كيفية تكوين واستخدام منفذ سش؟ خطوة بخطوة التعليمات

تعتبر شل الآمنة، أو اختصار سش، واحدة من أكثر تكنولوجيات حماية البيانات تقدما لنقلها. باستخدام هذا الوضع على نفس جهاز التوجيه يسمح لك لضمان ليس فقط سرية المعلومات المرسلة، ولكن أيضا لتسريع تبادل الحزم. صحيح، ليس الجميع يعرف كيفية فتح ميناء سش ولماذا كل هذا ضروري. وفي هذه الحالة من الضروري إعطاء تفسير بناء.

منفذ سش: ما هو و لماذا؟

وفيما يتعلق بالأمن، ينبغي في هذه الحالة فهم منفذ سش على أنه قناة اتصال مخصصة في شكل نفق يوفر تشفير البيانات.

المخطط الأكثر بدائية من هذه العملية النفق هو أن منفذ سش مفتوح يستخدم بشكل افتراضي لتشفير المعلومات في المصدر وفك تشفير في نقطة النهاية. لتوضيح هذا، يمكنك القيام بذلك: سواء كنت ترغب في ذلك أم لا، يتم تشفير حركة المرور المرسلة، على عكس إيبسيك، قسرا وعند إخراج محطة شبكة واحدة، وعلى مدخل الطرف المتلقي. لفك تشفير المعلومات المرسلة على هذه القناة، تستخدم محطة الاستقبال مفتاحا خاصا. وبعبارة أخرى، لا يمكن لأحد أن يتداخل مع نقل أو تعطيل سلامة البيانات المرسلة في اللحظة الحالية دون مفتاح.

مجرد فتح منفذ سش على أي جهاز التوجيه أو باستخدام الإعدادات المقابلة من عميل إضافي التفاعل مع خادم سش يسمح لك مباشرة للاستفادة الكاملة من جميع ميزات الأمان من الشبكات الحديثة. يتعلق الأمر باستخدام المنفذ الافتراضي أو الإعدادات المخصصة. هذه المعلمات في التطبيق قد تبدو صعبة للغاية، ولكن من دون فهم تنظيم مثل هذا الاتصال أمر لا غنى عنه.

منفذ سش القياسي

إذا كنت حقا المضي قدما من المعلمات من أي جهاز التوجيه، تحتاج أولا لتحديد أي برنامج سيتم استخدامها لتنشيط هذه القناة الاتصالات. في الواقع، يمكن أن يكون منفذ سش الافتراضي إعدادات مختلفة. كل ذلك يعتمد على ما هي الطريقة المستخدمة في الوقت الحالي (اتصال مباشر إلى الخادم، وتركيب عميل إضافي، ميناء الشحن، وما إلى ذلك).

على سبيل المثال، إذا تم استخدام جابر كعميل، يجب استخدام المنفذ 443 للاتصال الصحيح والتشفير ونقل البيانات، على الرغم من تثبيت المنفذ 22 في الإصدار القياسي.

من أجل إعادة تكوين جهاز التوجيه مع اختيار الشروط اللازمة لبرنامج أو عملية معينة، سوف تحتاج إلى تنفيذ سش ميناء الشحن . ما هو؟ هذا هو الغرض من وصول محدد لبرنامج واحد يستخدم اتصال إنترنت، بغض النظر عن إعدادات بروتوكول الاتصالات الحالي (IPv4 أو IPv6) لديها.

الأساس المنطقي التقني

كما ترون، لا يتم استخدام منفذ سش 22 القياسي دائما. ومع ذلك، وهنا تحتاج إلى تسليط الضوء على بعض الخصائص والمعلمات المستخدمة في التكوين.

لماذا تتضمن سرية نقل البيانات المشفرة استخدام بروتوكول سش كمنفذ مستخدم خارجي (ضيف) حصريا؟ فقط لأن نفق المستخدمة يسمح لك لاستخدام ما يسمى قذيفة عن بعد (سش)، للوصول إلى إدارة المحطة عن طريق تسجيل الدخول عن بعد (شعار)، واستخدام النسخ عن بعد (سكب) الإجراءات.

وبالإضافة إلى ذلك، يمكن أيضا أن تستخدم منفذ سش عندما يحتاج المستخدم لأداء البرامج النصية ويندوز X البعيد، والتي في أبسط حالة هو نقل المعلومات من جهاز إلى آخر، كما سبق ذكره، مع تشفير البيانات القسري. في مثل هذه الحالات، والأكثر أهمية سيكون استخدام الخوارزميات على أساس إس. هذا هو خوارزمية التشفير المتماثل، الذي تم توفيره في الأصل في تكنولوجيا سش. وليس من الممكن فقط لاستخدامه، ولكن من الضروري أيضا.

تاريخ التنفيذ

التكنولوجيا نفسها ظهرت منذ فترة طويلة. دعونا نترك جانبا مسألة كيفية جعل سش ميناء الشحن، ولكننا سوف تتوقف عند كيف يعمل.

عادة ما يأتي كل ذلك إلى استخدام وكيل على أساس الجوارب أو استخدام فين نفق. في حالة أن أي تطبيق البرمجيات يمكن أن تعمل مع فين، فمن الأفضل أن تفضل هذا الخيار. والحقيقة هي أن معظم البرامج المعروفة حاليا التي تستخدم حركة المرور على الإنترنت يمكن أن تعمل مع فين، وتكوين التوجيه لا يبذل الكثير من الجهد. هذا، كما هو الحال في خوادم الوكيل، يسمح لك بمغادرة العنوان الخارجي للمحطة، والذي يتم حاليا الوصول إلى الشبكة، غير معروف. وهذا يعني، في حالة الوكيل، يتغير العنوان باستمرار، وفي إصدار الشبكة الظاهرية الخاصة يظل دون تغيير مع تثبيت منطقة معينة تختلف عن المكان الذي يعمل فيه حظر الدخول.

التكنولوجيا نفسها، عندما يتم فتح ميناء سش، وضعت مرة أخرى في عام 1995 في جامعة فنلندا التكنولوجية (سش-1). في عام 1996، أضيف تحسين في شكل بروتوكول سش-2، الذي أصبح واسع الانتشار على نطاق واسع في الفضاء ما بعد الاتحاد السوفياتي، على الرغم من أن لهذا، وكذلك في بعض بلدان أوروبا الغربية، فمن الضروري في بعض الأحيان للحصول على إذن لاستخدام مثل هذا النفق، ومن الوكالات الحكومية.

والميزة الرئيسية لفتح منفذ سش، على عكس تلنيت أو رلوجين، هي استخدام التوقيع الرقمي رسا أو دسا (استخدام زوج في شكل مفتاح مفتوح ودفن). وبالإضافة إلى ذلك، في هذه الحالة، يمكن استخدام ما يسمى مفتاح الدورة على أساس خوارزمية ديفي-هلمان، مما يعني استخدام التشفير المتماثل في الإخراج، على الرغم من أنه لا يستبعد استخدام خوارزميات التشفير غير المتماثلة في عملية نقل البيانات والاستقبال من قبل جهاز آخر.

خوادم وقذائف

في نظام التشغيل ويندوز أو لينوكس، ليس من الصعب فتح منفذ سش . والسؤال الوحيد هو أي الأدوات التي سيتم استخدامها لهذا الغرض.

في هذا المعنى، تحتاج إلى إيلاء الاهتمام لمسألة نقل المعلومات والمصادقة. أولا، البروتوكول نفسه محمي بما فيه الكفاية من ما يسمى استنشاق، وهو "التنصت" الأكثر شيوعا من حركة المرور. كان سش-1 عديم القوة قبل الهجمات. وكان للتدخل في عملية نقل البيانات في شكل مخطط "رجل في الوسط" نتائجه. ويمكن ببساطة اعتراض المعلومات وفك رموزها بكل بساطة. ولكن النسخة الثانية (سش-2) كانت مؤمنة ضد هذا النوع من التدخل، الذي يسمى اختطاف الجلسة، مما جعلها الأكثر شيوعا.

حظر الأمن

أما فيما يتعلق بالأمن فيما يتعلق بالبيانات المرسلة والمستلمة، فإن تنظيم وصلة منشأة باستخدام هذه التكنولوجيات يتجنب ظهور المشاكل التالية:

• تحديد مفتاح المضيف في مرحلة الإرسال، عند استخدام بصمات الأصابع "بصمات الأصابع"؛
• دعم لأنظمة ويندوز و أونيكس تشبه.
• استبدال عناوين إب و دنس (خداع)؛
• اعتراض كلمات السر المفتوحة مع الوصول المادي إلى قناة نقل البيانات.

في الواقع، يتم بناء المنظمة بأكملها من هذا النظام على مبدأ "العميل الخادم"، وهذا هو، أولا وقبل كل شيء، الجهاز المستخدم عن طريق برنامج خاص أو إضافة على عناوين إلى الملقم، الذي يؤدي إعادة توجيه المقابلة.

نفق

وغني عن القول أنه يجب تثبيت سائق خاص في النظام لتنفيذ هذا النوع من الاتصال.

وكقاعدة عامة، في الأنظمة المستندة إلى ويندوز هو برنامج التشغيل تيريدو ميكروسوفت المدمج في قذيفة البرمجيات، وهو نوع من أداة محاكاة افتراضية لبروتوكول IPv6 في الشبكات مع دعم IPv4 فقط. يكون محول النفق في الحالة النشطة بشكل افتراضي. في حالة الفشل المرتبطة به، يمكنك ببساطة إعادة تشغيل النظام أو تنفيذ أوامر إيقاف التشغيل وإعادة تشغيل في وحدة تحكم الأوامر. لإلغاء التنشيط، يتم استخدام الأسطر التالية:

• NETSH.
• واجهة تيريدو تعيين الدولة المعوقين.
• واجهة إساتاب تعيين الدولة المعوقين.

بعد إدخال الأوامر، يجب إعادة تشغيل الكمبيوتر. لإعادة تمكين الموفق والتحقق من حالته بدلا من تعطيل، يتم تمكين إذن، وبعد ذلك، مرة أخرى، يجب إعادة تشغيل النظام بأكمله.

خادم سش

الآن دعونا نرى أي منفذ سش يستخدم كمنفذ أساسي، بدءا من مخطط "العميل-الخادم". عادة، يتم استخدام المنفذ 22 افتراضيا، ولكن، كما سبق ذكره أعلاه، يمكن استخدام 443rd. والسؤال الوحيد هو تفضيل الخادم نفسه.

وتعتبر خوادم سش الأكثر شيوعا هي التالية:

• لنظام التشغيل ويندوز: تيكيا سش سيرفر، أوبنسه مع سيغوين، موباس، كبيم تلنيت / خادم سش، وينشد، كوبش، فريسهد؛
• فور فري: أوبنسه؛
• لينكس: تيكيا سش سيرفر، سش، أوبنسش-سيرفر، لش-سيرفر، دروببار.

جميع الخوادم المدرجة مجانية. ومع ذلك، يمكنك أن تجد الخدمات المدفوعة، والتي تتميز بزيادة مستوى الأمن، وهو أمر ضروري للغاية لتنظيم الوصول إلى الشبكة وحماية المعلومات في المؤسسات. ولم تناقش تكلفة هذه الخدمات الآن. ولكن بشكل عام، يمكن القول أنه غير مكلف نسبيا، حتى بالمقارنة مع تركيب برامج متخصصة أو جدار حديد "حديد".

عميل سش

يمكن تغيير منفذ سش استنادا إلى برنامج العميل أو الإعدادات المقابلة عند توجيه المنافذ على الموجه.

ومع ذلك، إذا كنت على اتصال قذائف العميل، يمكن استخدام منتجات البرامج التالية لأنظمة مختلفة:

• ويندوز - سيكوريكت، بوتي \ كيتي، أكسيسه، شيلغوارد، سشويندوز، زوك، زشيل، بروشد، الخ.
• ماك أوس X: iTerm2، فسه، نيفتيتلنيت سش.
• لينكس و بسد: لش-كلينت، كديسه، أوبنسش-كلينت، فيناغر، المعجون.

المصادقة استنادا إلى المفاتيح العامة وتغيير المنفذ

الآن بضع كلمات حول كيفية التحقق وتكوين الملقم يحدث. في أبسط حالة، يجب استخدام ملف التكوين (sshd_config). ومع ذلك، يمكنك أن تفعل دون ذلك، على سبيل المثال، في حالة برامج مثل بوتي. تغيير منفذ سش من القيمة القياسية (22) إلى أي دولة أخرى يمكن أن يكون الابتدائي تماما.

والشيء الرئيسي هو أن عدد المنفذ ليتم فتحه لا يتجاوز قيمة 65535 (هناك ببساطة لا شيء مثل ميناء في الطبيعة). بالإضافة إلى ذلك، يجب الانتباه إلى بعض الموانئ المفتوحة بشكل افتراضي، والتي يمكن استخدامها من قبل العملاء مثل ميسكل أو فتبد قواعد البيانات. إذا قمت بتحديد التكوين الخاص بهم ل سش، وبطبيعة الحال، فإنها ببساطة التوقف عن العمل.

وتجدر الإشارة إلى أن نفس العميل جابر يجب أن تعمل في نفس البيئة باستخدام ملقم سش، على سبيل المثال، في جهاز ظاهري. وسيحتاج الملقم المحلي نفسه إلى تعيين قيمة 4430 (وليس 443، كما ذكر أعلاه). يمكن استخدام هذا التكوين عند حظر الوصول إلى الملف الرئيسي jabber.example.com بواسطة جدار الحماية.

من ناحية أخرى، يمكنك نقل المنافذ على جهاز التوجيه نفسه، وذلك باستخدام إعدادات واجهة لإنشاء قواعد الاستبعاد لهذا. على معظم النماذج، والمدخلات من خلال إدخال عناوين بدءا من 192.168 مع إضافة 0.1 أو 1.1، ولكن على أجهزة التوجيه الجمع بين قدرات مودم أدسل مثل ميكروتيك، عنوان النهاية يفترض استخدام 88.1.

في هذه الحالة، يتم إنشاء قاعدة جديدة، ثم يتم تعيين المعلمات الضرورية، على سبيل المثال، لتعيين اتصال دست-نات خارجي، وأيضا تعيين المنافذ يدويا في المقطع إعدادات عامة وفي المقطع تفضيلات الإجراء. ليس هناك شيء معقد بشكل خاص هنا. الشيء الرئيسي هو تحديد الإعدادات اللازمة وتعيين المنفذ الصحيح. افتراضيا، يمكنك استخدام المنفذ 22، ولكن إذا كنت تستخدم عميل مخصص (بعض ما سبق لأنظمة مختلفة)، يمكن تغيير القيمة بشكل تعسفي، ولكن فقط بحيث لا تتجاوز هذه المعلمة القيمة المعلنة، التي تكون أرقام المنافذ غائبة ببساطة.

عند تكوين الاتصال، يجب أيضا الالتفات إلى معلمات برنامج العميل. قد يكون من الضروري جدا أنه في إعداداته من الضروري تحديد الحد الأدنى لطول المفتاح (512)، على الرغم من أنه يتم تعيينها بشكل افتراضي إلى 768. كما أنه من المرغوب فيه تعيين مهلة تسجيل الدخول في 600 ثانية والإذن للوصول عن بعد باستخدام حقوق الجذر. بعد تطبيق هذه الإعدادات، يجب أيضا منح الإذن لاستخدام كافة حقوق المصادقة، باستثناء تلك التي تستند إلى استخدام .rhost (ولكن هذا ضروري فقط لمسؤولي النظام).

بالإضافة إلى ذلك، إذا كان اسم المستخدم المسجل على النظام لا يتطابق مع الاسم الذي تكتبه حاليا، سوف تحتاج إلى تحديده بشكل صريح، باستخدام الأمر الرئيسي سش المستخدم مع معلمات إضافية (بالنسبة لأولئك الذين يفهمون ما يتحدثون عنه).

يمكن استخدام الأمر ~ / .shsh / id_dsa (أو رسا) لتحويل المفتاح وطريقة التشفير نفسها. لإنشاء مفتاح عمومي، يتم التحويل باستخدام السلسلة ~ / .ssh / ident.pub (ولكن هذا ليس ضروريا). ولكن، كما تبين الممارسة، فإنه من الأسهل لاستخدام الأوامر مثل سش-كجن. هنا يتم تقليل جوهر المسألة فقط لإضافة مفتاح إلى أدوات الترخيص المتاحة (~ / .ssh / authorized_keys).

ولكن ذهبنا بعيدا جدا. إذا عدت إلى المشكلة تكوين منفذ سش، كما تعلمون بالفعل، تغيير منفذ سش ليست صعبة جدا. صحيح، في بعض الحالات، كما يقولون، لديك للعرق، لأنك سوف تحتاج إلى أن تأخذ في الاعتبار جميع قيم المعلمات الرئيسية. خلاف ذلك، يتم تقليل مسألة ضبط إما إلى الإدخال إلى الخادم أو برنامج العميل (إذا تم توفيره في البداية)، أو إلى استخدام ميناء الشحن على جهاز التوجيه. ولكن حتى إذا تم تغيير المنفذ الافتراضي 22 إلى نفس 443، تحتاج إلى فهم واضح أن هذا النظام لا يعمل دائما، ولكن فقط إذا قمت بتثبيت نفس جابر الوظيفة الإضافية (يمكن أن النظير الأخرى أيضا استخدام المنافذ المقابلة، والتي تختلف عن تلك القياسية). وبالإضافة إلى ذلك، ينبغي إيلاء اهتمام خاص لوضع المعلمات من عميل سش، والتي سوف تتفاعل مباشرة مع خادم سش، إذا كان هذا من المفترض حقا في استخدام الاتصال الحالي.

وإلا، إذا لم يتم توفير إعادة توجيه المنفذ في البداية (على الرغم من أنه من المرغوب فيه إجراء مثل هذه الإجراءات)، لا يمكن تغيير الإعدادات والمعلمات للوصول سش. لا توجد مشاكل خاصة عند إنشاء الاتصال وزيادة استخدامه، بشكل عام، فإنه ليس من المتوقع (ما لم يتم، بالطبع، التكوين اليدوي للتكوين استنادا إلى الخادم والعميل يستخدم). إنشاء الأكثر شيوعا من قاعدة استثناء على جهاز التوجيه يسمح لك لإصلاح كافة المشاكل أو لتجنب ظهورها.