Nola konfiguratzeko eta SSH ataka erabili? Step gida urrats

Segurua Shell, edo SSH bezala laburtua, aurreratuenak datuak babesteko transmisioan teknologia bat da. erregimen hauen erabilpena the router berean transmititzen informazioaren konfidentzialtasuna ahalbidetzen ez bakarrik, baina baita azkartzeko paketeak trukatzeko. Hala ere, inork ez daki urrun SSH ataka irekitzeko moduan, eta hori guztia zergatik da beharrezkoa. Kasu honetan beharrezkoa da azalpen konstruktiboak emateko.

Port SSH: zer da eta zergatik behar dugu?

segurtasun buruz ari gara, kasu honetan, geroztik, SSH ataka azpian ulertu behar dedikatu kanalean tunel baten forma, zein datu-enkriptatzea eskaintzen.

tunel honen eskema primitiboa da irekita SSH-ataka iturri eta amaiera on deszifratzeko datuak enkriptatzeko lehenetsita erabiltzen da. Hau azaldu daiteke honela: Gustukoa izatea ala ez, transmititu trafikoa, IPSec bezala, bortxa eta irteera sarea terminal azpian sinatuko, eta jasotzen sarreran aldean. kanal honetan transmititu informazioa desenkriptatzeko, jasotzeko terminal giltza berezi bat erabiltzen du. Bestela esanda, transferentzia parte hartzen edo hondatu transmititzen datuak osotasuna Oraingoz ezin inork ez gako bat gabe.

Just SSH-ataka irekiz edozein router edo bezero osagarriak ezarpen egokiak erabiliz elkarreraginean zuzenean SSH zerbitzaria batera, aukera ematen du guztiz erabiltzen duzun sare segurtasun-sistemak modernoaren ezaugarri guztiak. Hemen hori lehenetsia edo pertsonalizatua ezarpenak esleitutako portu bat nola erabili behar den gara. aplikazioan parametro hauek zailak begiratu dezake, baina konexio bat, besteak beste, antolakuntza ulertzeko bat gabe, ez da nahikoa.

Standard SSH ataka

Bada, hain zuzen ere, oinarritutako router edozein parametroak lehen ordena zehaztu behar da, zer nolako software lotura hau aktibatzeko erabiliko da. Izan ere, lehenetsi SSH ataka ezarpen ezberdinak izan ditzake. Dena zer metodoa unean erabiltzen da (zerbitzariari konexio zuzena, osagarriak bezero ataka bideratu eta abar. D. instalatzen) araberakoa da.

Adibidez, bezeroak erabiltzen bada Jabber, konexio zuzena, enkriptazioa eta datu transferentzia ataka 443 baino ez da erabili behar, nahiz eta isla da estandarra 22 ataka ezarri.

esleipena egiteko router berrezartzeko programa jakin baten edo prozesatu beharrezko baldintzak egiteko behar ataka bideratu SSH. Zer da? Internet konexio bat erabiltzen duen programa bakar batean sartzeko jakin baten helburua da, eta hori kontuan hartu gabe ezarpena uneko da protokolo truke datuak (IPv4 edo IPv6).

justifikazio tekniko

Standard SSH ataka 22 ez da beti erabiltzen dagoeneko argi izan zen bezala. Hala ere, hemen beharrezkoa da ezaugarriak eta konfigurazioa zehar erabilitako ezarpenak batzuk esleitu.

Zergatik enkriptatutako datuak konfidentzialtasun protokoloa SSH erabilera kanpoko hutsa (gonbidatua) erabiltzaile portu gisa dakar? Baina tunel aplikatzen da bakarrik delako bat deiturikoak urruneko shell (SSH) erabilera, terminal kudeaketarako sarbidea urruneko saio (bezala saioa hasi) bidez lortu ahal izateko, eta urruneko kopia prozedura (scp) aplikatzeko aukera ematen du.

Gainera, SSH-portu egon kasuan, non erabiltzaileak beharrezkoa da urruneko gidoiak X Windows, eta horrek kasu errazena informazio transferentzia makina batetik bestera da, Esan da, behartutako datuak enkriptatzea batekin exekutatu gaitu daiteke. Egoera horietan, gehien beharrezko AES algoritmoan oinarrituta erabiliko du. Hau simetrikoa enkriptatze algoritmo bat izan zen, jatorriz SSH teknologian emandako da. Eta erabili, ez da posible bakarra, baina beharrezkoa.

gauzatzeko historia

teknologia denbora luzez agertu. Dezagun icing SSH ataka nola egin galderari albo batera utziko digu, eta nola lan guztiak ardatz.

Normalean behera dator da, proxy bat erabili Socks oinarrituta edo VPN tunel erabili. kasuan software-aplikazio batzuk hobeto VPN lan egin ahal, aukera hau aukeratzeko. Izan ere, programak ia guztiak ezagutzen gaur erabiltzen duten Internet trafikoa, VPN du lan daiteke, baina erraz bideratzeko konfigurazio ez dago. Hau, proxy zerbitzari kasuan bezala, aukera ematen du, kanpoko unean bertan irteera hau sarean, ezezaguna ekoiztu terminal-helbidea uzteko. Hau da proxy helbidea kasua beti aldatzen ari da, eta VPN bertsioan eskualde jakin bat finkapena, bat han sarbide debekua da baino beste aldatu.

SSH ataka eskaintzen duen teknologia bera, 1995. urtean garatu zen Teknologia Unibertsitateko Finlandian (SSH-1) eta. 1996an, hobekuntzak egin dira SSH-2 protokoloa, eta hori izan zen nahiko osteko Sobietar espazio hedatuago formularioa gehitu, nahiz eta horretarako, bai eta Mendebaldeko Europako zenbait herrialdetan, batzuetan beharrezkoa da tunel erabiltzeko baimena lortzeko, eta erakunde batetik.

SSH-ataka irekiz, telnet edo rlogin aurrean abantaila nagusia, sinadura digitalak RSA edo DSA (open pare bat eta ehortzi gako bat erabiltzea) erabiltzea da. Gainera, egoera horretan deiturikoak saioan oinarritutako Diffie-Hellman algoritmoa, eta horrek simetrikoa enkriptatze irteera baten erabilera dakar gako erabili ahal izango duzu, baina ez du basatia asimetrikoa enkriptatze algoritmo erabilera datuen transmisioa eta harrera beste makina by zehar.

Zerbitzariak eta oskol

Windows edo On Linux SSH-portu irekia ez da hain zaila. Galdera bakarra da, zer tresna mota horretarako erabiliko da.

Zentzu honetan, beharrezkoa da arreta informazio transmisioa eta autentifikazio alea da. Lehenik eta behin, protokolo bera da nahikoa deiturikoak usaintzen, bertan ohikoena "wiretapping" trafikoaren da babesten. SSH-1 frogatu eraso zaurgarria izan. eskema bat "man erdian" forman datuak transferitzeko prozesuan interferentzia bere emaitzak izan zituen. Informazioa zitekeen besterik atzematen eta argitu nahiko oinarrizko. Baina bigarren bertsioa (SSH-2) ditu esku-mota hau, saioaren hijacking bezala ezagutzen immunologikoa izan da, eskerrik zer da ezagunena.

segurtasun debekatu

transmititzen eta jasotako datuen errespetua segurtasun dagokionez, esaterako, teknologia erabiltzea ezarritako konexioak antolatzeko aukera ematen du, ondorengo arazoak ekiditeko:

• identifikazio-giltza transmisioa pauso batean ostalari, noiz bat "snapshot» hatz marka da;
• Windows eta UNIX-moduko sistema laguntza;
• IP eta DNS helbideak (iruzurren) ordezkatzea;
• datuen kanal sarbide fisikoarekin pasahitza open atzematen.

Egia esan, sistema horren antolakuntza osoari "bezero-zerbitzari" printzipioa gainean eraiki zuten, hau da, erabiltzailearen ordenagailuan guztien lehen programa berezi bat edo gehigarri zerbitzari, zein dagokion berbideratze sortzen diren dei bidez.

tunel

doa mota honetako konexioari gidari berezi batean ezartzeko sistema instalatu behar esaten gabe.

Normalean, Windows-oinarritutako sistemetan dago programa oskol gidari Microsoft Teredo, zein birtual emulazioa IPv6 bidez moduko bat IPv4 euskarri bakarra sareetan da txertatua. adapter Tunela lehenetsia aktibo dago. berarekin lotutako porrota gertatuz gero, ezin besterik egin duzu sistema berrabiarazi edo itzali egin eta komando kontsolan komandoak berrabiarazi. desaktibatzeko lineak esaterako erabiltzen dira:

• netsh;
• interface Teredo multzo egoera desgaitu;
• interface ISATAP ezarri egoera desgaituta.

komandoa berrabiarazi behar sartu ondoren. To berriro gaitu egokitzaile eta ezinduentzako ordez gaituta erregistro baimena egoera ikusteko, eta horren ondoren, berriz ere, sistema osoa berrabiarazi behar du.

SSH zerbitzaria

Orain ikus dezagun nola SSH ataka core gisa erabiltzen da, eskema "bezero-zerbitzari" hasita. lehenetsia normalean aplikatzen da 22 minutu ataka, baina, esan bezala, erabil daiteke eta 443rd du. Galdera bakarra zerbitzari bera lehentasun ere.

ohikoena SSH-zerbitzariak jotzen da honako hau izango da:

• Windows: Tectia SSH zerbitzaria, OpenSSH Cygwin, MobaSSH, KpyM Telnet / SSH zerbitzaria, WinSSHD, copssh, freeSSHd batekin;
• FreeBSD for: OpenSSH;
• Tectia SSH zerbitzaria, ssh, openssh-zerbitzaria, lsh-zerbitzaria, dropbear: Linux da.

zerbitzari guztiak doakoak dira. Hala ere, segurtasun, eta horrek sare sarbidea eta informazioaren segurtasuna enpresetan antolatzeko ezinbestekoa da maila handiagoa ematen duten zerbitzuak aurkitu eta ordaindutako dezakezu. zerbitzu horiek kostua ez da eztabaidatu. Baina, oro har, esan dezakegu nahiko merke dela, nahiz eta software bereziak edo "hardware" firewall instalazioa alderatuz.

SSH bezero

Aldatu SSH ataka bezero programa oinarri edo konfigurazio egokia ataka bideratu denean zure router on egin daiteke.

Hala ere, ukitu bezero Shell bada, honako software produktuak hainbat sistema erabil daiteke:

• Windows - SecureCRT, plastilina \ KiTTY, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD etab.;.
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux eta BSD: lsh-bezeroa, kdessh, openssh-bezeroa, Vinagre, plastilina.

Autentifikazioa gako publikoa oinarritzen da, eta portu aldatu

Orain nola egiaztatzeko eta zerbitzari bat ezartzeko buruz hitz batzuk. kasu errazena, konfigurazio fitxategia (sshd_config) erabili behar duzu. Hala ere, hori gabe egin ahal izango duzu, adibidez, hala nola, plastilina bezala programen kasuan. lehenetsi balioa (22) beste edozein aldaketa SSH ataka erabat oinarrizko da.

Gauza nagusia - ataka zenbaki bat irekitzeko ez du 65535 balioa (goi mailako portuak besterik ez naturan existitzen) gainditu. Horrez gain, arreta behar portuak irekita batzuk lehenetsita, eta horrek MySQL edo ftpd base bezala bezeroek erabili ahal izango da. Horietako zehazten baduzu SSH konfigurazio, jakina, gelditu besterik ez dute lan.

Merezi bera Jabber bezero den ingurune berean exekutatzen beharko SSH zerbitzaria erabiliz, adibidez, makina birtual bat egoten. Eta gehien zerbitzaria localhost balio bat esleitzeko 4430 arte (ordez 443, arestian aipatu bezala) behar dira. Konfigurazio hau erabili ahal izango da, fitxategi jabber.example.com nagusia sarbidea blokeatu suebakia arabera.

Bestalde, transferentzia portu router bere interfaze arauak salbuespenak sortzea konfigurazioa erabiliz izan daiteke. eredu gehienetan sarrerako helbideak bitartez sarrerako 192.168 0,1 edo 1,1 osagarri hasita, baina routers gaitasunak Mikrotik bezalako ADSL-modem konbinatuz, azken helbide 88,1 erabilera dakar.

Kasu honetan, arau berri bat sortzeko, ondoren, beharrezkoa parametroak ezarri, adibidez, kanpoko konexio d-nat instalatzeko, baita eskuz agindutako portuak ez dira ezarpen orokorrak pean eta Aktibismoa lehentasunak atala (Ekintza) ere. Ezer ez da gehiegi hemen zaila. Gauza nagusia - beharrezko ezarpenak balioak zehazteko eta ataka zuzena ezarri. Berez, ataka 22 erabili ahal izango duzu, baina bezeroak berezi bat (sistema desberdinetarako gainetik batzuk) erabiltzen bada, balioa alda daiteke arbitrarioki, baina bakarrik, beraz, parametro horrek ez du deklaratu balioa, eta horrek batez portu zenbakiak dira besterik ez dago gainditu.

Noiz sortu konexioak ezartzeko aukera ere arreta behar bezeroaren programaren parametroak dira. Litekeena da bere ezarpenak hasi duten gutxieneko gakoa (512) luzera zehazteko, nahiz lehenetsia normalean ezartzen da 768. halaber desiragarria denbora-muga ezartzeko saioa 600 segundotan maila eta urruneko sarbidea erro eskubideekin baimena behar da. ezarpen hauek aplikatu ondoren, autentifikazio eskubide guztien erabilera, horiek oinarritutako erabilera .rhost on baino beste ere baimentzen behar duzu (baina beharrezkoa da sistemako administratzaileak soilik).

Besteak beste, erabiltzaile izena sisteman erregistratutako bada, une horretan sartu ez bera bezala, zehaztu behar da esplizituki parametro gehigarriak sarrera (ulertzen duten zer dago jokoan dutenentzat) erabiltzaileari ssh maisua komandoa erabiliz.

Team ~ / .ssh / id_dsa egon gakoa eraldaketa eta enkriptatze metodoa (edo rsa) erabil daiteke. gako publiko bat bihurtzeko the line ~ / .ssh / identity.pub (baina ez nahitaez) erabiliz erabilitako sortzeko. Baina, praktikan ikuskizun gisa, modurik errazena ssh-keygen bezalako komandoak erabiltzeko. Hemen arazoa esentzia Izan ere, soilik murriztu da, gakoa gehitzeko eskuragarri autentifikazio tresnak (~ / .ssh / authorized_keys) dira.

Baina urrunegi joan izan gara. Atzera egin duzun ataka ezarpenak SSH arazoa bada, izan bezain argi aldaketa SSH ataka ez da hain zaila. Hala ere, egoera batzuetan, esaten dute, izerdi delako beharra gakoa parametro balio guztiak kontuan hartu beharko dute. konfigurazio arazo Gainerako irakiten behera edozein zerbitzari edo bezero programa sarreran (it ematen da hasiera batean bada), edo router on ataka bideratu erabiltzeko. Baina, nahiz eta 22 portuaren aldaketaren kasuan, lehenetsia da, 443rd berean, argi eta garbi ulertu behar dela, besteak beste, eskema ez du beti funtzionatzen, baina soilik aldi gehigarri batean Jabber instalatzen kasuan (beste analogs eta dagozkien portuak aktiba dezakezu, ) desberdina estandarra bertatik. Horrez gain, arreta berezia eman behar zaio parametro SSH bezero, zein izango da zuzenean SSH zerbitzaria elkarreragin, benetan da ustezko bada uneko konexioa erabili ezarriz.

Bestalde, bada ataka bideratu ez da ematen, hasieran (desiragarria ekintza horiek burutzeko den arren), ezarpenak eta SSH bidez sartzeko aukera, ezin duzu aldatu. arazorik konexio bat, eta bere erabilera gehiago, oro har sortzeko denean Bertan, ez da espero (ezean, noski, ez dira eskuz erabili konfigurazio zerbitzari oinarritutako eta bezero konfiguratzeko). router buruzko arauak sortzea salbuespenak ohikoena ahalbidetzen arazorik zuzentzeko baduzu edo horiek saihesteko.