Как да конфигурирате и използвате SSH порт? Стъпка по стъпка

Secure Shell, или съкратено като SSH, тя е една от най-модерните технологии за защита на данните по отношение на предаването. Използването на такъв режим на същия рутер позволява не само на поверителността на предаваната информация, но и да се ускори обмяната на пакети. Все пак, не всеки знае, доколкото да се отвори SSH пристанището, както и защо всичко това е необходимо. В този случай е необходимо да се даде конструктивен обяснение.

Порт SSH: какво е това и защо се нуждаем?

Тъй като ние говорим за сигурност, в този случай, по силата на SSH порт да се разбира специален канал под формата на тунел, който осигурява криптиране на данните.

Най-примитивна схема на този тунел е, че една отворена SSH-порт се използва по подразбиране за шифроване на данни на източника и декриптиране на крайната точка. Това може да се обясни по следния начин: независимо дали ви харесва или не, предава трафик, за разлика от IPSec, криптирана по принуда, а изхода на мрежата, както и на приемащата страна на входа. За да декодирате информацията, предадена на този канал, приемащата терминал използва специален ключ. С други думи, да се намеси при прехвърлянето или наруши целостта на предаваните данни в момента никой не може да без ключ.

Просто отваряте SSH-порт на който и да е рутер или чрез използване на съответните настройки на допълнителен клиент взаимодейства директно с SSH-сървъра, ви позволява да използвате пълноценно всички функции на съвременните системи за сигурност на мрежата. Ние сме тук, за това как да се използва порт, който се определя от неизпълнение или персонализирани настройки. Тези параметри в заявлението може да изглеждат трудни, но без разбиране на организацията на такава връзка не е достатъчно.

Standard порт SSH

Ако, наистина, въз основа на параметрите на всяка една от рутера първо трябва да определят реда, какъв софтуер ще се използва за активиране на тази връзка. В действителност, SSH порт по подразбиране може да има различни настройки. Всичко зависи от това, което метод се използва в момента (пряка връзка със сървъра, да инсталирате допълнителен спедиция клиент пристанище и така нататък. Г.).

Например, ако клиентът използва Jabber, за правилните връзки, криптиране, както и прехвърляне на данни порт 443 трябва да се използва, въпреки че въплъщение е разположен в стандартния порт 22.

За да възстановите рутера към дела за дадена програма или процес необходимите условия трябва да изпълняват пренасочване на порт SSH. Какво е това? Това е целта на даден достъп до единна програма, която използва интернет връзка, независимо от коя настройка е текущи валутни протокол данни (IPv4 или IPv6).

техническа обосновка

Standard SSH порт 22 не винаги се използва като вече беше ясно. Въпреки това, тук е необходимо да се заделят част от характеристиките и настройките, използвани по време на настройката.

Защо криптиран протокол поверителността на данните включва използването на SSH като чисто външна (гост) потребител порт? Но само защото се прилага тунелиране го позволява използването на така наречената отдалечена обвивка (SSH), за да получат достъп до терминал управление чрез дистанционно вход (влезнете), и прилага процедурата за дистанционно копие (ВКП).

В допълнение, SSH-порт може да се активира в случай, когато е необходимо потребителят да изпълни отдалечени скриптове X Windows, която в най-простия случай на прехвърляне на информация от един компютър на друг, както беше казано, с принудително криптиране на данните. В такива ситуации, най-необходимо ще се използва на базата на алгоритъма AES. Това е симетричен алгоритъм за криптиране, която първоначално е била предоставена в SSH технология. И да го използвате не само възможно, но и необходимо.

История на реализацията

Технологията се е явил за дълго време. Да оставим настрана въпроса как да се направи обледеняване SSH порт, и се съсредоточи върху това как работи всичко.

Обикновено то се свежда до, да използвате прокси въз основа на чорапи, или да използвате VPN тунелиране. В случай, че някои софтуерно приложение може да работи с VPN, по-добре да изберете тази опция. Фактът, че почти всички известни програми, днес използваме интернет трафика, виртуалната частна мрежа може да работи, но лесно за маршрутизиране конфигурация не е така. Това, както в случая на сървърите на прокси, позволява да напусне външен адреса на пункта, от който в момента произвежда в изходната мрежа, неразпознати. Това означава, че в случай на прокси адрес винаги се променя, и VPN версия остава непроменена с фиксирането на определен регион, различен от този, в който е налице забрана за достъп.

В същата технология, която предлага SSH порт, е разработен през 1995 г. в Техническия университет във Финландия (SSH-1). През 1996 г. са били добавени подобрения във формата на SSH-2 протокол, който е доста разпространено в постсъветското пространство, въпреки че за това, както и в някои западноевропейски страни, понякога е необходимо да се получи разрешение за използване на този тунел, както и от правителствени агенции.

Основното предимство на отваряне на SSH-порт, за разлика от телнет или Rlogin, е използването на цифрови подписи RSA или DSA (използването на чифт отворен и погребан ключ). Освен това, в тази ситуация можете да използвате така наречените ключовете на сесията на базата на Diffie-Hellman алгоритъм, който включва използването на симетричен изход криптиране, въпреки че не изключва възможността за използване на асиметрични криптиращи алгоритми по време на предаване и приемане от друга машина.

Сървъри и черупка

На Windows или Linux SSH-порт отворен , не е толкова трудно. Единственият въпрос е, какви инструменти за тази цел ще се използва.

В този смисъл е необходимо да се обърне внимание на въпроса за предаване на информация и удостоверяване. На първо място, самият протокол е достатъчно защитена от т.нар смъркане, което е най-обикновено "подслушване" на трафика. SSH-1 се оказа уязвима за атаки. Смущения в процеса на прехвърляне на данни под формата на схема за "човек по средата" имаше своите резултати. Информация може просто да се намеси и да дешифрира съвсем елементарен. Но втората версия (SSH-2) е бил имунизирани срещу този вид интервенция, известен като крадене на сесията, благодарение на това, което е най-популярен.

Забраните за сигурност

Що се отнася до сигурността по отношение на предаваните и получените данни, организацията на връзките, създадени с използването на тази технология позволява да се избегне следните проблеми:

• идентификационен ключ към хоста на етапа на предаване, когато "моментна снимка» пръстови отпечатъци;
• Подкрепа за Windows и UNIX-подобни системи;
• смяна на IP и DNS адреси (фишинг);
• прихващане отворен парола с физически достъп до канала за данни.

Всъщност, цялата организация на такава система е изградена на принципа на "клиент-сървър", която е на първо място в компютъра на потребителя чрез специална програма или добавка в разговори към сървъра, която произвежда съответно пренасочване.

тунелиране

От само себе си се разбира, че изпълнението на връзката на този вид в специален драйвер, трябва да се инсталира на системата.

Обикновено в Windows-базирани системи е вградена в драйвера на програма черупка Microsoft Teredo, което е един вид виртуална емулация помощта на IPv6 в мрежи, поддържащи само IPv4. адаптер Тунел подразбиране е активна. В случай на неизпълнение, свързани с нея, може просто да се направи рестартиране на системата, или да извършите изключване и рестартиране на команди от командния пулт. За деактивиране се използват такива линии:

• Netsh;
• забранено интерфейс Teredo включено състояние;
• интерфейс isatap зададете състояние забранено.

След въвеждане на командата трябва да се рестартира. За да активирате отново адаптера и проверка на състоянието на хората с увреждания, вместо да даде възможност регистри разрешението за, след което, отново, трябва да се рестартира цялата система.

SSH сървър

Сега нека видим как SSH порт се използва като ядрото, като се започне от схемата на "клиент-сървър". По подразбиране обикновено се прилага двадесет и две минута порт, но, както е споменато по-горе, може да се използва и 443-тия. Единственият въпрос в предпочитанията на самия сървър.

Най-често срещаните SSH сървъри се считат за следното:

• за Windows: Tectia SSH сървъра, OpenSSH с Cygwin, MobaSSH, KpyM Telnet / SSH сървъра, WinSSHD, copssh, freeSSHd;
• за FreeBSD: OpenSSH;
• за Linux: Tectia SSH сървър, SSH, OpenSSH сървър, LSH-сървър, dropbear.

Всички сървъри са безплатни. Въпреки това, можете да намерите и платени услуги, които осигуряват още по-големи нива на сигурност, което е от съществено значение за организацията на достъпа мрежова и информационна сигурност в предприятията. Цената на тези услуги не се обсъжда. Но като цяло може да се каже, че това е относително евтин, дори и в сравнение с инсталирането на специален софтуер или "хардуер" защитна стена.

SSH клиент

Смяна на SSH порт може да се направи въз основа на програмата за клиент или подходящите настройки, когато пренасочване на порт на вашия рутер.

Въпреки това, ако те докосна корпуса на клиента, следните софтуерни продукти могат да се използват за различни системи:

• Windows - SecureCRT, PuTTY \ коте, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD др.;.
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux и BSD: LSH-клиент, kdessh, OpenSSH-клиент, Vinagre, замазка.

Authentication се основава на публичния ключ, както и промяна на пристанището

Сега няколко думи за това как проверката и настройка на сървър. В най-простия случай, трябва да използвате конфигурационен файл (sshd_config). Въпреки това, можете да го направите, без да го, например, в случай на програми като PuTTY. Смяна на SSH порт от стойността по подразбиране (22) за всяка друга е напълно елементарно.

Основното нещо - да се отвори номер на порт не надвишава стойността на 65535 (по-високи портове просто не съществуват в природата). В допълнение, трябва да се обърне внимание на някои отворени портове по подразбиране, които могат да бъдат използвани от клиенти като MySQL или FTPD бази данни. Ако ги посочи за конфигурация SSH, разбира се, те просто спре да работи.

Добре е да отбележим, че същата Jabber клиент трябва да се изпълнява в една и съща среда, използвайки SSH сървър, например, на виртуална машина. И най-сървъра Localhost ще трябва да се придаде стойност на 4430 (вместо 443, както е споменато по-горе). Тази конфигурация може да се използва, когато достъп до централната файл jabber.example.com блокирана от защитната стена.

От друга страна, пристанища за трансфер могат да бъдат на рутера с помощта на конфигурацията на неговото взаимодействие с създаването на изключения от правилата. В повечето модели вход чрез въвеждане на адреси, започващи с 192,168, допълнена с 0.1 или 1.1, но рутери, комбиниращи възможности ADSL модеми като Mikrotik, край адрес включва използването на 88,1.

В този случай, се създаде ново правило, след това задайте необходимите параметри, например, за да инсталирате външна връзка DST-нат, както и ръчно предписани пристанища не са в съответствие с общите настройки и в раздела на предпочитания активизъм (действие). Нищо прекалено сложно тук. Основното нещо - да посочи изискваните стойности на настройките и да зададете правилния порт. По подразбиране, можете да използвате порт 22, но ако клиентът използва специален (някои от по-горе за различните системи), стойността може да се променя произволно, но само толкова, че този параметър не надвишава обявената стойност, над която номера на портове, просто не са налични.

Когато настроите връзки също трябва да се обърне внимание на параметрите на програмата за клиент. Може да се окаже, че в настройките му трябва да зададете минималната дължина на ключа (512), въпреки че по подразбиране обикновено е определен 768. Желателно е също така да настроите времето за изчакване за влизане в нивото на 600 секунди и разрешение за отдалечен достъп с права корен. След прилагане на тези настройки, трябва да се разреши използването на всички права за идентификация, различни от тези на базата на .rhost на употреба (но е необходимо само за системни администратори).

Наред с другите неща, ако потребителското име, регистрирано в системата, не е същото като въвежда в момента, то трябва да се посочи изрично, използвайки потребителското SSH майстор командата с въвеждането на допълнителни параметри (за тези, които разбират какво е заложено на карта).

Екип ~ / .ssh / id_dsa може да се използва за преобразуване на ключа и метода на шифроване (или RSA). За създаване на публичен ключ, използван от реализация с помощта на линия ~ / .ssh / identity.pub (но не задължително). Но, както показва практиката, най-лесният начин за използване на команди като SSH-търсени. Ето същността на проблема е намалена само на факта, за да добавите ключът към наличните инструменти за удостоверяване (~ / .ssh / authorized_keys).

Но ние сме отишли твърде далеч. Ако се върнем на въпроса за настройки пристанищни SSH, както е било ясно, промяна SSH порт не е толкова трудно. Въпреки това, в някои ситуации, казват те, ще трябва да се поти, защото е необходимо да се вземат под внимание всички стойности на основните параметри. Останалата част от въпроса за конфигурация се свежда до входа на всеки сървър или клиент програма (ако е предвидено първоначално), или да ползвате такъв порт на рутера. Но дори и в случай на промяна на пристанището 22, по подразбиране, към една и съща 443-тия, трябва ясно да се разбере, че подобна схема не винаги работи, но само в случай на инсталиране на една и съща добавката в Jabber (други аналози могат да активират и съответните им пристанища, Той се различава от стандарта). В допълнение, трябва да се обърне специално внимание параметър настройка SSH клиент, който директно ще взаимодействат с SSH-сървъра, ако е наистина трябваше да се използва текущата връзка.

Що се отнася до останалото, ако предаването на пристанището не е предвидено първоначално (въпреки, че е желателно да се правят такива действия), настройки и опции за достъп чрез SSH, не можете да се променят. Има някакви проблеми при създаването на връзка, както и по-нататъшното му използване, като цяло, не се очаква (освен ако, разбира се, няма да се използва ръчно да конфигурирате сървъра за конфигуриране на базата на клиента и). Най-често срещаните изключения от създаването на правила за рутера Ви дава възможност да се коригират евентуални проблеми или да ги избегне.