH-klient, Vinagre, stuko.

Authentication është i bazuar në çelës publik, dhe për të ndryshuar portin

Tani disa fjalë rreth asaj se si verifikimi dhe ngritjen e një server. Në rastin më të thjeshtë, ju duhet të përdorni një file i konfigurimit (sshd_config). Megjithatë, ju mund të bëjë pa të, për shembull, në rastin e programeve të tilla si stuko. port ndryshim SSH nga vlera e parazgjedhur (22) në çdo tjetër është plotësisht elementare.

Gjëja kryesore - për të hapur një numër të portit nuk e kalon vlerën prej 65535 (portet më të larta thjesht nuk ekzistojnë në natyrë). Përveç kësaj, duhet të i kushtoj vëmendje të disa porte të hapura by default, të cilat mund të përdoren nga klientët si MySQL apo FTPD bazat e të dhënave. Nëse ju specifikoni ato për konfigurimin SSH, natyrisht, ata vetëm të largohet nga puna.

Ia vlen të përmendet se e njëjta klienti Jabber duhet të konkurrojnë në të njëjtin mjedis duke përdorur SSH-server, për shembull, në një makinë virtuale. Dhe më server localhost do të duhet të caktojë një vlerë të 4430 (në vend të 443, siç u përmend më sipër). Ky konfigurim mund të përdoret kur qasja në jabber.example.com kryesore fotografi bllokuar nga firewall.

Nga ana tjetër, portet e transferimit mund të jetë në router duke përdorur konfigurimin e ndërfaqen e saj me krijimin e përjashtimeve nga rregullat. Në shumicën e modeleve të dhëna nëpërmjet adresave të dhëna duke filluar me 192.168 plotësohet me 0.1 ose 1.1, por routers kombinuar aftësitë ADSL-modems si MikroTik, adresa fundi përfshin përdorimin e 88,1.

Në këtë rast, të krijojë një rregull të ri, pastaj vendosur parametrat e nevojshme, për shembull, për të instaluar lidhjen jashtme DST-nat, si dhe portet e përcaktuara me dorë nuk janë nën settings përgjithshme dhe në pjesën e preferencave aktivizmit (Veprimi). Asgjë tepër të komplikuar këtu. Gjëja kryesore - të përcaktojë vlerat e kërkuara të settings dhe të vendosur në portin e saktë. By default, ju mund të përdorni port 22, por në qoftë se klienti përdor një të veçantë (disa e mësipërme për sisteme të ndryshme), vlera mund të ndryshohet në mënyrë arbitrare, por vetëm në mënyrë që ky parametër nuk e kalon vlerën e deklaruar, mbi të cilat numra porte thjesht nuk janë në dispozicion.

Kur keni krijuar lidhje gjithashtu duhet të i kushtoj vëmendje të parametrave të programit klientit. Ajo mund të jetë se në parametrat e tij duhet të specifikojë kohëzgjatjen minimale të çelësit (512), edhe pse e parazgjedhur është vendosur zakonisht 768. Është gjithashtu e dëshirueshme për të vendosur timeout të hyni në nivelin e 600 sekonda dhe lejen e largët qasje me të drejta rrënjë. Pas aplikimit këto settings, ju keni nevojë për të lejuar përdorimin e të gjitha të drejtave të legalizuara, përveç atyre në bazë të përdorin .rhost (por është e nevojshme vetëm për administratorët e sistemit).

Ndër të tjera, në qoftë se emri i përdoruesit i regjistruar në sistem, nuk është njëjtë si prezantoi në këtë moment, ajo duhet të përcaktohet në mënyrë të qartë duke përdorur mjeshtër komandën përdorues ssh me futjen e parametrave shtesë (për ata që kuptojnë se çfarë është në rrezik).

Ekipi ~ / .ssh / id_dsa mund të përdoret për transformimin e kyç dhe metodën encryption (ose RSA). Për të krijuar një çelës publik përdorur nga konvertimi përdorur përzgjedhjen ~ / .ssh / identity.pub (por jo domosdoshmërisht). Por, siç tregon praktika, mënyra më e lehtë për t'u përdorur komandat si ssh-Keygen. Këtu thelbi i çështjes është reduktuar vetëm në faktin, për të shtuar çelësi për mjetet në dispozicion vërtetimit (~ / .ssh / authorized_keys).

Por ne kemi shkuar shumë larg. Nëse kthehemi në çështjen settings port SSH, siç ka qenë i qartë port ndryshimi SSH nuk është aq e vështirë. Megjithatë, në disa situata, thonë ata, do të duhet të bëj ujë në djersë, sepse nevoja për të marrë parasysh të gjitha vlerat e parametrave kryesorë. Pjesa tjetër e çështjes konfigurimit boils poshtë për hyrje të ndonjë server ose klient program (në qoftë se ajo është dhënë fillimisht), ose për të përdorur forwarding port në router. Por edhe në rast të ndryshimit të portit 22, default, në të njëjtën 443rd, duhet të kuptohet qartë se një skemë e tillë nuk funksionon gjithmonë, por vetëm në rastin e instalimit të njëjtin shtesë në Jabber (analoge e tjera mund të aktivizoni dhe portet e tyre përkatëse, ajo ndryshon nga standardi). Përveç kësaj, vëmendje e veçantë duhet t'i kushtohet parametër vendosjen SSH-klient, i cili do të ndërveprojnë direkt me SSH-server, në qoftë se ajo është me të vërtetë menduar për të përdorur lidhjen e tanishme.

Sa për pjesën tjetër, në qoftë se forwarding port nuk është dhënë fillimisht (edhe pse kjo është e dëshirueshme për të kryer veprime të tilla), parametrat dhe mundësitë për qasje nëpërmjet SSH, ju nuk mund të ndryshojë. Ka ndonjë problem kur të krijuar një lidhje, dhe përdorimin e tij të mëtejshëm, në përgjithësi, nuk pritet (përveç nëse, natyrisht, nuk do të përdoren me dorë konfigurimin e konfigurimit server-bazë dhe klientit). Përjashtimet më e zakonshme për krijimin e rregullave mbi router ju lejon për të korrigjuar ndonjë problem apo të shmangur ato.