Comu pi cunfigurari, è aduprà u portu SSH? Passu da guida passu

Uttèniri Shell, o abbreviated cum'è SSH, ci hè unu di i più avanzata di ticnoluggìa dâ prutezzioni dati in i trasmissioni. L'usu di un tali dittatura nant'à u listessu Router permette micca solu u autori di infurmazioni trasmessi, ma dinù à accurtà cusì i scambii di packets. Però, ùn ognunu sapi luntanu comu a apre u portu SSH, è perchè tuttu issu hè nicissariu. In issu casu, hè necessariu à dà una spiegazione constructive.

Port SSH: ciò chì hè, è per quessa chì avemu bisognu?

Dapoi stamu parrannu di sicurezza, in stu casu, sottu à u portu di SSH à esse capitu canali didicata a la forma di un periudu, chì dà bez dati.

U modu di più quellu primitivu di stu periudu è chì un SSH-portu aperta hè usatu da automaticamente à encrypt dati à a surgente, è cumpagni nant'à u pircursu. Stu pò esse spiegata a siguenti: s'ellu ti piace lu, o micca, ci anu luci, comu lu IPSec, encrypted sottu compulsion è i tirminali pruduzzioni di i riti, è u cantu Avvisu di l 'entrata. À decrypt l 'infurmazione trasmessi nant'à stu canali, la tirminali Avvisu adopra una chjave spiciali. In autri paroli, à intervene in u trasferimentu, o ôn cumprumissu la sincerità di i dati trasmessi à u mumentu, unu pò micca senza una chjave.

Just apertura SSH-portu nantu ogni Router, o aduprendu u bastimentu degne di rivinuti cliente chièi direttamente cù u SSH-servore, permette à voi aduprà a tinuti tuttu l 'funziunalità di moderna sistema di sicurità reta. Simu quì in u quantu à utilizà un portu chì hè cunsideratu da caliper difettu o di misura. Sti parametri à l 'applicazzioni putìrisi difficiule, ma senza una cunniscenza di l'urganizazione di una tale volta ùn hè micca abbastanza.

u portu SSH Standard

Sì, veru, basatu nant'à la paràmetri di ogni di i Router deve prima definisce u scopu, u significatu di prugrammu sarà usatu pi circate puru sta lea. In fatti, u portu di SSH difettu pò hannu caliper differente. Tuttu dipende ciò chì lu mètudu veni usatu a lu mumentu (cunnissioni direttu à u servore, per installà spedizione portu cliente applicàrisi and so on. D.).

Per esempiu, s'ellu u cliente usatu just, per viaghji currettu, bez, è u portu trasferimentu dati 443m hè a ièssiri usatu, puru siddu l 'embodiment hè stabilitu in u portu di standardi 22.

À sviutata u Router à i Natural per un particulare prugrammu o manighjà i cundizioni nicissariu hannu à fà u portu spedizione SSH. Cosa hè? Hè u scopu di un particulare un accessu à una sola prugrammu chì adopra una cunnessione Internet, a priscinniri di cui curcari hè oghji u scambiu prutucolu dati (IPv4 o IPv6).

justificazzioni tecnicu

u portu SSH Standard 22 Ùn hè sempre usatu comu era digià chjaru. Parò, quì, hè necessaria a ch'iddu distribbuisci certi di i caratteri è caliper usate durante installazione.

Perchè encrypted prutucolu dati autori implica l 'usu di SSH comu na (Guest) u portu me postu foras? , Ma solu perchè tunneling veni appricatu lu pirmetti l 'usu di un cusì-chiamatu attesa luntani (SSH), a farisi un accessu à a gestione di tirminali mezu di cunnizzione luntani (slogin), è dumandà u prucedimentu copia luntani (LX).

In più, SSH-portu pò esse attivatu à u casu induve l 'me ci vole à pruvà script luntani X Windows, chì in lu casu di più sèmplice hè un trasferimentu di infurmazioni da unu di machine à un altru, cum'è hè statu dettu, cù una bez dati furzatu. In tali situazzioni, li cchiù nicissariu vi usu basatu supra l 'algutitimu Eram. Quissa hè una algutitimu bez symétrique, chì fù scritta in disposti in tecnulugia SSH. È aduprà micca solu pussibuli, ma bisogna.

Storia di a realisazione

A tecnulugia hà affaccatu per un bellu pezzu. Lassamu a latu la quistioni di pasta fatta in u portu ghjacciu SSH, è ritruvà u cumu si tutti i travagghi.

Di solitu si vene davanti à, à utilizà un casu à a basa di Gara o aduprà tunneling VPN. In casu di qualchì dumanda prugrammu pò travaglià cun VPN, megliu à sceglie sta funziunalità. U fattu chì utilizà qualunque prugramu quasi tuttu cunnisciutu oghje u trafficu Internet, u VPN pò u travagliu, ma a cunfigurazione facili Upravni ùn hè micca. Stu, cum'è in lu casu di u servore, stu casu, ci permetti di lascià u indirizzu esterni di u tirminali unni lu s'arricorda pruduttu in a reta pruduzzioni, unrecognized,. Chì hè u casu, cù l 'indirizzu casu hè sempre cambiendu, è versione VPN ferma canciari cu lu Fixation di na certa riggiuni, altru chè quellu induve ci hè una B nantu à un accessu.

U listessu tecnulugia chì prupone u portu SSH, fù sviluppatu in 1995, in l 'Università di Luanda in Finland (SSH-1). In u 1996, megliurenze sò statu aghjuntu in u furmulariu di SSH-2 auditu, chì era quasi tutta in u spaziu post-Suviètica, macari siddu per sta, oltri à qualchi paesi europea uccidintali, ùn hè qualchì volta vole à avè lu pirmissu di usari stu periudu, è da a agenze di guvernu.

U benefiziu maiò di apertura SSH-port, uppusizzioni a Telex o rlogin, hè l 'usu of signatures digitale RSA, o DSA (l' usu di un paru di aperta è una chjave intarratu). Esiste, in sta situazione, pudete aduprà cusì-chiamatu chiavi sessione basatu nantu Diffie-Cascina algutitimu, chì implica l 'usu di na pruduzzioni bez symétrique, ancu s'è ùn preclude l' usu di alguritmi bez asimmètrica durante storii è t'ani da un altru di machine.

Servori e attesa

On Windows o Linux SSH-portu aria ùn hè tantu difficiule. U solu quistione hè, chi tipu di i mezi di stu prugettu hà da esse usatu.

In issu sensu hè necessaria à pagà attente à i pèrdita di trasmissioni infurmazioni è prucedimentu. Didàttica, u prutucolu stessa hè abbastanza prutetti da u cusì-chiamatu Sciaurannu, chì hè a più un cinquinu "wiretapping" di trafficu. SSH-1 schiarisci a esse facili a attacchi. Vinniri in u prucessu di trasferimentu dati in forma di un modu di "omu in lu medio" avianu u so risultatu. Information pussutu simpricimenti intercept è truvà arquantu elementari. Ma la seconda versione (SSH-2) hè stata immune francese a stu tipu di interventu, canusciutu comu a sessione hijacking, grazi à ciò chì hè più pupulari.

parigi sicurizza

Cum'è per a sicurezza in u rispettu di i dati trasmessi è ricevutu, l 'urganizzazzioni di viaghji stabiliu cun l' usu di tali tecnulugia permette di schisà i seguenti prublemi:

• chiavi identificazione à l 'armata à u passu di trasmissioni, quandu un «fotò» Agriculture;
• Support di Windows è sistema upirativu Unix-like;
• sustituzzioni di IP è indirizzi DNS (Paket);
• intercepting codice aperta cù un accessu fisicu à i canali dati.

Primurosu, u tuttu hè strutturatu di un tali sistema hè custruitu nant'à u principiu di "cliente-servore", chi hè, primu di tuttu urdinatore l'utilizatori à traversu un prugramma particulare, o chiama aghjunghje-a a l 'servore, chì pruduce una currispunnunu rinviu.

tunneling

Si và senza dicendu chì u baddu di l 'acqua di stu tipu in un cunduttore spiciali deve esse stallati nant'à u sistemu.

Cerchi, a sistemi-basatu Windows hè custruitu in u cunduttore attesa prugramma Microsoft Teredo, chì hè un tipu di menzi emulation virtuale di IPv6 in rete favurendu solu IPv4. adapter Tunnel difettu hè attivu. In u casu di fallimentu assuciata incù ella, vi ponu sulu fari un ripigliate sistemu, o di fà un bracciale è ripigliate ordini da l 'stimulus cummandu. À disattivà tali linii sò usati:

• netsh;
• interfaccia statu sottumessu teredo disattivati;
• interfaccia isatap crià statu cacciati.

Dopu à u custatu u cummandu ùn ripigliate. A sunari-attivati i adapter e cuntrolla lu statutu di cacciatu invece di u registers ban attivatu, doppu chi, di novu, ci ripigliate u web sistemu.

SSH-servore

Ch'e di vede cumu u portu SSH hè usatu comu lu core, principianu da u schema "cliente-servore." U difettu veni di sòlitu si rifiriscinu 22 u portu di minuti, ma, comu dissimu prima, pò ièssiri usatu è lu 443rd. U solu quistione in u rinumata di u servore stessa.

U SSH-servori più cumuna hè cunsideratu à esse i seguenti:

• di Windows: Tectia SSH Server, OpenSSH cun Cygwin, MobaSSH, KpyM Telex / SSH Server, WinSSHD, copssh, freeSSHd;
• di FreeBSD: OpenSSH;
• di Linux: Tectia SSH Server, ssh, openssh-servore, lsh-servore, dropbear.

Tutti di u servore, sò senza. Tuttavia, vi ponu truvà è pagatu servizii chì derà ancu più grande livelli di sicurità, chì hè impurtantissimu per u mutore di accessu à a reta è sicurità infurmazione in mprisi. U costu di tali servizii ùn hè trattatu. Ma in generale putemu diri ca si tratta rilativamenti inexpensive Francesco, ancu à paragunà cù a stallazione di prugrammi spiciali o firewall "vulcanizing".

SSH-cliente FTP

portu di cambià SSH ponu esse fatti nantu à a basa di u prugrammu FTP, o lu bastimentu degne quandu spedizione portu di u vostru Router.

Perciò, se vo tuccari la conchiglia cliente, i seguenti prudutti prugrammu pò ièssiri usatu di vari sistemi:

• Windows - SecureCRT, Surfacer \ Kitty, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD eccetra;..
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux è BSD: lsh-cliente FTP, kdessh, openssh-cliente FTP, Vinagre, putty.

Autentificazione hè basatu nantu à i chiavi publica, è cambia di u portu

Avà una pochi di parolle circa cumu u verification è fàrini un servore. In u casu di sèmplice, vi tocca à aduprà un schedariu di cunfigurazione (sshd_config). Però, tu po 'fari senza quessa, per esempiu, in u casu di programmi, comu Surfacer. portu di cambià SSH da u valore genericu (22) à ogni altra hè cumplitamenti elementari.

A cosa principali - à apre un numeru u portu ùn trapassa i valori di 65535 (porti sempri solu ùn esisti micca in a natura). In più, deve pagà attente à qualchi porti aperta da predefinitu, chì pò esse adupratu da i clienti cum'è e base di dati, o FTPD. Sè li voi specificà di cunfigurazione SSH, di sicuru, si appena firmavanu travagliu.

Hè da nutà chì u listessu cliente just vole esse corsa in u listessu ambiente cù SSH-servore, per esempiu, in un virtual. E localhost più servore vi tuccherà à stabilisce un raportu à 4430 ( 'nveci di 443m, comu dissimu prima). Stu cunfigurazione pò ièssiri usatu quandu un accessu à i jabber.example.com cartulare principale hà urighjina da lu firewall.

U altra banda, i porti di trasferimentu pò esse u Router cù i paràmetri di u so interfaccia cù la criazioni di eccezzioni a li reguli. In più mudelli entrée à indirizzi entrée principiu incù 192,168 rinfurzata cù 0,1 o 1.1, ma routers cumminari sviluppu ADSL-modems cum'è Mikrotik, indirizzu fine implica l 'usu di 88.1.

In stu casu, à creà un novu duminiu, puis crià i paràmetri di vole, per esempiu, à stallà la cunnissioni esterni DST-natu, oltri i porti adopri manually ùn sò sottu à u bastimentu generali è in a sizzioni di preferenze activism (Action). Nunda di troppu cumplessu quì. A cosa principali - à specificà u valori nicissarii di iventi è pona lu portu aggalabbata. By difettu, pudete puru aduprà u portu 22, ma s'ellu u clienti adopra una spiciali (certi di u sopra, di sistemi diversi), u valore pò esse cambiatu arbitraria, ma solu cusì chì stu paràmetru ùn trapassa i valori dichjarata, sopratuttu chi numari u portu ùn sò solu disponibile.

Quandu vi stallatu viaghji deve dinù pagà attente à i paràmetri di u prugrammu FTP. Si pò ancu esse chì in u so bastimentu hannu a specificà a lunghezza u minimu di i chiavi (512), puru siddu lu difettu veni di sòlitu crià 768. Hè dinù preziosi à crià u servore à Scie à nantu à u livellu di 600 seconde è lu pirmissu accessu luntani cun dirittu a ràdica. Dopu à entrata sti iventi, vi tuccherà à permette dinù l 'usu di tutti i diritti prucedimentu, tranni chiddi basatu supra l' .rhost usu (ma ùn hè necessaria chè à l 'amministratori sistemu).

Tra l 'àutri cosi, si lu nomu me arregistrati in u sistema, micca u listessu cum'è iniziatu à u mumentu, ùn deve esse renseigné altrimente cù u cummandu signore me ssh cù i testi di paràmetri di novu (per quelli chì capisce ciò chì hè in senu).

Team ~ / .ssh / id_dsa pò esse à prò di a trasfurmazioni di u chiavi e lu mètudu bez (o rsa). À creà una chjave publicu usatu da i cunversione cù i ligna ~ / .ssh / identity.pub (ma nun godi). Ma, cum'è, mostra e pratiche, u modu più faciule à aduprà cumandamenti, comu ssh-Ultra. Quì u criticu di a questione hè ridutta solu à i fatti, a 'aghjunghje a chjave di l' attrezzi autentificazione disponibile (~ / .ssh / authorized_keys).

Ma avemu andatu troppu luntanu. Sè tu vai daretu à l 'pèrdita caliper portu SSH, comu ha fattu u portu cambià SSH chjaru ùn hè tantu difficiule. Tuttavia, in qualchi situazzioni, si pò dì, ci hannu a suduri, perchè u bisognu di piglià in contu tutti i valori di paràmetri di chjave. U restu di u scopu cunfigurazione boils davanti à l 'entrata di un programma servore, o cliente FTP (s'ella hè furnì u principiu), o à aduprà spedizione portu u Router. Ma ancu in casu di scambiu di u portu di 22, u difettu, à u listessu 443rd, deve esse chjaramente capitu chì un tali modu ùn travaglià sempre, ma solu in lu casu di stallà u listessu aghjuntu-in just (altre analogs pò attivà e lu rispittivu porti, It diffirisci di u mudellu). In più, spiciali attinzioni deve esse datu scinni SSH-cliente FTP, chi vi intiraggieunu direttamente cù u SSH-servore, s'ella hè veramenti pensa à aduprà a cunnessione realità paràmetru.

Cum'è per u restu, se l 'spedizione u portu ùn hè furnì cumenciu (puru siddu si tratta preziosi à fà com'è azzione), bastimentu è ozzione per un accessu Via SSH, vi pò micca cambià. Ci ogni prublemi quandu criannu una volta, è u so più usu, in generale, ùn si spetta (nun veni, di sicuru, ùn esse usatu manually cunfigurari u servore-basatu cunfigurazione è cliente). U eccezzioni più cumuna à a creazione di e règule à u Router permette à voi à mette ogni prublemi o di evitari li.