Kumaha ngonpigurasikeun sarta ngagunakeun port SSH? Step by pituduh hambalan

Ngamankeun Shell, atawa disingget jadi SSH, éta salah sahiji téknologi panyalindungan data paling canggih di midiyeum. Pamakéan rezim saperti dina router sarua ngamungkinkeun teu mung karusiahan inpormasi dikirimkeun, tapi ogé nepi ka nyepetkeun bursa of pakét. Sanajan kitu, teu sadaya jelema weruh sajauh pikeun muka port SSH, sarta naha kabeh ieu perlu. Dina hal ieu perlu masihan katerangan konstruktif.

Port SSH: naon eta na naha urang perlu?

Kusabab urang ngobrol ngeunaan kaamanan, dina hal ieu, handapeun port SSH bisa dipikaharti channel dedicated dina bentuk torowongan a, nu nyadiakeun enkripsi data.

Skéma paling primitif torowongan ieu nu hiji SSH-port kabuka ieu dipaké sacara standar pikeun encrypt data dina sumber na nyah kana titik éta. Ieu bisa dipedar saperti kieu: naha anjeun resep atawa henteu, lalulintas dikirimkeun, teu saperti IPSec, énkripsi handapeun paksaan jeung terminal kaluaran jaringan, sarta dina sisi panarima tina lawang. Pikeun ngadekrip informasi dikirimkeun dina channel ieu, terminal narima ngagunakeun konci husus. Dina basa sejen, dihalangan di mindahkeun atawa kompromi integritas data dikirimkeun dina momen hiji bisa henteu tanpa konci a.

Ngan muka SSH-port on router wae atawa ku cara make setelan luyu ngeunaan klien tambahan dilibetkeun langsung jeung SSH-server, ngidinan Anjeun pikeun pinuh make sagala fitur sistem kaamanan jaringan modern. Kami di dieu dina cara ngagunakeun port anu ditugaskeun ku setélan standar atawa adat. parameter ieu dina aplikasi anu bisa kasampak hésé, tapi tanpa hiji pamahaman organisasi sambungan misalna hiji teu cukup.

port SSH baku

Lamun, memang, dumasar parameter tina salah sahiji router kahiji kudu nangtukeun ordo, jenis software bakal dipaké pikeun ngaktipkeun link ieu. Komo, standar port SSH tiasa gaduh setélan béda. Sagalana gumantung kana métode kumaha ieu dipaké dina momen (sambungan langsung ka server, masang tambahan port klien diteruskeun jeung saterusna. D.).

Contona, upami klien nu dipake Jabber, pikeun sambungan bener, enkripsi, sarta data mindahkeun port 443 téh bisa dipaké, sanajan perwujudan tos disetel dina port standar 22.

Pikeun ngareset router pikeun alokasi pikeun program tinangtu atawa ngolah kaayaan diperlukeun kudu nedunan port diteruskeun SSH. Naon eta? Ieu tujuan hiji aksés hususna ka program tunggal anu ngagunakeun hiji koneksi Internet, paduli nu setting nya ayeuna bursa protokol data (IPv4 atanapi IPv6).

leresan teknis

Baku SSH port 22 teu salawasna dipake saperti ieu geus jelas. Sanajan kitu, di dieu perlu allocate sababaraha ciri sareng setelan dipaké salila setelan.

Naha énkripsi protokol data karusiahan ngalibatkeun SSH salaku (guest) port pamaké murni éksternal? Tapi ngan kusabab tunneling diterapkeun hal ieu ngamungkinkeun pamakéan hiji disebut cangkang jauh (SSH), mangtaun aksés ka manajemén terminal ngaliwatan login jauh (slogin), sarta nerapkeun prosedur salinan jauh (scp).

Sajaba ti éta, SSH-port bisa diaktipkeun dina kasus dimana pamaké perlu sangkan ngaéksekusi Aksara jauh X Windows, nu dina kasus pangbasajanna nyaéta mindahkeun informasi ti hiji mesin keur sejen, sakumaha geus ngomong, ku enkripsi data dipaksa. Dina kaayaan kitu, paling perlu baris maké dumasar kana algoritma AES. Ieu algoritma enkripsi simetri, nu asalna disadiakeun dina téhnologi SSH. Na make eta teu ngan mungkin tapi perlu.

Sajarah realisasi nu

téhnologi geus mucunghul pikeun lila. Hayu urang ninggalkeun kumisan sual kumaha carana sangkan port icing SSH, sarta fokus dina sabaraha eta kabeh karya.

Biasana datang ka handap pikeun, ngagunakeun proxy dina dasar kaos kaki atawa make tunneling VPN. Bisi sababaraha aplikasi software tiasa dianggo kalayan VPN, hadé mun milih pilihan ieu. Kanyataan yén program ampir kabéh dipikawanoh kiwari nganggo lalulintas Internet, VPN tiasa dianggo, tapi gampang routing konfigurasi henteu. Ieu, sakumaha dina kasus tina server proxy, ngamungkinkeun ninggalkeun alamat éksternal tina terminal ti mana éta ayeuna dihasilkeun dina jaringan output, unrecognized. Yén dina kasus jeung alamat proxy sok ngarobah, sarta versi VPN tetep unchanged jeung fiksasi sahiji wewengkon nu tangtu, lian ti salah sahiji tempat aya hiji larangan di aksés.

Téknologi pisan sarua nu nawarkeun port SSH, diwangun dina 1995 di Universitas Téhnologi di Finlandia (SSH-1). Dina 1996, perbaikan geus ditambahkeun dina bentuk SSH-2 protokol nu éta rada nyebar dina spasi pos-Soviét, sanajan keur ieu, sakumaha ogé di sababaraha nagara Éropa Kulon, éta kadang diperlukeun pikeun ménta idin pikeun nganggo torowongan ieu, ti instansi pamaréntah.

Kauntungan utama tina muka SSH-port, sabalikna telnet atanapi rlogin, nya éta ngagunakeun tanda tangan digital persà atanapi dsa (pamakéan sapasang kabuka sarta konci dikubur). Saterusna, dina kaayaan ieu anjeun bisa make disebut konci sési dumasar Diffie-Hellman algoritma nu ngalibatkeun hiji kaluaran enkripsi simetri, sanajan teu preclude pamakéan algoritma enkripsi asimétri dina mangsa pangiriman data jeung panarimaan ku mesin sejen.

Server na cangkang

Dina Windows atawa Linux Ubuntu SSH-port kabuka teu jadi hésé. Hijina sual nyaeta, jenis parabot keur kaperluan ieu bakal dipaké.

Dina kayaan ieu perlu nengetan isu transmisi informasi jeung auténtikasi. Firstly, protokol sorangan sahingga ditangtayungan ku nu disebut sniffing, nu paling dawam "wiretapping" tina lalulintas. SSH-1 kabukti rentan ka serangan. Gangguan dina prosés mindahkeun data dina wangun hiji skéma tina "lalaki di tengah" tadi hasil na. Émbaran saukur bisa intercept na decipher rada dasar. Tapi versi kadua (SSH-2) geus salawasna jenis ieu pipilueun, katelah sési ayana pangbajak, berkat naon nu pang populerna.

Bans kaamanan

Sedengkeun pikeun kaamanan di hormat data nu dikirimkeun sarta nampi, organisasi sambungan ngadegkeun kalawan ngagunakeun téhnologi sapertos ngamungkinkeun nyingkahan masalah di handap ieu:

• konci idéntifikasi kana host dina hambalan transmisi, lamun "snapshot» sidik;
• Rojongan pikeun Windows sarta Sistem UNIX-kawas;
• substitusi of IP jeung alamat DNS (spoofing);
• intercepting sandi kabuka kalayan aksés fisik ka saluran data.

Sabenerna, sakabeh organisasi sistem sarupaning ieu diwangun dina prinsip "klien-server", nyaeta, mimiti sagala komputer pamaké ngaliwatan program husus atawa tambahkeun-di nelepon ka server, nu ngahasilkeun redirection alkana.

tunneling

Éta mana tanpa nyebutkeun yen palaksanaan sahiji sambungan nanaon ieu supir husus kudu dipasang dina sistem.

Ilaharna, dina sistim basis Windows anu diwangun kana program cangkang supir Microsoft Teredo, nu mangrupakeun jenis hartosna emulation virtual tina IPv6 dina jaringan ngarojong IPv4 wungkul. adaptor torowongan standar aktip. Dina acara gagalna pakait sareng eta, anjeun ngan bisa nyieun sistem balikan deui atawa migawé shutdown sarta ngabalikan Paréntah tina konsol paréntah. Nonaktipkeun garis sapertos anu dipaké:

• netsh;
• panganteur kaayaan teredo set ditumpurkeun;
• panganteur isatap diatur kaayaan ditumpurkeun.

Sanggeus ngasupkeun paréntah kedah dibalikan deui. Pikeun ulang ngaktipkeun adaptor jeung pariksa status ditumpurkeun tinimbang registers diturutan nu diaktipkeun, satutasna, deui, kedah ngabalikan sakabéh sistem.

SSH-server

Ayeuna hayu urang tingal kumaha aplikasi nu port SSH dipaké salaku inti, dimimitian ti skéma "klien-server". standar biasana dilarapkeun 22 menit port, tapi, saperti didadarkeun di luhur, bisa dipaké sarta 443rd nu. Hijina sual dina leuwih sering dipake tinimbang tina server sorangan.

Paling umum SSH-server nu dianggap di handap:

• pikeun Windows: Tectia SSH Server, OpenSSH kalawan Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd;
• pikeun FreeBSD: OpenSSH;
• pikeun Linux Ubuntu: Tectia SSH Server, ssh, openssh-server, lsh-server, dropbear.

Sakabéh pangladén bébas. Najan kitu, anjeun tiasa manggihan sareng nu mayar jasa nu nyadiakeun tingkat malah leuwih gede kaamanan, nu penting pisan pikeun organisasi aksés jaringan sarta kaamanan informasi dina usaha. Biaya jasa misalna teu dibahas. Tapi sacara umum bisa disebutkeun yen eta relatif murah, malah di ngabandingkeun kalayan pamasangan software husus atawa "heuras" firewall.

SSH-klien

port robah SSH bisa dijieun dina dasar program klien atawa setélan luyu lamun port diteruskeun kana router Anjeun.

Sanajan kitu, lamun tutul cangkang klien, anu produk software handap bisa dipaké pikeun sagala rupa sistem:

• Windows - SecureCRT, putty \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD jsb;..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux Ubuntu jeung BSD: lsh-klien, kdessh, openssh-klien, Vinagre, putty.

Auténtikasi ieu dumasar kana tombol umum, sarta ngarobah port nu

Kiwari sababaraha kecap ngeunaan kumaha verifikasi jeung netepkeun up server a. Dina kasus pangbasajanna, anjeun kudu ngagunakeun file konfigurasi (sshd_config). Najan kitu, anjeun tiasa ngalakukeun tanpa éta, contona, dina kasus program kayaning putty. Robah SSH port ti nilai standar (22) nepi ka sagala séjén sagemblengna dasar.

Hal utama - keur muka sababaraha port henteu ngaleuwihan nilai 65535 (palabuhan luhur saukur teu aya di alam). Sajaba ti éta, kudu nengetan sababaraha palabuhan muka sacara standar, anu bisa dipaké ku klien kawas MySQL atawa FTPD basis data. Lamun tangtukeun aranjeunna keur konfigurasi SSH, tangtosna, aranjeunna ngan eureun gawé.

Ieu sia noting yén Jabber klien sami kudu ngajalankeun di lingkungan anu sarua maké SSH-server, contona, dina mesin virtual. Jeung paling server localhost bakal perlu napelkeun nilai ka 4430 (gaganti 443, sakumaha didadarkeun di luhur). Konfigurasi Ieu bisa dipaké nalika aksés ka jabber.example.com file utama diblokir ku firewall anu.

Di sisi séjén, anu palabuhan mindahkeun tiasa dina router ngagunakeun konfigurasi tina panganteur na kalawan kreasi iwal kana aturan. Dina kalolobaan model input ngaliwatan alamat input dimimitian ku 192,168 supplemented kalayan 0,1 atawa 1.1, tapi routers ngagabungkeun kamampuhan ADSL-modem kawas Mikrotik, alamat tungtung ngalibatkeun 88,1.

Dina hal ieu, nyieun aturan anyar, saterusna diatur parameter diperlukeun, contona, pikeun masang sambungan éksternal DST-Nat, kitu ogé palabuhan prescribed sacara manual teu di handapeun Setelan umum sarta di bagian tina preferensi Activism (Aksi). Euweuh teuing nyusahkeun di dieu. Hal utama - keur nangtukeun nilai nu diperlukeun setelan na ngeset port bener. Sacara standar, anjeun tiasa nganggo port 22, tapi lamun nasabah ngagunakeun husus (ditambahan di luhur pikeun sistim béda), nilai nu bisa dirobah wenang, tapi ukur jadi nu parameter ieu teu ngaleuwihan nilai nyatakeun, luhur nu nomer port téh saukur teu aya.

Lamun anjeun nyetel sambungan ogé kudu nengetan parameter tina program klien. Ieu bisa ogé jadi nu di setélan na kudu nangtukeun panjang minimum tombol (512), sanajan standar biasana diatur 768. Ieu oge desirable pikeun ngeset seep ka log asup pikeun tingkat 600 detik sarta idin aksés jauh kalayan hak root. Saatos nerapkeun setelan ieu, anjeun perlu ogé diturutan pamakéan sakabéh hak auténtikasi, lian ti jalma dumasar kana pamakéan .rhost (tapi perlu ukur keur kuncén sistem).

Diantara hal séjén, upami nami pamaké didaptarkeun dina sistem, teu sarua jeung diwanohkeun dina ngomen, nya kudu dieusian kuduna ngagunakeun pamaké ssh paréntah master sareng bubuka parameter tambihan (pikeun jalma anu ngarti naon di stake).

Tim ~ / .ssh / id_dsa bisa dipaké pikeun transformasi konci jeung metoda enkripsi (atawa persÃ). Nyieun konci umum dipaké ku konversi ngagunakeun jalur ~ / .ssh / identity.pub (tapi teu merta). Tapi, sakumaha prakték nempokeun, cara panggampangna ngagunakeun Paréntah kawas ssh-keygen. Di dieu hakekat masalah diréduksi ngan kanyataan, pikeun nambahkeun konci pikeun pakakas auténtikasi sadia (~ / .ssh / authorized_keys).

Tapi kami geus Isro jauh teuing. Lamun balik ka masalah setélan port SSH, sakumaha geus jelas port robah SSH henteu kitu hésé. Sanajan kitu, dina sababaraha kaayaan, maranéhna ngomong, kudu ngesang, sabab kudu tumut kana akun sakabeh nilai parameter konci. Sesa masalah konfigurasi bisul handap ka lawang tina sagala server atanapi klien program (lamun disadiakeun mimitina), atawa pikeun ngagunakeun port diteruskeun kana router anu. Tapi sanajan bisi robah tina port 22 standar, ke 443rd sarua, kudu jelas dipikaharti jadi nu skéma saperti henteu salawasna bisa dipaké, tapi ngan dina kasus masang sami nambihkeun di Jabber (analogs lianna bisa ngaktipkeun sarta palabuhan masing-masing, Ieu beda standar). Sajaba ti éta, perhatian husus kudu dibikeun netepkeun SSH-klien nu bakal langsung interaksi jeung SSH-server, upami eta anu bener sakuduna dituju nganggo sambungan ayeuna parameter.

Sedengkeun pikeun sésana, lamun port diteruskeun henteu disadiakeun mimitina (sanajan desirable nedunan lampah misalna), setelan sareng pilihan pikeun aksés via SSH, Anjeun teu bisa ngaganti. Aya masalah nalika nyieun sambungan, sarta pamakéan salajengna na, sacara umum, anu teu dipiharep (iwal, tangtosna, moal dipaké sacara manual ngonpigurasikeun konfigurasi server basis na klien). The éntitas nu paling umum pikeun kreasi aturan on router anu ngidinan Anjeun pikeun ngabenerkeun masalah wae atanapi ulah aranjeunna.