Како подесити и користити ССХ порт? Корак по корак водич

Сецуре Схелл, или скраћено као ССХ, то је један од најнапреднијих технологија за заштиту података у преносу. Употреба таквог режима на истом рутеру омогућава не само поверљивост података који се преносе, али и да се убрза размену пакета. Међутим, нису сви знају колико да отворите ССХ порт, и зашто све ово је потребно. У том случају потребно је дати конструктивну објашњење.

Порт ссх: шта је то и зашто нам је потребна?

Пошто говоримо о безбедности, у овом случају, под ССХ порт треба схватити наменски канал у облику тунела, који обезбеђује шифровање података.

Најпримитивнији шема овог тунела је да отворено ССХ Порт се користи подразумевано за шифровање података на извору и дешифровање на крајњу тачку. Ово се може објаснити на следећи начин: да ли се то теби или не, преноси саобраћај, за разлику од ИПСец, кодиран под принудом и излазни терминал мреже, а на пријемном страни од улаза. Да дешифрује информације које се преносе на овом каналу, која прима терминала користи посебан кључ. Другим речима, да интервенише у преносу или угрози интегритет пренетих података у овом тренутку не може се без кључа.

Само отварање ССХ-порт на било ком рутеру или помоћу одговарајуће поставке додатног клијента интеракцију директно са ССХ-сервера, вам омогућава да у потпуности користе све функције модерних мрежа безбедносних система. Ми смо овде како да користи порт који је додељен по стандардном или прилагођене поставке. Ови параметри у апликацији може да изгледа тешко, али без разумевања за организацију такву везу није довољно.

Стандард ССХ Порт

Ако, заиста, на основу параметара неки од рутера треба прво утврдити редослед, каква програма ће се користити за активирање на овај линк. У ствари, подразумевани ССХ порта може имати различите поставке. Све зависи од тога шта се метода користи у овом тренутку (директну везу са сервером, инсталирање додатних клијент порт прослеђивање и тако даље. Д.).

На пример, уколико клијент се користи Јаббер, исправне везе, енкрипцију, и пренос података порта 443 треба да се користе, иако оличење је подешен у стандардном порту 22.

За ресетовање рутера на додјелу за одређену програм или процес неопходни услови да се изврши порт за прослеђивање ССХ. Шта је то? То је сврха одређеног приступа једном програму који користи Интернет везу, без обзира на то што поставка је садашњи листа протокол података (ИПв4 или ИПв6).

техничко оправдање

Стандард ССХ Порт 22 се није увек користи као већ је било јасно. Међутим, овде је потребно издвојити неке од карактеристика и подешавања користе током инсталације.

Зашто кодиран података протокола поверљивост укључује коришћење ССХ као чисто спољашњег (гост) корисника порт? Али само зато што тунел се примењује дозвољава употреба тзв даљинског схелл (ССХ), за приступ терминала управљање путем даљинског пријављивања (слогин), и применити поступак даљински копирање (СЦП).

Поред тога, ССХ порт се може активирати у случају када је потребно да корисник изврши удаљене скрипте Кс Виндовс, која у најједноставнијем случају је пренос података са једне машине на другу, као што је речено, са принудног енкрипцију података. У таквим ситуацијама, најпотребније ће користити на основу АЕС алгоритам. Ово је алгоритам симетрични енкрипцију, која је првобитно предвиђено ССХ технологији. И користити то не само могуће, али је неопходно.

Историја реализације

Технологија се појавио дуго времена. Оставимо по страни питање како да залеђивања ССХ порт, и фокусирати се на како се све.

Обично се своди на, да користе проки на основу Соцкс или користите ВПН тунела. У случају да нека апликација софтвер може радити са ВПН, боље изабрати ову опцију. Чињеница да су готово све познате програме данас користе интернет саобраћај, ВПН може радити, али лако рутирање конфигурација није. Ово, као у случају проки сервера, омогућава да напусти спољашњи адресу терминала од којих је тренутно производи у излазном мрежи, непризнат. То је случај са проки адреса стално мења, и ВПН верзија остаје непромењена са фиксирање одређеног региона, осим оне где постоји забрана приступа.

Сама иста технологија која нуди ССХ порт, развијен је у 1995. на Универзитету за технологију у Финској (ССХ-1). Године 1996., побољшања су додати у облику ССХ 2 протоколу, који је био веома распрострањен у пост-совјетском простору, иако је за то, као иу неким земљама западне Европе, понекад је потребно прибавити дозволу да користе овај тунел, а од државних органа.

Основна предност отварања ССХ-порт, за разлику од телнет или рлогин, је употреба дигиталног потписа РСА или ДСА (коришћењу пар отворен и сахрањен кључа). Осим тога, у овој ситуацији можете користити такозвано сессион кључ на основу Диффие-Хеллман алгоритма, који подразумева коришћење симетричне излаз за шифровање, али не искључује употребу асиметричних алгоритама за шифровање током преноса података и пријем од стране другог уређаја.

Сервери и шкољка

На Виндовс или Линук ССХ Порт Опен није тако тешко. Једино питање је, каква алата за ту сврху ће се користити.

У том смислу, потребно је обратити пажњу на питање преноса информација и проверу идентитета. Прво, сама протокол је довољно заштићен тзв снифовања, која је најчешћи "прислушкивање" саобраћаја. ССХ 1 показале су се подложни нападима. Сметње у процесу преноса података у облику шеме "Ман ин тхе Миддле" имао своје резултате. Информације могу једноставно пресретне и дешифрује прилично елементарно. Али, друга верзија (ССХ 2) је био имун на ову врсту интервенције, познат као сесије отмице, захваљујући ономе што је најпопуларнији.

забрањује сигурност

Што се тиче сигурности у односу на преносе и добијених података, организација интересно повезивање са коришћењем такве технологије омогућава избегну следеће проблеме:

• идентификација кључ за домаћина на корак преноса, када је "снапсхот» прста;
• Подршка за Виндовс и УНИКС-лике систем;
• супституција ИП и ДНС адреса (споофинг);
• пресретање отворен шифру са физичког приступа каналу података.

Заправо, цела организација таквог система је изграђена на принципу "клијент-сервер", који је, пре свега рачунару корисника кроз посебан програм или додати-у позива на серверу, која производи одговарајући преусмеравање.

тунел

Подразумева се да је примјена повезаности ове врсте у посебном возач мора бити инсталиран на систему.

Типично, у системима Виндовс базиране је уграђен у управљачком програму љуске Мицрософт Тередо, што је нека врста виртуелне емулације средстава ИПв6 у мрежама које подржавају само ИПв4. Тунел подразумевани адаптер је активан. У случају неуспеха у вези са тим, само могу да рестартовање система или извршите гашење и поново команде из командне конзоле. Да бисте деактивирали такве линије се користе:

• нетсх;
• интерфејс Тередо скуп држава искључена;
• интерфејс ИСАТАП сет држава искључена.

Након уласка у команду треба да поново покренете. Да бисте поново омогућили адаптер и проверите стање инвалидитетом уместо омогућен регистара дозволе, након чега, опет, требало би да поново цео систем.

ССХ сервера

Сада да видимо како се ССХ порт који се користи као језгро, почев од шеме "клијент-сервер". Подразумевани се обично примењује 22 минута луку, али, као што је већ поменуто, могу се користити и 443.. Једино питање у предност од самог сервера.

Најчешћи ССХ-сервери сматра се следеће:

• за Виндовс: Тецтиа ССХ сервер, ОпенССХ са Цигвин, МобаССХ, КПИМ Телнет / ССХ Сервер, ВинССХД, цопссх, фрееССХд;
• фор ФрееБСД: ОпенССХ;
• за Линук: Тецтиа ССХ Сервер, ССХ, опенссх-сервер, ЛСХ-сервер, дропбеар.

Све сервера су бесплатне. Међутим, можете наћи и плаћа услуге које пружају још већи ниво безбедности, што је од суштинског значаја за организацију приступа мрежи и безбедности информација у предузећима. Трошкови таквих услуга се не расправља. Али генерално можемо рећи да је релативно јефтин, чак иу поређењу са инсталацијом специјалног софтвера или хардвера "" фиревалл.

ССХ клијент

Промена ССХ порт се може се на основу програма клијента или одговарајућа подешавања када порт форвардинг на рутеру.

Међутим, ако додирнете клијента шкољку, следећи софтверски производи могу се користити за различите системе:

• Виндовс - СецуреЦРТ, ПуТТИ \ Китти, Акессх, СхеллГуард, ССХВиндовс, ЗОЦ, Кссхелл, ПроССХД итд;..
• МАЦ ОС Кс: иТерм2, вССХ, НифтиТелнет ССХ;
• Линук и БСД: ЛСХ-клијент, кдессх, ОпенССХ клијент, Винагре, кит.

Аутентификација се базира на јавним кључем, и промените порт

Сада неколико речи о томе како се верификација и подесити сервер. У најједноставнијем случају, морате да користите конфигурациони фајл (ссхд_цонфиг). Међутим, можете без ње, на пример, у случају програма као што ПуТТИ. Промена ССХ Порт од задатог вредности (22) у било ком другом је потпуно основно.

Главна ствар - да отвори број порта не прелази вредност од 65535 (више портова једноставно не постоје у природи). Поред тога, треба обратити пажњу на неке отворене портове по дефаулту, који се могу користити од стране клијената, као што су МиСКЛ или фтпд базама података. Ако их наведете за ССХ конфигурацију, наравно, они само престати са радом.

Вреди напоменути да је исти и презиме клијент мора да ради у истом окружењу користећи ССХ-сервер, на пример, на виртуелној машини. И већина сервера на лоцалхост ће морати да се доделити вредност 4430 (уместо 443, као што је већ поменуто). Ова конфигурација се може користити када приступ главном датотеке јаббер.екампле.цом блокиран од стране заштитног зида.

С друге стране, луке трансфер може бити на рутеру користећи конфигурацију своје интерфејс са стварањем изузетака од правила. У већини модела улаз кроз улазне адресе почињу са 192.168 допуњен са 0.1 или 1.1, али рутери са комбинованим могућностима АДСЛ-модема као Микротик, крај адреса подразумева употребу 88,1.

У том случају, направите ново правило, а затим поставите неопходне параметре, на пример, да инсталирате спољну везу ДСТ-нат, као и ручно прописане портови нису под општим поставкама и у дијелу активизма преференција (акција). Ништа превише компликовано овде. Главна ствар - да одредите потребне вредности подешавања и подесили порт. По дефаулту, можете користити порт 22, али ако је клијент користи посебан (неки од наведених за различите системе), вредност се може произвољно мењати, али само тако да овај параметар не прелази декларисане вредности, изнад које бројеве портова су једноставно нису доступни.

Када подесите везе такође треба обратити пажњу на параметрима програма клијента. Може бити да у својим поставкама треба да одреди минималну дужину кључа (512), иако је подразумевани се обично налази 768. Такође је пожељно да подесите временски период да се пријаве на нивоу од 600 секунди и дозволе даљински приступ са роот права. Након наношења ове поставке, потребно је да се дозволи коришћење свих права провере идентитета, осим оних које су засноване на коришћењу .рхост (али је потребно само да се систем администраторима).

Између осталог, ако је корисничко име уписано у систему, није исто као уведен у овом тренутку, он мора бити изричито помоћу корисничког ссх мастер команду са увођењем додатних параметара (за оне који разумеју шта је у питању).

Теам ~ / .ссх / ид_дса може да се користи за трансформацију кључа и метод шифровања (или РСА). Да бисте направили јавни кључ користи конверзије користећи линије ~ / .ссх / идентити.пуб (али не обавезно). Али, као што је пракса показује, најлакши начин да користите команде као ссх-кеиген. Овде је суштина питања је сведен само на ствари, да додате кључ расположивим аутентификације алата (~ / .ссх / аутхоризед_кеис).

Али, ми смо отишли предалеко. Ако се вратимо на питање подешавања порт ССХ, као што је био јасан промене ССХ порт није тако тешко. Међутим, у неким ситуацијама, кажу, мораће да се знојим, јер је потреба да се узму у обзир све вредности кључних параметара. Остатак питања конфигурацијом своди на улазу сваког сервера или клијента програма (ако је то предвиђено у почетку), или да користи порт прослеђивање на рутеру. Али, чак иу случају промене луке 22, подразумевани, са истим 443., треба јасно да такав предлог не ради увек, али само у случају уградње исте Адд-Ин Јаббер (други аналози могу да активирају и њихове луке, ona се разликује од стандарда). Поред тога, посебну пажњу треба дати параметар постављање ССХ-клијента, који ће директно комуницирати са ССХ-сервера, ако је заиста требало да користи тренутну везу.

Што се тиче осталих, ако је преусмеравање порт није обезбеђен на почетку (мада је пожељно да врши такве радње), подешавања и опције за приступ преко ССХ, не можете променити. Постоје неки проблеми при креирању везу, и његово даље коришћење, у принципу, не очекује (осим, наравно, неће бити ручно користити конфигурисање конфигурацији сервер заснован и клијента). Најчешћи изузеци стварању правила на рутер вам да исправи било какве проблеме или избегавају да их.