Як наладзіць і выкарыстоўваць порт SSH? пакрокавая інструкцыя

Secure Shell, або скарочана SSH, з'яўляецца адной з самых перадавых тэхналогій абароны дадзеных пры перадачы. Выкарыстанне такога рэжыму на тым жа маршрутызатары дазваляе забяспечыць не толькі канфідэнцыяльнасць перадаваемай інфармацыі, але і паскорыць абмен пакетамі. Праўда, далёка не ўсе ведаюць, як адкрыць порт SSH і навошта ўсё гэта трэба. У дадзеным выпадку давядзецца даць канструктыўнае тлумачэнне.

Порт SSH: што гэта і навошта трэба?

Паколькі гаворка ідзе пра бяспеку, у дадзеным выпадку пад портам SSH варта разумець вылучаны канал сувязі ў выглядзе тунэля, які забяспечвае шыфраванне дадзеных.

Самая прымітыўная схема працы такога тунэля складаецца ў тым, што адкрыты SSH-порт па змаўчанні выкарыстоўваецца для зашыфроўкі інфармацыі ў крыніцы і дэшыфроўкі на канцавым пункце. Патлумачыць гэта можна так: хочаце вы гэтага ці не, перадаваны трафік, у адрозненне ад IPSec, шыфруецца ў прымусовым парадку і на выхадзе аднаго сеткавага тэрмінала, і на ўваходзе, які прымае. Для расшыфроўкі інфармацыі, якая перадаецца па дадзеным канале, які прымае тэрмінал выкарыстоўвае спецыяльны ключ. Іншымі словамі, умяшацца ў перадачу або парушыць цэласнасць перадаваных дадзеных на бягучы момант без ключа не можа ніхто.

Як раз адкрыццё SSH-порта на любым маршрутызатары або пры дапамозе адпаведных налад дадатковага кліента, узаемадзеянне з SSH-серверам напрамую, дазваляе ў поўнай меры выкарыстаць усе магчымасці сістэмы бяспекі сучасных сетак. Гаворка тут пра тое, каб выкарыстоўваць порт, прызначаны па змаўчанні, або прыстасаваныя наладкі. Гэтыя параметры ва ўжыванні могуць выглядаць досыць складана, аднак без разумення арганізацыі такога падлучэння тут не абысціся.

Стандартны порт SSH

Калі сапраўды зыходзіць з параметраў любога маршрутызатара, для пачатку варта вызначыцца з тым, якое менавіта праграмнае забеспячэнне будзе выкарыстоўвацца для задзейнічання гэтага канала сувязі. Уласна, і порт SSH па змаўчанні можа мець розныя налады. Усё залежыць ад таго, якая методыка прымяняецца ў дадзены момант (прамое злучэнне з серверам, ўстаноўка дадатковага кліента, пракінулі партоў і т. Д.).

Так, напрыклад, калі ў якасці кліента ўжываецца Jabber, для карэктнага злучэння, шыфравання і перадачы дадзеных павінен выкарыстоўвацца порт 443, хоць у стандартным варыянце усталёўваецца порт 22.

Каб пераналадзіць маршрутызатар з вылучэннем для пэўнай праграмы або працэсу неабходных умоў, прыйдзецца выканаць пракінулі партоў SSH. Што гэта такое? Гэта значыць прызначэнне пэўнага доступу для асобна ўзятай праграмы, якая выкарыстоўвае падключэнне да Інтэрнэту, па-за залежнасці ад таго, якія налады мае бягучы пратакол абмену дадзенымі (IPv4 ці IPv6).

тэхнічнае абгрунтаванне

Як ужо зразумела, стандартны порт SSH 22 выкарыстоўваецца не заўсёды. Аднак тут трэба вылучыць некаторыя характарыстыкі і параметры, якія выкарыстоўваюцца пры наладзе.

Чаму канфідэнцыяльнасць перадачы зашыфраваных дадзеных мяркуе выкарыстанне пратаколу SSH ў выглядзе выключна вонкавага (гасцявога) карыстацкага порта? Ды толькі таму, што ўжываецца тунэляванне дазваляе выкарыстоўваць так званую выдаленую абалонку (SSH), атрымаць доступ да кіравання тэрміналам з дапамогай аддаленага ўваходу ў сістэму (slogin), а таксама ўжываць працэдуры аддаленага капіявання (scp).

Акрамя таго, SSH-порт можа быць задзейнічаны і ў тым выпадку, калі ў карыстальніка ўзнікае неабходнасць выканання аддаленых сцэнарыяў X Windows, што ў самым простым выпадку ўяўляе сабой перадачу інфармацыі з адной машыны на іншую, як ужо гаварылася, з прымусовым шыфраваннем дадзеных. У такіх сітуацыях самым неабходным стане выкарыстанне алгарытмаў на аснове AES. Гэта ёсць алгарытм сіметрычнага шыфравання, якое першапачаткова прадугледжана ў тэхналогіі SSH. І выкарыстоўваць яго не толькі можна, але і трэба.

гісторыя рэалізацыі

Сама тэхналогія з'явілася досыць даўно. Пакінем пакуль у баку пытанне таго, як зрабіць пракінулі партоў SSH, а спынімся на тым, як усё гэта працуе.

Звычайна ўсё зводзіцца да таго, каб выкарыстоўваць проксі на аснове Socks або ўжыць тунэляванне VPN. У выпадку, калі нейкае праграмнае прыкладанне ўмее працаваць з VPN, лепш аддаць перавагу менавіта гэты варыянт. Справа ў тым, што практычна ўсе вядомыя на сёння праграмы, якія выкарыстоўваюць інтэрнэт-трафік, з VPN працаваць могуць, а налада маршрутызацыі адмысловай працы не складае. Гэта, як і ў выпадку з проксі-серверамі, дазваляе пакінуць знешні адрас тэрмінала, з якога ў дадзены момант вырабляецца выхад у сетку, непазнаным. Гэта значыць, у выпадку з проксі адрас змяняецца ўвесь час, а ў варыянце VPN застаецца нязменным з фіксацыяй пэўнага рэгіёну, адрознага ад таго, дзе дзейнічае забарона доступу.

Сама ж тэхналогія, калі адкрываецца порт SSH, была распрацавана яшчэ ў 1995 годзе ў Тэхналагічным універсітэце Фінляндыі (SSH-1). У 1996 годзе было дададзена ўдасканаленне ў выглядзе пратаколу SSH-2, які атрымаў досыць вялікі распаўсюд на постсавецкай прасторы, хоць для гэтага, роўна як і ў некаторых краінах Заходняй Еўропы, часам неабходна атрыманне дазволу на выкарыстанне такога тунэля, прычым ад дзяржаўных органаў.

Асноўным перавагай адкрыцця SSH-порта, у адрозненне ад telnet або rlogin, лічыцца прымяненне лічбавай подпісы RSA ці DSA (выкарыстанне пары ў выглядзе адкрытага і закапанага ключа). Акрамя таго, у дадзенай сітуацыі можа выкарыстоўваць так званы сеансовый ключ на аснове алгарытму Диффи-Хеллмана, які мае на ўвазе прымяненне сіметрычнага шыфравання на выхадзе, хоць і не выключае выкарыстанне алгарытмаў асіметрычнага шыфравання ў працэсе перадачы дадзеных і іх прыёму іншай машынай.

Серверы і абалонкі

У Windows або ў Linux SSH-порт адкрыць не так ужо і цяжка. Пытанне толькі ў тым, які менавіта інструментар для гэтага будзе выкарыстоўвацца.

У гэтым сэнсе трэба звярнуць увагу на пытанне перадачы інфармацыі і аўтэнтыфікацыі. Па-першае, сам пратакол аказваецца досыць абароненым ад так званага снифинга, які прадстаўляе сабой самую звычайную «праслухоўванне» трафіку. SSH-1 апынуўся безабаронным перад атакамі. Ўмяшанне ў працэс перадачы дадзеных у выглядзе схемы «чалавек пасярэдзіне» мела свае вынікі. Інфармацыю можна было проста перахапіць і расшыфраваць зусім элементарна. Затое другая версія (SSH-2) была застрахаваная ад падобнага роду ўмяшання, званага session hijacking, дзякуючы чаму і атрымала найбольшае распаўсюджванне.

Забароны сістэмы бяспекі

Што ж тычыцца бяспекі ў дачыненні да перадаюцца і прымаюцца дадзеных, арганізацыя падлучэння, створанага з прымяненнем такіх тэхналогій, дазваляе пазбегнуць з'яўлення наступных праблем:

• вызначэнне ключа да хасту на стадыі перадачы, калі выкарыстоўваецца «злепак» fingerprint;
• падтрымка Windows і UNIX-падобных сістэм;
• падмена адрасоў IP і DNS (spoofing);
• перахоп адкрытых пароляў пры фізічным доступе да канала перадачы дадзеных.

Уласна, уся арганізацыя такой сістэмы пабудавана па прынцыпе «кліент-сервер», гэта значыць у першую чаргу карыстацкая машына з дапамогай адмысловай праграмы або надбудовы звяртаецца да сервера, які і вырабляе адпаведнае перанакіраванне.

тунэляванне

Само сабой зразумела, што для ажыццяўлення падлучэння такога роду ў сістэме павінен быць усталяваны адмысловы драйвер.

Як правіла, у Windows-сістэмах гэта убудаваны ў праграмную абалонку драйвер Microsoft Teredo, які ўяўляе сабой нейкае віртуальнае сродак эмулирования пратаколу IPv6 у сетках з падтрымкай толькі IPv4. Тунэльны адаптар па змаўчанні знаходзіцца ў актыўным стане. У выпадку з'яўлення збояў, з ім звязаных, можна проста вырабіць перазапуск сістэмы або выканаць каманды адключэння і рэстарту у камандным кансолі. Для дэактывацыі выкарыстоўваюцца такія радкі:

• netsh;
• interface teredo set state disabled;
• interface isatap set state disabled.

Пасля ўводу каманд варта перазагрузка. Для паўторнага ўключэння адаптара і праверкі яго стану замест disabled прапісваецца дазвол enabled, пасля чаго, зноў жа, варта рэстарт ўсёй сістэмы.

SSH-сервер

Цяпер паглядзім, які порт SSH выкарыстоўваецца ў якасці асноўнага, адштурхваючыся ад схемы «кліент-сервер». Звычайна па змаўчанні ўжываецца 22-й порт, але, як ужо было паказана вышэй, можа выкарыстоўваць і 443-й. Пытанне толькі ў перавазе самога сервера.

Самымі распаўсюджанымі SSH-серверамі прынята лічыць наступныя:

• для Windows: Tectia SSH Server, OpenSSH з Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd;
• для FreeBSD: OpenSSH;
• для Linux: Tectia SSH Server, ssh, openssh-server, lsh-server, dropbear.

Усе прыведзеныя серверы з'яўляюцца бясплатнымі. Аднак можна знайсці і платныя паслугі, якія адрозніваюцца павышаным узроўнем сістэмы бяспекі, што вельмі неабходна для арганізацыі сеткавага доступу і абароны інфармацыі на прадпрыемствах. Кошт такіх паслуг цяпер не абмяркоўваецца. Але ўвогуле і цэлым можна сказаць, што гэта адносна нядорага, нават у параўнанні з устаноўкай спецыялізаванага праграмнага або «жалезнага» файрвола.

SSH-кліент

Змена порта SSH зможа вырабляцца на аснове кліенцкай праграмы або адпаведных налад пры пракінулі партоў на маршрутызатары.

Аднак, калі дакранацца кліенцкіх абалонак, для розных сістэм могуць прымяняцца наступныя праграмныя прадукты:

• Windows - SecureCRT, PuTTY \ KiTTY, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD і т. Д .;
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux і BSD: lsh-client, kdessh, openssh-client, Vinagre, putty.

Аўтэнтыфікацыя на аснове адкрытых ключоў і змяненне порта

Зараз некалькі слоў пра тое, як адбываецца верыфікацыя і налада сервера. У самым простым выпадку неабходна выкарыстоўваць файл канфігурацыі (sshd_config). Аднак можна абыйсціся і без гэтага, напрыклад, у выпадку выкарыстання праграм накшталт PuTTY. Змяніць порт SSH са стандартнага значэння (22) на любое іншае можна зусім элементарна.

Галоўнае - каб нумар адчынянага порта не перавышаў значэнне 65535 (вышэй партоў проста не бывае ў прыродзе). Да таго ж варта звярнуць увагу на некаторыя адкрытыя па змаўчанні парты, якія могуць выкарыстоўвацца кліентамі накшталт MySQL або базамі дадзеных FTPD. Калі пазначыць для SSH іх канфігурацыю, зразумелая справа, тыя проста перастануць працаваць.

Варта ўлічыць, што той жа кліент Jabber павінен быць запушчаны ў адным асяроддзі з выкарыстаннем SSH-сервера, напрыклад, на віртуальнай машыне. А самому серверу localhost неабходна будзе прысваенне значэння 4430 (а не 443, як было паказана вышэй). Такая канфігурацыя можа выкарыстоўвацца ў тым выпадку, калі доступ да асноўнага файлу jabber.example.com блакуецца файрволам.

З іншага боку, перакінуць парты можна і на самай маршрутызатары, выкарыстоўваючы для гэтага налады яго інтэрфейсу са стварэннем правіл выключэння. На большасці мадэляў ўваход ажыццяўляецца праз ўвод адрасоў, якія пачынаюцца з 192.168 з даданнем 0.1 або 1.1, але на роутерах, якія сумяшчаюць магчымасці ADSL-мадэмаў накшталт Mikrotik, канчатковы адрас мяркуе выкарыстанне 88.1.

У гэтым выпадку ствараецца новае правіла, пасля гэтага ўсталёўваюцца неабходныя параметры, напрыклад, для ўстаноўкі вонкавага падлучэння dst-nat, а таксама ўручную прапісваюцца парты не ў раздзеле агульных налад, і ў раздзеле пераваг актыўных дзеянняў (Action). Нічога асабліва складанага тут няма. Галоўнае - паказаць неабходныя значэння налад і ўсталяваць правільны порт. Па змаўчанні можна выкарыстоўваць порт 22, але, калі выкарыстоўваецца спецыялізаваны кліент (які-небудзь з вышэйзгаданых для розных сістэм), значэнне можна змяняць адвольна, але толькі так, каб гэты параметр не перавышаў заяўлены значэнне, вышэй якога нумары партоў проста адсутнічаюць.

Падчас усталявання падлучэння таксама варта звярнуць увагу на параметры кліенцкай праграмы. Вельмі можа быць, што ў яе наладах прыйдзецца пазначыць мінімальную даўжыню ключа (512), хоць па змаўчанні звычайна ўстаноўлена 768. Таксама пажадана ўсталяваць таймаўт ўваходу ў сістэму на ўзроўні 600 секунд і дазвол на выдалены доступ з выкарыстаннем правоў root. Пасля ўжывання такіх настроек неабходна даць яшчэ і дазвол на выкарыстанне ўсіх правоў аўтэнтыфікацыі, акрамя тых, якія заснаваныя на выкарыстанні .rhost (але гэта трэба толькі сістэмным адміністратарам).

Акрамя ўсяго іншага, калі імя карыстальніка, зарэгістраванага ў сістэме, не супадае з ўводзяцца ў дадзены момант, трэба будзе падаць яго перад відавочна, выкарыстоўваючы для гэтага каманду user ssh master з уводам дадатковых параметраў (для тых, хто разумее, пра што ідзе гаворка).

Для пераўтварэння ключа і самога метаду шыфравання можа прымяняцца каманда ~ / .ssh / id_dsa (або rsa). Для стварэння публічнага ключа выкарыстоўваецца пераўтварэнне пры дапамозе радкі ~ / .ssh / identity.pub (але гэта не абавязкова). Але, як паказвае практыка, прасцей за ўсё выкарыстоўваць каманды накшталт ssh-keygen. Тут сутнасць пытання зводзіцца толькі да таго, каб дадаць ключ да даступных інструментах аўтарызацыі (~ / .ssh / authorized_keys).

Але мы зайшлі занадта далёка. Калі вяртацца да пытання налады порта SSH, як ужо зразумела, змяніць порт SSH не так ужо і складана. Праўда, у некаторых сітуацыях, што называецца, прыйдзецца папацець, паколькі трэба будзе ўлічыць усе значэння асноўных параметраў. У астатнім жа пытанне налады зводзіцца альбо да ўваходу ў серверную або кліенцкую праграму (калі гэта прадугледжана першапачаткова), альбо да выкарыстання пракінулі партоў на маршрутызатары. Але нават у выпадку змены порта 22, усталяванага па змаўчанні, на той жа 443-ы, трэба дакладна разумець, што такая схема працуе не заўсёды, а толькі ў выпадку з устаноўкай той жа надбудовы Jabber (іншыя аналагі могуць задзейнічаць і адпаведныя ім парты, адрозныя ад стандартных). Акрамя таго, асаблівую ўвагу трэба надаць выстаўленьня параметраў SSH-кліента, які будзе непасрэдна ўзаемадзейнічаць з SSH-серверам, калі такое сапраўды мяркуецца ў выкарыстанні бягучага падключэння.

У астатнім жа, калі пракінулі партоў не прадугледжаны першапачаткова (хоць пажадана выканаць такія дзеянні), налады і параметры для доступу па пратаколе SSH можна і не змяняць. Тут асаблівых праблем пры стварэнні злучэння і яго далейшым выкарыстаннi, увогуле-то, не прадбачыцца (калі, вядома, не будзе выкарыстоўвацца ручная налада канфігурацыі на аснове сервера і кліента). Самае звычайнае стварэнне правіла выключэнні на роутере дазваляе выправіць усе праблемы або пазбегнуць іх з'яўлення.