SSH 포트를 구성하고 사용하는 방법은 무엇입니까? 단계별 지침

SSH ( Secure Shell) 는 전송을위한 가장 진보 된 데이터 보호 기술 중 하나입니다. 같은 라우터에서이 모드를 사용하면 전송 된 정보의 기밀성을 보장 할 수있을뿐 아니라 패킷 교환 속도를 높일 수 있습니다. 사실, 모든 사람이 SSH 포트를 여는 방법을 알지 못하고 모든 것이 필요한 이유입니다. 이 경우에는 건설적인 설명이 필요합니다.

SSH 포트 : 무엇이며 왜 그럴까요?

보안과 관련하여이 경우 SSH 포트는 데이터 암호화를 제공하는 터널 형식의 전용 통신 채널로 이해해야합니다.

이 터널 작업의 가장 기본적인 구성은 기본적으로 열린 SSH 포트 가 소스의 정보를 암호화하고 끝점에서 암호 해독하는 데 사용된다는 것입니다. 이를 명확히하기 위해 다음과 같은 작업을 할 수 있습니다. IPSec과 달리 전송 된 트래픽은 강제로 암호화되어 하나의 네트워크 터미널의 출력과받는 쪽의 입력에 암호화됩니다. 이 채널을 통해 전송 된 정보를 해독하기 위해 수신 터미널은 특수 키를 사용합니다. 다시 말해서 아무도 키가 없으면 전송을 방해하거나 현재 전송되는 데이터의 무결성을 방해 할 수 없습니다.

라우터에서 SSH 포트를 열거 나 SSH 서버와 상호 작용하는 추가 클라이언트의 해당 설정을 사용하면 최신 네트워크의 모든 보안 기능을 최대한 활용할 수 있습니다. 기본 포트 또는 사용자 정의 설정을 사용하는 방법입니다. 응용 프로그램의 이러한 매개 변수는 매우 어려울 수 있지만 그러한 연결의 조직을 이해하지 않으면 반드시 필요합니다.

표준 SSH 포트

라우터의 매개 변수를 실제로 수행하려면 먼저이 통신 채널을 활성화하는 데 사용할 소프트웨어를 결정해야합니다. 사실, 기본 SSH 포트는 다른 설정을 가질 수 있습니다. 이 모든 것은 현재 사용되는 방법 (서버에 직접 연결, 추가 클라이언트 설치, 포트 전달 등)에 따라 다릅니다.

예를 들어 Jabber가 클라이언트로 사용되는 경우 올바른 연결, 암호화 및 데이터 전송을 위해 포트 443이 사용되어야하지만 포트 22는 표준 버전에 설치됩니다.

특정 프로그램이나 프로세스에 필요한 조건을 선택하여 라우터를 재구성하려면 SSH 포트 포워딩 을 수행해야합니다. 이게 뭐야? 이것은 현재 통신 프로토콜 (IPv4 또는 IPv6)의 설정에 관계없이 인터넷 연결을 사용하는 단일 프로그램에 대한 특정 액세스의 목적입니다.

기술적 인 근거

보시다시피 표준 SSH 22 포트가 항상 사용되는 것은 아닙니다. 그러나 여기서 구성에 사용 된 특성 및 매개 변수를 강조해야합니다.

암호화 된 데이터 전송의 기밀성이 SSH 프로토콜을 독점적 인 외부 (게스트) 사용자 포트로 사용하는 이유는 무엇입니까? 터널링을 사용하면 원격 로그인 (slogin)을 통한 터미널 관리에 액세스하고 원격 복사 (scp) 절차를 사용하기 위해 소위 원격 쉘 (SSH)을 사용할 수 있기 때문입니다.

또한 SSH 포트는 사용자가 원격 X Windows 스크립트를 수행해야하는 경우에도 사용할 수 있습니다.이 스크립트는 이미 언급 한 것처럼 강제 데이터 암호화를 사용하여 한 시스템에서 다른 시스템으로 정보를 전송하는 것이 가장 간단합니다. 이러한 상황에서 가장 필수적인 것은 AES를 기반으로 한 알고리즘을 사용하는 것입니다. 이것은 원래 SSH 기술에서 제공되는 대칭 암호화 알고리즘입니다. 그리고 그것을 사용할 수있을뿐만 아니라 필요합니다.

구현 내역

기술 자체는 오래 전에 나타났습니다. SSH 포트 포워딩을 만드는 방법에 대한 질문은 제쳐두 자.

일반적으로 Socks를 기반으로하는 프록시를 사용하거나 VPN 터널링을 사용합니다. 모든 소프트웨어 응용 프로그램이 VPN과 함께 작동 할 수있는 경우이 옵션을 선호하는 것이 좋습니다. 사실 인터넷 트래픽을 사용하는 현재 알려진 거의 모든 프로그램이 VPN과 함께 작동 할 수 있으며 라우팅 구성이 많은 노력을 기울이지 않습니다. 이것은 프록시 서버의 경우와 마찬가지로 현재 네트워크에 액세스중인 터미널의 외부 주소를 인식하지 못하게 할 수 있습니다. 즉, 프록시의 경우에는 주소가 계속 변경되고 VPN 버전에서는 액세스 금지가 작동하는 곳과 다른 특정 지역을 고정하여 변경되지 않습니다.

SSH 포트가 개설 된이 기술 자체는 1995 년 핀란드 기술 대학 (SSH-1)에서 개발되었습니다. 1996 년에는 SSH-2 프로토콜의 형태가 개선되었는데, 이는 소련 이후의 공간에서 보편적으로 보급되었다. 서유럽의 일부 국가뿐만 아니라 때때로 이러한 터널을 사용할 수있는 허가를 얻거나 정부 기관에서 필요하기도했다.

telnet 또는 rlogin과 달리 SSH 포트를 여는 주요 이점은 디지털 서명 RSA 또는 DSA (열린 채워 넣은 키 형태로 쌍을 사용함)를 사용한다는 것입니다. 또한이 상황에서 Diffie-Hellman 알고리즘을 기반으로하는 세션 키를 사용할 수 있습니다. 이는 다른 컴퓨터에서 데이터를 전송 및 수신하는 과정에서 비대칭 암호화 알고리즘을 사용하는 것을 제외하지 않지만 출력에서 대칭 암호화를 사용한다는 의미입니다.

서버 및 쉘

Windows 또는 Linux에서는 SSH 포트 를 열어보기가 어렵지 않습니다. 유일한 질문은이 도구 상자를 사용하는 것입니다.

이러한 의미에서 정보 전송 및 인증 문제에주의를 기울여야합니다. 첫째, 프로토콜 자체는 트래픽의 가장 일반적인 "도청"인 스니핑 (sniffing)으로부터 충분히 보호됩니다. SSH-1은 공격하기 전에 무방비 상태였다. "중간에 남자"계획의 형태로 데이터 전송 과정에서의 간섭은 그 결과를 가져 왔습니다. 정보를 간단하게 가로 챌 수 있고 해독 할 수 있습니다. 그러나 두 번째 버전 (SSH-2)은 세션 하이재킹이라고하는 이러한 유형의 개입에 대해 보험에 가입하여 가장 일반적으로 사용되었습니다.

보안 금지

이러한 기술을 사용하여 생성 된 연결 조직은 송수신 된 데이터와 관련된 보안 측면에서 다음과 같은 문제를 피할 수 있습니다.

• "지문"지문이 사용될 때 전송 단계에서 호스트에 대한 키 결정.
• Windows 및 UNIX 계열 시스템 지원;
• IP 및 DNS 주소 대체 (스푸핑);
• 데이터 전송 채널에 대한 물리적 액세스로 열린 암호 차단.

사실, 이러한 시스템의 전체 조직은 "클라이언트 - 서버"원칙 즉, 특수 프로그램이나 주소를 서버를 통해 사용자 컴퓨터에 연결하여 해당 리디렉션을 수행합니다.

터널링

이 유형의 연결을 구현하려면 특수 드라이버가 시스템에 설치되어야합니다.

일반적으로 Windows 기반 시스템에서는 소프트웨어 셸에 내장 된 Microsoft Teredo 드라이버가 IPv4 전용 지원 네트워크에서 IPv6 프로토콜 용 가상 에뮬레이션 도구의 일종입니다. 터널 어댑터는 기본적으로 활성 상태입니다. 이와 관련된 장애가 발생하면 간단히 시스템을 재시작하거나 명령 콘솔에서 shutdown 및 restart 명령을 실행할 수 있습니다. 비활성화하려면 다음 행이 사용됩니다.

• Netsh;
• 인터페이스 teredo set state disabled;
• 인터페이스 isatap set state disabled.

명령을 입력 한 후 다시 부팅해야합니다. 어댑터를 다시 활성화하고 비활성화 대신 상태를 확인하려면 사용 권한이 활성화 된 후 다시 전체 시스템을 다시 시작해야합니다.

SSH 서버

이제 "클라이언트 - 서버"구성에서 시작하여 기본 포트로 사용되는 SSH 포트를 확인하십시오. 일반적으로 22 번째 포트는 기본적으로 사용되지만 위에서 언급했듯이 443 번째 포트를 사용할 수 있습니다. 유일한 질문은 서버 자체의 선호입니다.

가장 일반적인 SSH 서버는 다음과 같은 것으로 간주됩니다.

• Windows의 경우 : Tectia SSH Server, Cygwin, MobaSSH, KpyM 텔넷 / SSH 서버, WinSSHD, copssh, freeSSHd가있는 OpenSSH;
• FreeBSD의 경우 : OpenSSH;
• Linux : Tectia SSH Server, ssh, openssh-server, lsh-server, dropbear.

나열된 모든 서버는 무료입니다. 그러나 네트워크 액세스 구성 및 정보 보호에 극히 필요한 유료 서비스를 찾을 수 있습니다. 그러한 서비스 비용은 지금 논의되지 않았습니다. 그러나 일반적으로 전문 소프트웨어 나 "철"방화벽을 설치하는 것과 비교해도 상대적으로 저렴하다고 할 수 있습니다.

SSH 클라이언트

SSH 포트는 라우터의 포트를 라우팅 할 때 클라이언트 프로그램 또는 해당 설정에 따라 변경할 수 있습니다.

그러나 클라이언트 셸을 누르면 다른 시스템에 다음 소프트웨어 제품을 사용할 수 있습니다.

• Windows - SecureCRT, PuTTY \ KiTTY, Axessh, ShellGuard, SSHWindows, ZOC, XShell, ProSSHD 등.
• Mac OS X : iTerm2, vSSH, NiftyTelnet SSH;
• 리눅스와 BSD : lsh-client, kdessh, openssh-client, Vinagre, 퍼티.

공개 키 기반 인증 및 포트 변경

이제 서버 검증 및 구성 방법에 대해 설명합니다. 가장 간단한 경우 구성 파일 (sshd_config)을 사용해야합니다. 그러나 PuTTY와 같은 프로그램의 경우에는이를 사용하지 않고 수행 할 수 있습니다. SSH 포트를 표준 값 (22)에서 다른 어떤 포트로 변경하는 것은 아주 초보적 일 수 있습니다.

가장 중요한 것은 열어야 할 포트의 번호가 65535를 초과하지 않는다는 것입니다 (실제로 포트와 같은 것은 없습니다). 또한 MySQL 또는 FTPD 데이터베이스와 같은 클라이언트가 사용할 수있는 기본적으로 열린 포트에주의해야합니다. 물론 SSH에 대한 구성을 지정하면 작업이 중지됩니다.

동일한 Jabber 클라이언트가 SSH 서버 (예 : 가상 시스템)를 사용하는 동일한 환경에서 실행되어야합니다. 그리고 서버 localhost 자체는 4430이 아니라 위에서 언급 한 443의 값을 할당해야합니다. 이 구성은 jabber.example.com 주 파일에 대한 액세스가 방화벽에 의해 차단 될 때 사용할 수 있습니다.

반면 인터페이스의 설정을 사용하여 라우터 자체의 포트를 전송하여 이에 대한 제외 규칙을 만들 수 있습니다. 대부분의 모델에서 입력은 0.1 또는 1.1을 추가하여 192.168로 시작하는 주소를 입력하지만 Mikrotik과 같은 ADSL 모뎀의 기능을 결합한 라우터에서는 최종 주소가 88.1을 사용한다고 가정합니다.

이 경우 새 규칙이 만들어진 다음 필요한 매개 변수가 설정되어 외부 dst-nat 연결을 설정하고 일반 설정 섹션 및 작업 기본 설정 섹션에없는 포트를 수동으로 할당합니다. 여기에는 특별히 복잡한 것은 없습니다. 가장 중요한 것은 필요한 설정을 지정하고 올바른 포트를 설정하는 것입니다. 기본적으로 포트 22를 사용할 수 있지만 전용 클라이언트 (다른 시스템에 대해 위의 일부)를 사용하는 경우 값은 임의로 변경할 수 있지만이 매개 변수는 포트 번호가없는 위의 값을 초과하지 않습니다.

연결을 구성 할 때 클라이언트 프로그램의 매개 변수에도주의해야합니다. 기본적으로 키의 최소 길이 (512)를 지정해야하지만, 일반적으로 768로 설정되어 있습니다. 600 초의 로그온 시간 초과 및 루트 권한을 사용하는 원격 액세스 권한을 설정하는 것이 좋습니다. 이 설정을 적용한 후에는 .rhost를 기반으로하는 경우를 제외하고 모든 인증 권한을 사용할 수있는 권한도 부여해야합니다 (하지만 시스템 관리자에게만 필요함).

또한 시스템에 등록 된 사용자 이름이 현재 입력중인 사용자 이름과 일치하지 않으면 사용자 ssh master 명령에 추가 매개 변수 (사용자가 말하는 내용을 이해하는 사용자)를 사용하여 명시 적으로 지정해야합니다.

~ / .ssh / id_dsa (또는 rsa) 명령을 사용하여 키와 암호화 방법 자체를 변환 할 수 있습니다. 공개 키를 만들려면 ~ / .ssh / identity.pub 문자열을 사용하여 변환을 수행합니다 (그러나 필수는 아닙니다). 하지만 연습이 보여주는 것처럼 ssh-keygen과 같은 명령을 사용하는 것이 가장 쉽습니다. 여기서 중요한 부분은 사용 권한 도구 (~ / .ssh / authorized_keys)에 키를 추가하는 것뿐입니다.

그러나 우리는 너무 멀리 갔다. 이미 알고 있듯이 SSH 포트 구성 문제로 돌아 가면 SSH 포트를 변경하는 것이 그렇게 어렵지 않습니다. 사실, 어떤 상황에서는, 당신이 말할 필요가 있기 때문에, 당신은 땀을 흘려야합니다, 왜냐하면 당신은 주요 매개 변수의 모든 가치를 고려해야 할 것이기 때문입니다. 그렇지 않으면 튜닝 문제가 서버 또는 클라이언트 프로그램 (처음 제공되는 경우) 또는 라우터의 포트 전달 사용으로 줄어 듭니다. 그러나 기본 포트 22가 동일한 443으로 변경 되더라도이 구성표가 항상 작동하는 것은 아니지만 동일한 Jabber 추가 기능을 설치하는 경우에만 이해해야합니다 (다른 아날로그도 해당 포트를 사용할 수 있습니다. 표준과 다른 점). 또한 SSH 클라이언트의 매개 변수 설정에 특별한주의를 기울여야합니다. SSH 클라이언트가 현재 연결을 사용한다고 가정 할 경우 SSH 서버와 직접 상호 작용합니다.

그렇지 않으면 포트 포워딩이 초기에 제공되지 않는 경우 (그러한 작업을 수행하는 것이 바람직 함에도 불구하고) SSH 액세스의 설정 및 매개 변수는 변경할 수 없습니다. 연결을 생성 할 때 특별한 문제는 없으며 일반적으로 서버와 클라이언트를 기반으로하는 구성의 수동 구성을 사용하지 않는 한 일반적으로 사용하지 않아도됩니다. 라우터에서 가장 일반적인 예외 규칙을 작성하면 모든 문제점을 수정하거나 그 모양을 피할 수 있습니다.