Работа протокола SSH на практике

Размещено на http://allbest.ru

Московский технический университет связи и информатики

Работа протокола SSH на практике

Ракчеев А.Ю.

г. Москва

Аннотация

Ракчеев Алексей Юрьевич - студент, кафедра 09.04.01 Бизнес-информатика.

В статье анализируется принцип работы SSH протокола. В статье есть 1 таблица. Рассмотрены разные для просмотра алгоритма обмена ключами SSH. Также показано, чем обеспечивается безопасность SSH соединения.

Ключевые слова: анализ, информационные системы, протокол SSH, ключи.

Периодически читая статьи, посвящённые SSH, обратил внимание, что их авторы не раскрывают принцип работы протокола. В большинстве случаев они ограничиваются рассмотрением темы генерации ключей и описанием опций основных команд.

Попытаюсь внести немного ясности в работу протокола SSH и рассмотреть роль алгоритма RSA и ключей авторизации пользователя.

Алгоритм протокола SSH можно разделить на три уровня, каждый из которых располагается над предыдущим: транспорт (открытие защищённого канала), аутентификация, подключение.

Для целостности картины я также добавлю уровень установки сетевого соединения, хотя официально этот уровень находится ниже SSH. Установка TCP-соединения

Не буду подробно останавливаться на принципе работы стека TCP/IP, так как эта тема достаточно хорошо задокументирована. На этом этапе происходит сетевое подключение клиента к серверу на TCP-порт, указанный в опции Port (по умолчанию: 22) в файле конфигурации сервера /etc/ssh/sshd_config.

Открытие защищенного канала и обмен идентификационными данными. После установки TCP-соединения, клиент и сервер обмениваются версиями SSH-протокола и другими вспомогательными данными, необходимыми для выяснения совместимости протоколов и для выбора алгоритмов работы.

Выбор алгоритмов: обмена ключами, шифрования, сжатия и т.п.

При работе SSH используется довольно много алгоритмов, одни из них используются для шифрования, вторые для обмена ключами, третьи для сжатия передаваемых данных и т.п. На этом шаге стороны отсылают друг другу списки поддерживаемых алгоритмов, наибольший приоритет имеют алгоритмы в начале каждого списка.

Затем сравнивают алгоритмы в полученных списках с алгоритмами, имеющимися в системе, и выбирают первый совпавший в каждом списке.

Список доступных алгоритмов обмена ключами на стороне клиента (используются для получения сессионного ключа) можно посмотреть командой:

ssh -Q kex

Список доступных в системе симметричных алгоритмов (используются для шифрования канала):

ssh -Q cipher

Список типов ключей для авторизации у клиента:

ssh -Q key-cert

Получение сессионного ключа шифрования. Процесс получения сессионного ключа может отличаться в зависимости от версии алгоритма, но в общих чертах сводится к следующему:

• Сервер отсылает клиенту свой ключ

• Если клиент производит соединение с данным сервером впервые (о чем говорит отсутствие записи в файле /home/username/.ssh/known_hosts у клиента), то пользователю будет задан вопрос о доверии ключу сервера. Если же соединение с данным сервером уже устанавливалось ранее, то клиент сравнивает присланный ключ с ключом, записанным в /home/username/.ssh/known_hosts.

Если ключи не совпадают, то пользователь получит предупреждение о возможной попытке взлома. Впрочем, эту проверку можно пропустить, если вызвать ssh с опцией StrictHostKeyChecking:

ssh -o StrictHostKeyChecking=no username@servername

Также, если пользователю нужно удалить старый ключ сервера, то используется команда:

ssh-keygen -R servername

• Как только клиент определился с доверием к ключу сервера, с помощью одной из реализаций (версия определяется в п.2.2) алгоритма Диффи-Хеллмана клиент и сервер генерируют сеансовый ключ, который будет использоваться для симметричного шифрования канала.

Сеансовый ключ создается исключительно на период жизни канала и уничтожается при закрытии соединения.

Аутентификация клиента. И только теперь, когда клиент и сервер установили канал для зашифрованной передачи данных, они могут произвести аутентификацию по паролю или ключам. В общих чертах, аутентификация посредством ключей происходит следующим образом:

• Клиент отсылает серверу имя пользователя (username) и свой публичный ключ.

• Сервер проверяет в файле /home/username/.ssh/authorized_keys наличие присланного клиентом открытого ключа. Если открытый ключ найден, то сервер генерирует случайное число и шифрует его открытым ключом клиента, после чего результат отправляется клиенту.

• Клиент расшифровывает сообщение своим приватным ключом и отправляет результат серверу.

• Сервер проверяет полученный результат на совпадение с тем числом, которое он изначально зашифровал открытым ключом клиента, и в случае совпадения считает аутентификацию успешной.

Уровень подключения. После проведения всех вышеперечисленных процедур, пользователь получает возможность передавать команды серверу или копировать файлы. На этом уровне обеспечивается: мультиплицирование каналов (возможность работы множества каналов к одному серверу за счет объединения их в один канал), туннелирование и т.п. На примере можем разобрать, что если сменить стандартный порт SSH на какой-то другой (таблица 1). стек порт протокол шифрование сервер

Таблица 1. Таблица сравнения взлома и флуда

В сегодняшний ситуации сервера постоянно попадают под атаку на порт 22 порт. В ситуации, если SSH у вас работает на стандартном порту (и ничем дополнительно не защищён), даже если аутентификация исключительно по ключам и никакие подборы паролей не пугают. То по причине постоянно валящихся запросов от недобросовестных клиентов сервер всё равно вынужден совершать массу бесполезной работы: устанавливать TCP-соединение, выбирать алгоритмы, генерировать сессионный ключ, отправлять запросы аутентификации, писать лог-файл. В ситуации же, когда на 22-м порту ничего нет, или порт защищён с помощью iptables (либо надстройками над ним типа fail2ban), то злоумышленник будет отброшен ещё на этапе установки TCP-соединения.

Наиболее интересно описанное выглядит в виде таблицы 1, где - * это:

* -- значения параметров (высокий, средний, низкий) носят относительный характер и служат только для сравнения показателей.

** -- имеется в виду расход ресурсов сервера (процессор, диск, сетевой канал и т.п.) на обработку лавины запросов, обычно идущих на 22-й порт.

*** -- произвести взлом, если для авторизации используются RSA-ключи, очень сложно, однако неограниченное количество попыток авторизации делает это возможным.

**** -- количество попыток авторизации ограничено, но серверу всё равно приходится обрабатывать их от большого количества злоумышленников.

SSH обеспечивает защищенный канал связи между клиентом и сервером, через который можно передавать данные (почтовые, видео, файлы), работать в командной строке, удаленно запускать программы, в том числе графические. SSH-сервер должен быть установлен на удаленной операционной системе. SSH-клиент должен быть запущен на машине, с которой будет осуществляться удаленное подключение.

Основные функции, доступные при использовании SSH-протокола:

• Передача любых данных через защищенное SSH-соединение, включая сжатие данных для последующего шифрования.

• X11 Forwarding -- механизм, позволяющий запускать программы UNIX/Linux- сервера в виде графической оболочки, как в Windows (использовать X Window System).

• Переадресация портов -- передача шифрованного трафика между портами разных машин.

Безопасность SSH-соединения обеспечивается:

• шифрованием данных одним из существующих алгоритмов;

• аутентификацией сервера и клиента одним из нескольких доступных методов;

• наличием дополнительных функций протокола, направленных на предупреждение различных хакерских атак.

Аутентификация сервера дает защиту от:

• взлома путем подмены IP-адресов (IP-spoofing), когда один удаленный хост посылает пакеты от имени другого удаленного хоста;

• подмены DNS-записей (DNS-spoofing), когда подменяется запись на DNS- сервере, в результате чего соединение устанавливается с хостом, который указан в подмененной записи, вместо необходимого;

• перехвата открытых паролей и других данных, передаваемых в открытом виде через установленное соединение.

На сегодняшний день существуют две версии протокола SSH (SSH-1 и SSH-2), причем вторая версия усовершенствована и расширена по сравнению с первой. Например, вторая версия устойчива к атакам вида MITM. Также существуют две редакции данного протокола: открытая версия (бесплатная) и коммерческая (платная). Бесплатная версия -- OpenSSH -- встроена во все UNIX-подобные операционные системы в виде стандартных утилит SSH-клиента и SSH-сервера [1, c. 57].

Коммерческая реализация SSH-протокола -- SSH Communications Security -- разработана одноименной организацией. Имеет небольшие отличия от бесплатной версии, такие как доступность коммерческой технической поддержки, наличие инструментов веб-управления и др. Основной набор команд и возможностей практически одинаковый у обоих продуктов.

Для ОС Windows выпущены различные SSH-клиенты и оболочки, самые распространенные из них -- это бесплатные PuTTY и WinSCP. Для других операционных систем также существуют свои SSH-клиенты.

Список литературы

1. Silverman Richard E., Byrnes Rober G. The Definitive Guide, 2005. С. 57-58.

Размещено на Allbest.ru