Wéi d 'Konfiguratioun a SSH port benotzt? Schrëtt fir Schrëtt Guide

Sécher Shell, oder als SSH Gewerkschaftsbond, ass et ee vun de stäerkste fortgeschratt Dateschutz Technologien an der Transmissioun. Der Notzung vun sou engem Regime op de selwechte Router erlaabt net nëmmen d'Confidentialitéit vun iwwerdroen Informatiounen, mä och den Austausch vun bloer Luucht ze Vitesse weider. Mä net jiddereen weess wäit wéi d'SSH port opzemaachen, a firwat all dat ass néideg. An dësem Fall ass et néideg eng konstruktiv Erklärung ginn.

Port SSH: wat ass et an Firwat brauchen mir?

Well mer iwwer Sécherheet schwätzen, an dësem Fall, ënnert der SSH port zu éige Kanal an der Form vun engem Tunnel verstane ginn, déi Dateverschlësselung gëtt.

De stäerkste Ongewéinlech Schema vun dësem Tunnel ass dass eng oppen SSH-port vun Default benotzt ass Daten um Quell an Entschlësselungsfeler op der Endpunkt ginn ze verschlëssele. Dëst kann erkläert wéi follegt: ob Dir et wëll oder net, Verkéier iwwerdroen, Géigesaz zu den IPSec, ënnert compulsion an der Wasserstoff Opluedstatioun vum Reseau, an op der feieren Säit vun der Entrée verschlësselte. Fir d'Informatiounen decrypt op dësem Kanal iwwerdroen, benotzt d'Erhalen Opluedstatioun eng speziell Schlëssel. An anere Wierder, am Transfert oder Kompromëss d'Integritéit vun der iwwerdroen Daten am Moment ze intervenéieren eent net ouni Schlëssel kann.

Just SSH-port op all Router Ouverture oder déi entspriechend Astellunge vun zousätzleche Client benotzt openee direkt mat der SSH-Server, erlaabt Iech voll de Fonctiounen all vun Systemer modern Reseau Sécherheet konzentréiert. Mir sinn hei op wéi engem Hafen ze benotzen, déi vun Default oder Mooss Astellunge zougewisen ass. Dëse Parameteren an der Applikatioun kéint Wanterschlof war schwéier, mä ouni eng Versteesdemech vun der Organisatioun vun esou enger Verbindung ass net genuch.

Standard SSH Hafen

Wann, jo, baséiert op der Parameteren vun all vum Router sollt éischt d'Uerdnung bestëmmen, wat fir Software gëtt fir activating dësem Link ginn. An Tatsaach, kann d'Default SSH port verschidden Astellungen hunn. Alles hänkt wat Method am Moment benotzt gëtt (direkt Verbindung op de Server, zousätzlech Client port Expeditioun installéiert an sou op. D.).

wann den Optraggiewer Jabber Zum Beispill, benotzt ginn, fir richteg Verbindungen, Dateverschlësselung, an Daten Transfermaart port 443 ass ze ginn, obwuel de Ausdrock an der Norm port 22 Formatioun ass.

Fir Compteur de Router dem Bewëllegung fir eng bestëmmte Programm oder Prozess déi néideg Konditiounen mussen Leeschtunge port Expeditioun SSH. Wat ass et? Et ass den Zweck vun engem bestëmmte Zougang zu engem eenzege Programm datt eng Internetverbindung benotzt, onofhängeg vun deem Kader aktuell ass Protokoll realiséiert Donnéeën (IPv4 oder IPv6).

technesch beinhalt

Standard SSH port 22 ass net ëmmer benotzt wéi et scho kloer war. Mä hei ass et néideg puer vun de Charakteristiken an Astellunge während charge benotzt ze léinen.

Firwat kréie Daten Confidentialitéit Protokoll d 'Benotzung vun SSH als reng externen (Gaascht) Benotzer port? Awer nëmmen well tunneling applizéiert ass et erlaabt de Gebrauch vun engem sougenannte Erfindungen Réibau (SSH), Zougang zu den Uschloss Gestioun ze gewannen duerch Erfindungen Login (slogin), an Demande d'Erfindungen Kopie Prozedur (SCP).

Zousätzlech, SSH-port kann am Fall ageschalt gin wou de Benotzer Erfindungen Scripten X Windows, déi am einfach Fall ze exekutéieren néideg ass ass en Transfert vun Informatiounen aus eng Maschinn zu engem aneren, wéi ass gesot ginn, mat engem gezwongen Dateverschlësselung. An esou Situatiounen, wäert déi néideg op der AES Algorithmus benotzen baséiert. Dëst ass eng vun de grousse Dateverschlësselung Algorithmus, déi ursprénglech war an SSH Technik gëtt. An benotzen se net nëmmen méiglech awer néideg.

Geschicht vun der Realisatioun

D'Technologie huet fir eng laang Zäit wossten. Loosst eis verloossen parallel d'Fro wéi Cupcakes SSH port ze maachen, an drëm op wéi et all Wierker.

Normalerweis geet et erof un, e Proxy op der Basis vun Moritz ze benotzen oder Opportunitéit tunneling benotzen. Am Fall kann e puer Software Applikatioun mat Opportunitéit Aarbecht, besser dës Optioun ze wielen. Der Tatsaach, datt bal all bekannt Programmer haut Internet Verkéier benotzen, kann d'Opportunitéit Aarbecht, mä einfach läit Configuratioun ass net. Dëst, wéi am Fall vun der Proxy Serveren, erlaabt der externen Adress vun der Opluedstatioun ze verloossen aus deen de Moment an der Wasserstoff Netz, dei produzéiert. Dat ass de Fall mat der Proxy Adress ass ëmmer änneren, an Opportunitéit Versioun bleift onverännert mam zéien vun engem bestëmmte Regioun, aner wéi déi eent wou et engem Verbuet op Zougang.

Déi ganz selwechter Technologie datt SSH port proposéiert, gouf 1995 an der Universitéit vu Technology an Finnland (SSH-1) entwéckelt. An 1996, goufen an der Form vun SSH-2 Protokoll, dee war ganz verbreet am Post-sowjetesch Raum, obwuel fir dëst, wéi och an e puer westeuropäesche Länner, et ass heiansdo néideg ze kréien Erlaabnis dësem Tunnel ze benotzen, an aus Regierung Agencen Verbesserungen dobäi.

D'Haaptrei Virdeel vun SSH-port Ouverture, wéi bis telnet oder rlogin dogéint, ass de Gebrauch vun digitale Ënnerschreften RSA oder DSA (de Gebrauch vun engem hien huet misse vum oppen an eng begruewe Schlëssel). Doriwwer, Dir kënnt an dëser Situatioun benotzen sougenannte Sëtzung Schlëssel baséiert op Diffie-Hellman Algorithmus, déi de Gebrauch vun engem vun de grousse Dateverschlësselung Wasserstoff handelt, och wann net de Gebrauch vun asymmetric Dateverschlësselung algorithms während Daten Transmissioun an Opnam vun enger anerer Maschinn preclude.

Serveren a Réibau

Op Windows oder Linux SSH-port oppen ass net esou schwéier. Déi eenzeg Fro ass, wat fir Instrumenter fir dësen Zweck benotzt ginn.

An deem Sënn ass et néideg Opmierksamkeet op d'Fro vum Informatiounen Transmissioun an Authentifikatioun ze bezuelen. Éischtens, ass de Protokoll selwer genuch vum sougenannten Soaring geschützt, déi am meeschte üblech "wiretapping" vum Verkéier ass. SSH-1 bewisen Onglécklech zu Attacke ginn. Amëschen an de Prozess vun Daten an der Form vun engem Schema vun "Mann an der Mëtt" Uruff hat seng Resultater. Informatiounen hätt einfach offänken a zerwéiert relativ Elementar-. Mä déi zweet Versioun (SSH-2) huet zu dëser Zort vun Interventioun immun goufen, als Séance piratéiert bekannt, merci fir wat déi meescht populär ass.

Verbuet Sécherheet

Wéi fir d'Sécherheet am Respekt vun der iwwerdroen an dobäi Daten, d'Organisatioun vun Verbindunge mat der Notzung vun sou Technologie etabléiert erlaabt den folgenden Problemer verhënneren:

• Identifikatioun Schlëssel de Provider an der Transmissioun Schrëtt, wann e "Bléck» Fangerofdrock;
• Ënnerstëtzung fir Windows an UNIX--wëll Systemer;
• Wiessel vun IP a DNS Adressen (spoofing);
• intercepting oppen Passwuert mat physeschen Accès zu den Date Kanal.

Eigentlech, ass déi ganz Organisatioun vun esou engem System op de Prinzip vun "Client-Server" gebaut, dat ass, éischt vun all de Computer de Benotzer duerch e spezielle Programm oder Foto-an rifft op de Server, déi eng entspriechend WEIDERLEEDE produzéiert.

tunneling

Et geet ouni gesot, datt d'Ëmsetzung vun der Verbindung vun dëser Zort an engem speziellen Chauffeur muss op de System installéiert ginn.

Generell, an Windows-baséiert Systemer ass nees Programm Réibau Chauffer Microsoft Teredo, gebaut déi eng Zort virtuelle Emulatioun heescht vun IPv6 an Netzwierker ass nëmmen IPv4 ënnerstëtzen. Tunnel Default Comment ass aktiv. Am Fall vun Pann mat et assoziéiert, kanns du just e System Reouverture maachen oder e onfräiwëlleger Leeschtunge an Reouverture commandéiert aus dem Kommando erweidert. Fir opginn sou Linnen benotzt ginn:

• netsh;
• Interface teredo Formatioun Staat behënnert;
• Interface isatap Formatioun Staat behënnert.

Nom Kommando Begoe soll Reouverture. Fir nei-aktivéiert der Graphikadapter a kontrolléieren de Status vun behënnerte amplaz vun der aktivéiert Registere ufroen, no deem, erëm, soll de ganze System Reouverture.

SSH-Server

Schwätze mer elo gesinn, wéi de SSH port als Kär benotzt ginn ass, ugefaange vun de Schema "Client-Server". D'Default ass normalerweis 22. Minutt port applizéiert, mä, wéi uewen ernimmt, benotzt gin kann an der 443rd. Déi eenzeg Fro vun der Astellung vum Server selwer.

De stäerkste gemeinsam SSH-Serveren ass als folgend gin:

• fir Windows: Tectia SSH Server, OpenSSH mat Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd;
• fir FreeBSD: OpenSSH;
• fir Linux: Tectia SSH Server, ssh, openssh-Server, lsh-Server, dropbear.

All vun der Serveren si gratis. Allerdéngs kann, Dir fannt a bezuelte Servicer datt och grouss Niveau vun der Sécherheet déi, déi fir d'Organisatioun vun Reseau Zougang an Informatiounen Sécherheet an Entreprisen essentiel ass. D'Käschte vun esou Servicer ass net diskutéiert. Awer am allgemengen kann mir soen, datt et relativ gënschtegsten ass, souguer am Verglach mat der Installatioun vu spezielle Software oder "Hardware" Firewall.

SSH-Client

Änneren SSH port kann op der Basis vun der Client Programm oder de passenden Astellunge wann port Expeditioun op Är Router gemaach ginn.

Awer, wann Dir de Client Réibau upaken, kënne folgend Software Produite fir verschidde Systemer benotzt ginn:

• Windows - SecureCRT, Mastik \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD etc;..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux an BSD: lsh-Client, kdessh, openssh-Client, VINAGRE, Mastik.

Authentifikatioun ass op de Public Schlëssel baséiert, an den Hafen änneren

Elo e puer Wierder iwwert wéi d'Kontrollen a Kader e Server huet. Am einfach Fall muss Dir eng Configuratiounsdatei (sshd_config) benotzen. Allerdéngs kënnt Dir ouni et do zum Beispill, am Fall vu Programmer wéi Mastik. Änneren SSH port vun der Default Wäert (22) fir all aner ass komplett Elementar-.

Den Haapt Saach - e port Zuel opzemaachen heescht däerfte net de Wäert vun 65535 (héich Häfen einfach nët an Natur existéieren). Zousätzlech, soll Opmierksamkeet fir e puer oppen Häfen vun Default bezuelen, déi vun Clienten wéi MySQL oder FTPD Datenbanken benotzt ginn. Wann Dir hinnen fir SSH Configuratioun uginn, natierlech, just si schaffen ophalen.

Et ass derwäert opgeschriwwen, datt déi selwecht Jabber Client muss an der selwechter Ëmwelt mat SSH-Server ginn Lafen, zum Beispill, op enger virtueller Maschinn. An déi meescht Server localhost wäert brauchen e Wäert fir 4430 ze uginn (amplaz vun 443, den uewen ernimmten). Dëst Configuratioun kann benotzt ginn wann Zougang zu den Haapt jabber.example.com Fichier vun der Firewall blockéiert.

Wollt den Trainer awer, kann um Transfermaart Häfen op der Router ginn d'Configuratioun vu sengem Interface mat der Kreatioun vun Ausnamen an de Regelen benotzt. Am meeschte Modeller Input duerch Input Adressen Ufank mat 192,168 ergänzt mat 0,1 oder 1,1, mä routers Kënnen ADSL-modems wëll Mikrotik, Enn Adress d 'Benotzung vun 88,1 kombinéiert.

An dësem Fall, eng nei Regel schafen, setzen dann déi néideg Parameteren, zum Beispill, der externen Verbindung ze installéieren Méi-NAT, wéi och manuell matzebréngen Häfen sinn net ënner dem Generol Astellungen an der Rubrik vun suahelesch Virléiften (Action). Näischt ze hei komplizéiert. Den Haapt Saach - zu uginn déi néideg Wäerter vun Astellungen an déi richteg port Formatioun. Par défaut, kënnt Dir port 22, benotzen mee wann de Client eng speziell (e puer vun den uewe fir verschidde Systemer) benotzt, kann de Wäert arbiträr geännert ginn, mä just sou datt dës Parameter däerfte net de deklaréiert Wäert, virun deem Hafen Zuelen sinn einfach net sinn.

Wann Dir Verbindungen ageriicht soll och opmierksam op d'Parameteren vum Client Programm bezuelen. Et ka gutt sinn, datt an hir Astellunge de Minimum Längt vun de Schlëssel uginn hunn (512), obwuel den Default normalerweis 768. Formatioun ass et och wënschenswäert den neien Ulaf ze Formatioun un den Niveau vun 600 Sekonnen ze aloggen op an d'Erfindungen Zougang Erlaabnis mat root Rechter. No dësen Astellunge Kandidatur, musst Dir och de Gebrauch vun all Authentifikatioun Rechter ufroen, aner wéi déi op der benotzen .rhost baséiert (mee et ass néideg nëmmen zu System Administrateuren).

Ënner anerem, wann de Benotzer Numm am System ugemellt, net déi selwecht wéi bei de Moment agefouert, muss et explizit de Benotzer ssh Meeschtesch Kommando mat der Aféierung vun zousätzleche Parameteren uginn ginn benotzt (fir déi, déi verstoen wat um Spill ass).

Team ~ / .ssh / id_dsa kann fir Transformatioun vun de Schlëssel an der Dateverschlësselung Method (oder rsa) benotzt ginn. enger öffentlecher Schlëssel vun der Konversioun benotzt der Linn ~ / .ssh / identity.pub (awer net onbedéngt) benotzt ze schafen. Mä, wéi Praxis weist, op d'einfachsten commandéiert wëll ssh-keygen benotzen. Hei d'Essenz vum Problem ass reduzéiert nëmmen un der Tatsaach, de Schlëssel fir d'sinn Authentifikatioun Handwierksgeschir ze Foto (~ / .ssh / authorized_keys).

Mä mir hunn ze wäit fort. Wann dir zeréck op den Hafen Astellunge SSH Thema goen, wéi ass kloer änneren SSH port net esou schwéier. Allerdéngs, an e puer Situatiounen, si soen, gëtt zu Schweessen hunn, well déi mussen all Wäerter vun Schlëssel Parameteren Rechnung ze huelen. De Rescht vun der Configuratioun Thema boils un der Entrée vun all Server oder Client Programm verwandelt (wann et am Ufank gëtt ass), oder op der Router port Expeditioun ze benotzen. Mä och am Fall vun Verännerung vun der port 22, d'Default, fir déi selwecht 443rd, soll kloer versteet, datt en esou Schema net ëmmer schaffen, mä nëmmen am Fall vun der selwechter Foto-an installéiert Jabber (aner analogs aktivéieren kënnen an hir jeeweileg Häfen, et Ënnerscheed aus der Norm). Zousätzlech, soll speziell Opmierksamkeet Parameter Kader SSH-Client ginn entscheet, déi mat der SSH-Server direkt zesummekomm gëtt, wann et wierklech déi aktuell Verbindung ze benotzen supposéiert ass.

Wéi fir de Rescht, ass wann den Hafen Expeditioun Ufank net gëtt (obwuel et wënschenswäert ass esou Aktiounen ze Leeschtunge), Astellungen an Optioune fir Zougang via SSH, kanns du net änneren. Do keng Problemer, wann e Verbindung ze schafen, an seng weider benotzen, am Allgemengen, erwaart ass net (ausser, natierlech, net benotzt ginn manuell der Configuratioun Server-baséiert a Client Konfiguratioun). De stäerkste gemeinsam Ausnahmen zu der Schafung vu Regelen iwwert den Router erlaabt Dir keng Problemer fir richteg oder hinnen verhënneren.