SSH

Од Википедија — слободната енциклопедија
(Пренасочено од Secure Shell)
Прејди на: содржини, барај
Петте нивоа на TCP/IP моделот
5. Апликациско ниво (Application layer)

DHCP • FTP • IMAP4 • POP3 • SIP • SMTP • SSH • BGP •

4. Транспортно ниво (Transport layer)

UDP • TCP • DCCP • SCTP • RSVP • ECN

3. Мрежно ниво (Network layer)

IP (IPv4 • IPv6) • ICMP • IGMP • RSVP • IPsec

2. Податочно ниво (Data Link Layer)

ATM • DTM • Ethernet • FDDI • Frame Relay • GPRS • PPP • ARP • RARP • L2TP • PPTP

1. Физичко ниво (Physical layer)

Етернет • ISDN • Модеми • PLC • SONET/SDH • G.709 • Wi-Fi •

Отворената архитектура на комплетот на IP протоколот, вклучувајќи го и TCP/IP, е таква што овозможува ефективни, стабилни (ова го овозможува TCP протоколот, кој е изграден над IP), флексибилни и скаларни комуникации на локално и глобално ниво. Тој е широко прифатен, не само на глобалниот Интернет, но и на внатрешни мрежи на големи корпорации. Оваа улога ја одигрува сосема добро. Но сепак, тој е проектиран пред 20-тина години во свет каде Интернетот се состоел од неколку стотина близу контролирани хостови, а денес ситуацијата е драстично променета. Интернетот денес поврзува десетици и десетици милиони компјутери, контролирани од милиони и милиони индивидуи и организации. Само јадрото на мрежата е администрирано од илјадници компететни оператори, а мрежата е распространета на целата планета, поврзана со телефонски, фибер, изнајмени, ADSL, мобилни и други линии. Интернет Протоколот бил дизајниран да биде мошне толерантен на случајни мрежни грешки, но не бил дизајниран да биде безбеден од малициозни напади. Всушност, тој е ранлив на добро познати напади. Ова спречува да биде целосно искористен за бизнис и други цели кои вклучуваат критични и доверливи податоци. Најчестите видови на напади се:

-Прислушкување на преносот на податоци, на пример, за шпионирање на password-и, броеви на кредитни картички или бизнис тајни.

-Киднапирање или преземање на комуникацијата на таков начин, што напаѓачот може да го истражи и модифицира секој податок што се пренесува меѓу комуникационите странки.

-IP лажирања, или лажирање на мрежните адреси или имиња на хостови со цел да се измамат механизмите за контрола на пристап или да се пренасочат конекциите на лажен сервер.

SSH (Secure Shell) протоколот е проектиран да ги заштити мрежните комуникации од сигурносни опасности како овие. Тој е сигурносна алтернатива на небезбедните telnet, rsh, rlogin, remsh, rexec и други програми за оддалечен пристап. Но SSH е многу повеќе од тоа. SSH всушност е множество на стандарди асоцирани со мрежен протокол кој овозможува поставување на безбедносен канал за пренос на податоци меѓу локален и оддалечен компјутер. SSH користи јавна клучна криптографија за двострана автентикација меѓу клиентот и серверот, но може да подржува и други методи за автентикација. SSH овозможува доверливост и интегритет на размената на податоци меѓу два компјутери користејќи силна енкрипција и кодови за автентикација на пораки (MAC). Ако трета страна ја пресретне и модифицира енкриптираната информацијата пратена преку SSH, SSH го детектира овој факт.

SSH може да користи различни начини на енкрипција во граници од 512 бита до 32768 бита, а вклучува и шаблони за шифрирање како што се АЕС (Advanced Encryption Scheme), Triple DES, Blowfish, CAST128 или Arcfour. Се разбира, колку поголем број на битови се користат, подолго време треба за да се генерираат и користат енкрипционите клучеви, а исто така, и подолго време ќе треба за да може податоците да се пренесат преку конекцијата.

SSH вообичаено се користи за отварање на најавувачки (login) процеси на оддалечена машина и извршување на команди и програми, но исто така подржува тунелирање (или пренасочување) со енкрипција, на TCP порти и X11 конекции со што може да се зголеми безбедноста и на други TCP сесии. Може да служи за пренос на податотеки преку SFTP и SCP (безбедна алтернатива на FTP и RCP протоколите). Исто така поддржува и контрола на пристап до ресурсите на некој опслужувач од страна на некој корисник (авторизација). SSH сервер, под вообичаено чека на стандардната TCP порта 22 за конекции, т.е. за пакети на информации наменети за таа порта.

Денес постојат две верзии на протоколот: SSH-1, измислен 1995 г. од Tatu Ylonen, на Хелсиншкиот универзитет за технологија и SSH-2 (1996).

Кога го користиме протоколот првин се воспоставува безбедносен канал само меѓу клиентот и серверот, низ кој се енкриптирани податоците што проаѓаат.

Пренасочување или тунелирање значи насочување на интернет пакетите на податоци на некоја друга TCP заснована сесија, низ SSH енкриптирана сесија. Со ова и другите TCP сервиси можат да се снабдат со сигурносните придобивки на SSH (приватност, интегритет, автентикација, авторизација).

SSH овозможува три типа на пренасочување: генерално TCP-порт пренасочување, X пренасочување, за подобрување на безбедноста на X сесиите и агент пренасочување, кое дозволува на SSH клиентите да имаат пристап на SSH јавните клучеви на оддалечена машина. Постојат и други видови на пренасочувања т.е. тунелирања со помош на други TCP протоколи. Telnet сесијата е еден вид на пренасочување т.е. тунелирање.

SSH протоколот се состои од три главни компоненти (слоја):

-Транспортен слоен протокол кој снабдува со серверска автентикација, доверливост и интегритет. Може опционално да овозможи и компресија. Транспортниот протокол вообичаено се одвива над TCP/IP конекција, но може да биде користен над секој стабилен проток на податоци.

-Кориснички автентикационен протокол. Служи за автентикација на корисникот. Се одвива над транспортниот слоен протокол.

-Конекциониот протокол го мултиплексира (збива) енкрипциониот тунел во повеќе логички канали. Се одвива над автентикациониот протокол.

Клиентот праќа барање за услуга откако безбедната транспортна конекција е воспоставена. Второ барање се праќа од кога ќе се изврши автетникација на корисникот. Ова овозможува нови протоколи да се дефинираат и коегзистираат со горе наведените протоколи. Конекциониот протокол овозможува создавање на канали кои можат да се користат за разни цели како: безбедни интерактивни shell сесии и пренасочување на арбитражни TCP/IP порти и X11 конекции.