Bagaimana cara mengkonfigurasi dan menggunakan port SSH? Instruksi langkah demi langkah

Secure Shell, atau singkatan SSH, adalah salah satu teknologi proteksi data yang paling canggih untuk transmisi. Dengan menggunakan mode ini pada router yang sama, Anda dapat memastikan tidak hanya kerahasiaan informasi yang dikirimkan, namun juga untuk mempercepat pertukaran paket. Benar, tidak semua orang tahu cara membuka port SSH dan mengapa semua ini perlu. Dalam hal ini perlu memberikan penjelasan yang konstruktif.

SSH Port: Apa itu dan mengapa?

Sejauh menyangkut keamanan, dalam hal ini port SSH harus dipahami sebagai saluran komunikasi khusus berupa terowongan yang menyediakan enkripsi data.

Skema terowongan yang paling primitif dari operasi terowongan ini adalah bahwa port SSH yang terbuka digunakan secara default untuk mengenkripsi informasi di sumber dan mendekripsi pada titik akhir. Untuk memperjelas hal ini, Anda dapat melakukan ini: apakah Anda suka atau tidak, lalu lintas yang ditransmisikan, tidak seperti IPSec, dienkripsi secara paksa dan pada keluaran satu terminal jaringan, dan sebagai masukan dari pihak penerima. Untuk mendekripsi informasi yang dikirimkan pada saluran ini, terminal penerima menggunakan tombol khusus. Dengan kata lain, tidak ada yang bisa mengganggu transfer atau mengganggu integritas data yang dipancarkan pada saat ini tanpa kunci.

Hanya membuka port SSH pada router manapun atau menggunakan pengaturan yang sesuai dari klien tambahan yang berinteraksi dengan server SSH secara langsung memungkinkan Anda memanfaatkan sepenuhnya fitur keamanan jaringan modern. Ini tentang penggunaan port default atau pengaturan khusus. Parameter ini dalam aplikasi mungkin terlihat cukup sulit, namun tanpa memahami pengorganisasian koneksi semacam itu sangat diperlukan.

Port SSH standar

Jika Anda benar-benar melanjutkan dari parameter router manapun, Anda harus menentukan perangkat lunak mana yang akan digunakan untuk mengaktifkan saluran komunikasi ini. Sebenarnya, port SSH default bisa memiliki setting yang berbeda. Itu semua tergantung pada metode apa yang sedang digunakan saat ini (koneksi langsung ke server, pemasangan tambahan klien, port forwarding, dll).

Misalnya, jika Jabber digunakan sebagai klien, port 443 harus digunakan untuk koneksi, enkripsi dan transfer data yang benar, walaupun port 22 terpasang pada versi standar.

Untuk mengkonfigurasi ulang router dengan pemilihan kondisi yang diperlukan untuk program atau proses tertentu, Anda perlu melakukan penyampaian port SSH. Apa itu Ini adalah tujuan akses khusus untuk satu program yang menggunakan koneksi Internet, terlepas dari pengaturan yang dimiliki oleh protokol komunikasi saat ini (IPv4 atau IPv6).

Alasan teknis

Seperti yang bisa Anda lihat, port SSH 22 standar tidak selalu digunakan. Namun, di sini Anda perlu menyoroti beberapa karakteristik dan parameter yang digunakan dalam konfigurasi.

Mengapa kerahasiaan pengiriman data terenkripsi melibatkan penggunaan protokol SSH sebagai port pengguna ekslusif (tamu)? Ini hanya karena penggunaan tunneling memungkinkan Anda menggunakan remote shell (SSH) yang disebut, untuk mendapatkan akses ke manajemen terminal melalui remote log-in (slogin), dan menggunakan prosedur remote copy (scp).

Selain itu, port SSH juga bisa digunakan saat pengguna perlu melakukan skrip remote X Windows, yang dalam kasus yang paling sederhana adalah transfer informasi dari satu mesin ke mesin lainnya, seperti yang telah disebutkan, dengan enkripsi data paksa. Dalam situasi seperti itu, yang paling penting adalah penggunaan algoritma berdasarkan AES. Ini adalah algoritma enkripsi simetris, yang awalnya disediakan untuk teknologi SSH. Dan tidak hanya mungkin menggunakannya, tapi juga perlu.

Sejarah implementasi

Teknologi itu sendiri muncul sejak lama. Mari kita tinggalkan pertanyaan bagaimana membuat port forwarding SSH, tapi kita akan berhenti bekerja.

Biasanya semuanya bermuara pada proxy berdasarkan kaus kaki atau menggunakan tunneling VPN. Jika aplikasi perangkat lunak dapat bekerja dengan VPN, lebih baik memilih opsi ini. Faktanya adalah hampir semua program yang diketahui saat ini yang menggunakan lalu lintas Internet dapat bekerja dengan VPN, dan konfigurasi perutean tidak banyak usaha. Ini, seperti dalam kasus server proxy, memungkinkan Anda meninggalkan alamat eksternal terminal, yang saat ini diakses ke jaringan, tidak dikenali. Artinya, dalam kasus proxy, alamat berubah terus-menerus, dan dalam versi VPN, tetap tidak berubah dengan fiksasi wilayah tertentu yang berbeda dari tempat larangan akses beroperasi.

Teknologi itu sendiri, ketika port SSH dibuka, dikembangkan kembali pada tahun 1995 di Universitas Teknologi Finlandia (SSH-1). Pada tahun 1996, sebuah peningkatan dalam bentuk protokol SSH-2 ditambahkan, yang cukup meluas di tempat pasca-Soviet, walaupun untuk ini, dan juga di beberapa negara di Eropa Barat, kadang-kadang perlu mendapatkan izin untuk menggunakan terowongan tersebut, dan dari instansi pemerintah.

Keuntungan utama membuka port SSH, tidak seperti telnet atau rlogin, adalah penggunaan tanda tangan digital RSA atau DSA (penggunaan sepasang dalam bentuk kunci yang terbuka dan terkubur). Selain itu, dalam situasi ini, dapat menggunakan apa yang disebut kunci sesi berdasarkan algoritma Diffie-Hellman, yang menyiratkan penggunaan enkripsi simetris pada keluaran, meskipun tidak mengecualikan penggunaan algoritma enkripsi asimetris dalam proses transmisi data dan penerimaan oleh mesin lain.

Server dan Kerang

Di Windows atau Linux, port SSH tidak begitu sulit dibuka . Satu-satunya pertanyaan adalah toolbox yang akan digunakan untuk ini.

Dalam pengertian ini, Anda perlu memperhatikan masalah transfer informasi dan otentikasi. Pertama, protokol itu sendiri cukup terlindungi dari apa yang disebut sniffing, yang merupakan "penyadapan lalu lintas" paling umum. SSH-1 tak berdaya sebelum serangan. Interferensi dalam proses transfer data dalam bentuk skema "man in the middle" memiliki hasilnya. Informasi bisa saja dicegat dan diuraikan secara sederhana. Tapi versi kedua (SSH-2) diasuransikan terhadap intervensi semacam ini, yang disebut pembajakan sesi, yang membuatnya menjadi hal yang paling umum.

Larangan keamanan

Adapun keamanan berkaitan dengan data yang dikirim dan diterima, pengorganisasian hubungan yang dibuat dengan menggunakan teknologi semacam itu menghindari munculnya masalah berikut:

• Menentukan kunci host pada tahap transmisi, saat sidik jari "sidik jari" digunakan;
• Dukungan untuk sistem seperti Windows dan UNIX;
• Pergantian alamat IP dan DNS (spoofing);
• Pengambilan kata kunci terbuka dengan akses fisik ke saluran transmisi data.

Sebenarnya, keseluruhan organisasi sistem seperti itu dibangun berdasarkan prinsip "client-server", yaitu pertama-tama, mesin pengguna dengan menggunakan program khusus atau alamat pengaya ke server, yang melakukan pengalihan yang sesuai.

Tunneling

Tak perlu dikatakan bahwa driver khusus harus dipasang di sistem untuk menerapkan jenis koneksi ini.

Sebagai aturan, dalam sistem berbasis Windows, driver Microsoft Teredo dibangun di dalam shell perangkat lunak, yang merupakan semacam alat emulasi virtual untuk protokol IPv6 di jaringan dengan dukungan hanya IPv4. Adaptor terowongan berada dalam keadaan aktif secara default. Jika terjadi kegagalan yang terkait dengan hal itu, Anda bisa me-restart sistem atau menjalankan perintah shutdown dan restart di konsol perintah. Untuk menonaktifkan, baris berikut digunakan:

• Netsh;
• Antar muka teredo set state disabled;
• Antarmuka isatap set state disabled.

Setelah masuk ke perintah, Anda harus melakukan reboot. Untuk mengaktifkan kembali adaptor dan memeriksa statusnya alih-alih dinonaktifkan, izin diaktifkan, setelah itu, sekali lagi, keseluruhan sistem harus dimulai ulang.

Server SSH

Sekarang mari kita lihat port SSH mana yang digunakan sebagai port utama, mulai dari skema "client-server". Biasanya, port 22 digunakan secara default, tapi, seperti yang telah disebutkan di atas, bisa menggunakan 443rd. Satu-satunya pertanyaan adalah preferensi server itu sendiri.

Server SSH yang paling umum dianggap sebagai berikut:

• Untuk Windows: Tectia SSH Server, OpenSSH dengan Cygwin, MobaSSH, KpyM Telnet / SSH Server, WinSSHD, copssh, freeSSHd;
• Untuk FreeBSD: OpenSSH;
• Untuk Linux: Tectia SSH Server, ssh, openssh-server, lsh-server, dropbear.

Semua server yang terdaftar bebas. Namun, Anda dapat menemukan layanan berbayar, yang ditandai dengan tingkat keamanan yang meningkat, yang sangat diperlukan untuk mengatur akses jaringan dan melindungi informasi di perusahaan. Biaya layanan seperti itu tidak dibahas sekarang. Tapi secara umum, bisa dikatakan bahwa harganya relatif murah, bahkan bila dibandingkan dengan memasang perangkat lunak khusus atau firewall "besi".

Klien SSH

Port SSH dapat diubah berdasarkan program klien atau pengaturan yang sesuai saat merutekan port pada router.

Namun, jika Anda menyentuh kerang klien, produk perangkat lunak berikut dapat digunakan untuk sistem yang berbeda:

• Windows - SecureCRT, PuTTY \ KiTTY, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD, dll;
• Mac OS X: iTerm2, vSSH, NiftyTelnet SSH;
• Linux dan BSD: lsh-client, kdessh, openssh-client, Vinagre, dempul.

Otentikasi berdasarkan kunci publik dan mengubah port

Sekarang beberapa kata tentang bagaimana verifikasi dan konfigurasi server berlangsung. Dalam kasus yang paling sederhana, Anda harus menggunakan file konfigurasi (sshd_config). Namun, Anda bisa melakukannya tanpanya, misalnya, dalam kasus program seperti Putty. Mengubah port SSH dari nilai standar (22) ke yang lain bisa sangat sederhana.

Yang terpenting adalah jumlah port yang akan dibuka tidak melebihi nilai 65535 (tidak ada yang namanya port di alam). Selain itu, Anda harus memperhatikan beberapa port yang terbuka secara default, yang bisa digunakan oleh klien seperti database MySQL atau FTPD. Jika Anda menentukan konfigurasi mereka untuk SSH, tentu saja, mereka hanya berhenti bekerja.

Perlu dicatat bahwa klien Jabber yang sama harus berjalan di lingkungan yang sama dengan menggunakan server SSH, misalnya, dalam mesin virtual. Dan server localhost itu sendiri perlu memberikan nilai 4430 (dan bukan 443, seperti yang disebutkan di atas). Konfigurasi ini bisa digunakan saat akses ke file utama jabber.example.com diblokir oleh firewall.

Di sisi lain, Anda dapat mentransfer port pada router itu sendiri, dengan menggunakan pengaturan antarmuka untuk membuat aturan pengecualian untuk ini. Pada kebanyakan model, inputnya adalah melalui memasuki alamat yang dimulai dengan 192.168 dengan penambahan 0,1 atau 1.1, namun pada router yang menggabungkan kemampuan modem ADSL seperti Mikrotik, alamat akhirnya mengasumsikan penggunaan 88,1.

Dalam kasus ini, sebuah aturan baru dibuat, maka parameter yang diperlukan ditetapkan, misalnya untuk mengatur koneksi dst-nat eksternal, dan juga secara manual menetapkan port tidak di bagian general settings, dan di bagian Preferences tindakan. Tidak ada yang rumit disini. Hal utama adalah menentukan pengaturan yang diperlukan dan mengatur port yang benar. Secara default, Anda dapat menggunakan port 22, namun jika Anda menggunakan klien khusus (beberapa di atas untuk sistem yang berbeda), nilainya dapat diubah semena-mena, namun hanya agar parameter ini tidak melebihi nilai yang dinyatakan, di atas mana nomor port tidak ada.

Saat Anda mengkonfigurasi koneksi, Anda juga harus memperhatikan parameter program klien. Mungkin sangat baik bahwa dalam pengaturannya perlu untuk menentukan panjang minimum tombol (512), meskipun secara default biasanya diatur ke 768. Hal ini juga diinginkan untuk mengatur batas waktu logon pada 600 detik dan izin untuk akses jarak jauh menggunakan hak root. Setelah menerapkan pengaturan ini, Anda juga harus memberikan izin untuk menggunakan semua hak otentikasi, kecuali yang didasarkan pada penggunaan .rhost (tapi ini hanya diperlukan untuk administrator sistem).

Selain itu, jika nama pengguna yang terdaftar pada sistem tidak sesuai dengan yang Anda ketik saat ini, Anda perlu menentukannya secara eksplisit, menggunakan perintah master ssh pengguna dengan parameter tambahan (bagi mereka yang mengerti apa yang mereka bicarakan).

Perintah ~ / .ssh / id_dsa (atau rsa) dapat digunakan untuk mengkonversikan kunci dan metode enkripsi itu sendiri. Untuk membuat kunci publik, konversi dilakukan dengan menggunakan string ~ / .ssh / identity.pub (tapi ini tidak perlu). Tapi, seperti ditunjukkan oleh praktik, paling mudah menggunakan perintah seperti ssh-keygen. Inilah esensi dari masalah ini dikurangi hanya untuk menambahkan kunci ke alat otorisasi yang tersedia (~ / .ssh / authorized_keys).

Tapi kami pergi terlalu jauh. Jika Anda kembali ke masalah konfigurasi port SSH, seperti yang sudah Anda ketahui, mengubah port SSH tidak begitu sulit. Benar, dalam beberapa situasi, seperti yang mereka katakan, Anda harus berkeringat, karena Anda perlu memperhitungkan semua nilai parameter utama. Jika tidak, masalah tuning dikurangi baik ke input ke server atau program klien (jika disediakan pada awalnya), atau penggunaan port forwarding pada router. Tetapi bahkan jika port default 22 diubah ke 443 yang sama, Anda perlu memahami dengan jelas bahwa skema ini tidak selalu berhasil, namun hanya jika Anda menginstal add-in Jabber yang sama (analog lain juga dapat menggunakan port yang sesuai, Yang berbeda dari yang standar). Selain itu, perhatian khusus harus diberikan pada setting parameter klien SSH, yang akan langsung berinteraksi dengan server SSH, jika memang benar-benar di gunakan dalam koneksi saat ini.

Jika tidak, jika port forwarding tidak disediakan pada awalnya (walaupun diinginkan untuk melakukan tindakan semacam itu), pengaturan dan parameter untuk akses SSH tidak dapat diubah. Tidak ada masalah khusus saat membuat koneksi dan penggunaannya lebih jauh, secara umum tidak diharapkan (kecuali konfigurasi konfigurasi manual berdasarkan server dan klien yang digunakan). Ciptaan yang paling umum dari aturan pengecualian di router memungkinkan Anda memperbaiki semua masalah atau untuk menghindari penampilan mereka.