Каталог документации / Раздел "Безопасность" / Оглавление документа

2. Основы Ssh.

2.1 Что такое ssh?

Выдержка из README файла:

Ssh (Secure Shell) это программа для входа в другие компьютеры доступные по сети, для выполнения команд или программ на удаленных компьютерах и для передачи файлов с одного компьютера на другой. Она обеспечивает строгую проверку подлинности и безопасности соединений по незащищенным каналам. И используется как замена rlogin, rsh, и rcp.

Дополнительно, ssh обеспечивает безопасность X-овых соединений и безопасное перенаправление иных, необходимых вам TCP соединений.

2.2 Почему желательно использовать ssh?

Традиционные BSD 'r' - команды (rsh, rlogin, rcp) уязвимы для различных видов хакерских атак. Кроме того, если кто-то имеет "привелигерованный"[root] доступ к машинам сети или возможность физического подключения к сетевым коммуникациям, то это позволит собирать весь проходящий траффик, как входной, так и выходной включая пароли, поскольку TCP/IP является "чистым" протоколом (ssh никогда не посылает пароли в чистом виде).

X Window System имеет тоже достаточное количество "узких" мест в плане безопасности. Но с помощью ssh можно создавать безопасные удаленные X-овые сеансы, которые будут также прозрачны для пользователя как и раньше. Сторонний - косвенный эффект использования ssh при запуске удаленных X-овых клиентских приложений это еще большая простота для пользователя.

При этом можно как и прежде использовать настройки в старых файлах .rhosts и /etc/hosts.equiv, ssh прекрасно их понимает. А если удаленная машина не поддерживает ssh, то сработает "обратный механизм" возврата к rsh, который включен в ssh.

2.3 От каких видов атак ssh защищает?

Ssh защищает от:

"IP spoofing'а"[ip-подмены], когда удаленный[атакующий] компьютер высылает свои пакеты симулируя якобы они пришли с другого компьютера, с которого разрешен доступ. Ssh защищает от подмены даже в локальной сети, когда кто-то например, решил подменить ваш роутер наружу "собой".
"IP source routing"[ip исходный маршрутизатор], когда компьютер может симулировать что IP-пакеты приходят от другого, разрешенного компьютера.
"DNS spoofing", когда атакующий фальсифицирует записи "name server'а"
Прослушивания нешифрованных паролей и других данных промежуточными компьютерами.
Манипуляций над вашими данными людьми управляющими промежуточными компьютерами.
Атак основанных на прослушивании "X authentication data" и подлога соединения к X11 серверу.

Другими словами, ssh никогда не доверяет сети; какой-либо "противник" имеющий _определенный_ доступ к сети может лишь _насильно_ разорвать установленное ssh соединение, но никак не расшифровать его, похитить или "обыграть".

Все вышесказанное ВЕРНО лишь при использовании шифрования. Однако Ssh имеет опцию шифрования "none", которая необходима лишь для отладки и ни в коем случае не должна быть использована для обычной работы.

2.4 От каких видов атак ssh не защитит?

Ssh не поможет вам в случае нарушения безопасности вашей машины другими методами. Например, если хакер взломал вашу машину или получил привелигированный-root доступ ИЗНУТРИ, что позволит ему "извратить-перевернуть" и работу ssh тоже.

Если какой-либо недоброжелатель имеет доступ в вашу домашнюю директорию то безопасность так же под вопросом, одной из частых тому причин является, например экспортирование домашней директории по NFS.

2.5 Как он работает?

2.5.1 SSH версия 1.2.x.

Для более обширной информации, прочтите пожалуйста RFC и файл READMEREADME из дистрибутива SSH.

Все коммуникации шифруются с использованием метода IDEA или любым на выбор из следующих: three-key triple-DES, DES, Blowfish. Для обмена ключей шифрования используется RSA метод, данные обмена уничтожаются каждый час(ключи нигде не сохраняются).Каждая машина имеет свой RSA-ключ который используется для проверки достоверности машины при задействии метода "RSA host authentication". Шифрование используетс для предотвращения "IP-Spoofing"; проверка достоверности публичных ключей против "DNS и Routing Spoofing".

RSA-ключи используются для проверки достоверности компьютеров.

Эта статья также включает описание того как ssh работает:

http://www.sunworld.com/sunworldonline/swol-02-1998/swol-02-security.html

Смотрите также секцию 3.7 Где можно получить помощь? содержащий различные ссылки на материалы в сети по SSH.

2.5.2 SSH версия 2.x (ssh2).

Предложенное RFC доступно в качестве "Internet Draft" с ftp://ftp.ietf.org/internet-drafts/draft-ietf-secsh-architecture-04.txt.

Следующая Глава, Предыдущая Глава

Содержание этой главы, Общее Содержание

В начало документа, В начало этой главы

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру