sushiandbox.ru Mastering PC - Internet. Skype. Sociálne siete. Lekcie o Windowse.
Telnet je základný protokol OS UNIX, ktorý poskytuje koncovým používateľom prístup k vzdialenému počítaču.
Pôvodne bol terminál zariadením typu písacieho stroja, na ktorom operátor (používateľ) písal príkazy a pozoroval výsledky. Terminál bol neskôr rozdelený na monitor a klávesnicu.
Telnet štandardne používa port 23. Serverová časť musí byť spustená na vzdialenom počítači a klientska časť musí byť spustená na počítači používateľa. Klientsky program má rovnaký názov - telnet a umožňuje zadávať parametre z príkazového riadku. Tieto možnosti zahŕňajú:
Názov servera (IP adresa) a číslo portu
Typ textového terminálu
Používateľské meno
Názov protokolu pripojenia
Určenie akcií niektorých funkčných klávesov klávesnice atď.
Syntax príkazový riadok závisí od softvérovej implementácie telnetu az tohto hľadiska možno telnet považovať za službu alebo službu.
Prevádzka protokolu telnet zabezpečuje prenos každého znaku zadaného používateľom v samostatnom pakete na server (vzdialený počítač) pomocou protokolu TCP. Ak je povolená odozva, server vráti znak na monitor používateľa. Výsledky vykonávania programov bežiacich na serveri sa už prenášajú v blokoch. V rámci limitov užívateľských práv a možností terminálu poskytuje telnet plný prístup k serverovým programom a súborom. Keď sa počas procesu overovania vytvorí spojenie, znaky používateľského mena a hesla sa prenesú ako čistý text, čo robí používanie telnetu mimoriadne nebezpečným.
Najpopulárnejšou metódou na zvýšenie bezpečnosti aplikačných terminálových protokolov (napr. telnet) je protokol SSH (Secure SHell), ktorý štandardne používa port 22. Rovnako ako v telnete, serverová časť SSH sa spúšťa na vzdialenom počítači a klientska časť sa spúšťa na počítači používateľa. Po nadviazaní spojenia sú všetky dáta prenášané v zašifrovanej forme a všetky dáta aplikačného protokolu sú tunelované cez toto zabezpečené spojenie, ako je znázornené na obrázku 3.5.3.1.
Pred použitím telnetu nadviažu vzdialený počítač a počítač používateľa zabezpečené spojenie na porte 22 (predpokladá sa, že kryptografické heslá už boli definované v klientskej a serverovej časti pred použitím SSH). Pri volaní telnetu sa otvorí port 23, ale prenášané pakety sú zachytené klientom SSH, zašifrované a odoslané cez zabezpečený kanál. Server SSH dešifruje údaje a odošle ich na server telnet na port 23. Odpoveď servera sa prenáša v opačnom poradí. Používateľ nepocíti fungovanie protokolu SSH a na porte 23 funguje ako s bežným telnet klientom.
E-mailové protokoly
Elektronická pošta (E-mail) je jednou z najstarších a najbežnejších sieťových služieb, populárna v lokálnych aj globálnych sieťach.
Systém Email sa objavil v roku 1982 ako služba pre predchodcu internetu, ARPANET. Tento systém sa výrazne líšil od odporúčaní radu X.400 prijatých CCITT. Zložitosť odporúčaní X.400 a ich nedomyslená povaha viedli v sieťových technológiách k ojedinelému prípadu, keď iniciatívny rozvoj zvíťazil nad medzinárodným štandardom. E-mailové služby, ktoré reagujú na X.400, neboli široko používané a sú skôr vedeckého záujmu.
Správa elektronickej pošty, rovnako ako bežná pošta, obsahuje obálku s informáciami potrebnými na doručenie, hlavičku s údajmi užitočnými na automatizované spracovanie adresátom a samotnú správu.
Obálka a hlavička majú formalizované polia. Najdôležitejšie z nich sú (povinné polia, ktoré musí odosielateľ vyplniť, sú vyznačené tučným písmom):
Potom: - adresa(y) príjemcu(ov) vo formáte mailbox_name@mailserver_name
Сс: - (kópia) adresa(y) ďalšieho príjemcu(ov)
Skrytá kópia: - (slepá kópia) slepá adresa (adresy) príjemcu (príjemcov), ktorá nie je oznámená ostatným
Odosielateľ: - adresa odosielateľa e-mailu
Prijaté: - pole, kde sa pri prechode každého uzla pridá názov uzla, dátum a čas prijatia
Return-Path: - názvy uzlov na ceste písmena
Dátum: - dátum a čas odoslania e-mailu
Odpovedať: - adresa, na ktorú sa má odpovedať
Message-id: - jedinečný identifikátor správy (pre odkazy)
In-Reply-id: - identifikátor správy, na ktorú je daná odpoveď
Predmet: - predmet emailu
Telo správy je množina reťazcov maximálne 1 000 (odporúča sa až 78) znakov ASCII (American Standard Code for Information Interchange), t. j. 7-bitové čísla predstavujúce písmená latinskej abecedy, interpunkčné znamienka a čísla (populárne pre takéto zobrazenie je termín „kódovanie“). Symboly národných kódovaní (napríklad znaky cyriliky), binárne súbory (napríklad so zvukovými alebo obrazovými informáciami) atď. sa zobrazujú v súlade s konvenciou MIME (Multipurpose Internet Mail Extension), ktorá poskytuje pole označujúce metódu kódovania ( napríklad Base64 – pozri odsek 3.5.2).
Základnou metódou zabezpečenia dôvernosti e-mailu je jeho kryptografická ochrana. Najpopulárnejší systém sa nazýva PGP (Pretty Good Privacy). Tento systém navrhol Phil Zimmerman a používa niekoľko šifrovacích algoritmov (RSA, IDEA, MD5).
Iný systém sa nazýva PEM (Privacy Enhanced Mail - pošta zvýšeného utajenia) a od PGP sa líši potrebou komunikácie s kľúčovými certifikačnými autoritami, nižším stupňom ochrany (pre šifrovanie dát v systéme PGP sú kľúče dlhé 128 bitov, resp. v systéme PEM - iba 56 bitov), ale plne v súlade s odporúčaniami ITU-T (X.400 a X.509).
E-mailové protokoly sa vyznačujú značnou rozmanitosťou od značkových, vhodných v softvérových produktoch konkrétnych výrobcov, až po všeobecne uznávané. Hovoríme o protokoloch e-mailových systémov, a nie o bežných systémoch na emuláciu poštových služieb založených na protokole HTTP (pozri napr. www.mail.ru).
E-mailové protokoly zahŕňajú:
SMTP (Simple Mail Transfer Protocol – jednoduchý e-mailový protokol) je protokol používaný na výmenu pošty medzi uzlami a odosielanie listov z klienta na poštový server. Štandardne protokol používa port 25.
POP3 (Post Office Protocol v.3 - e-mailový protokol verzia 3) - protokol pre príjem pošty klientom. Štandardne protokol používa port 110.
IMAP v4 (Internet Message Access Protocol v.4 - protokol pre interaktívny prístup k e-mailu verzie 4) je protokol podobný POP3, ale umožňuje klientovi ukladať a spracovávať poštu na samotnom poštovom serveri. Štandardne protokol používa port 585
Protokol SMNP
Protokol SNMP (Simple Network Management Protocol) bol pôvodne vyvinutý na správu smerovačov, no odvtedy bol rozšírený na akékoľvek sieťové zariadenia (štandardne porty 161/162). V súčasnosti je relevantná verzia 2 protokolu (1999).
Protokol je postavený na princípe klient-server (klientsky program musí bežať na riadenom sieťovom zariadení) a obsahuje riadiaci protokol (interakcia medzi riadenými a riadiacimi uzlami), jazyk ASN.1 (Abstract Syntax Notation v.1 - Abstract Syntax Notation v.1) opisy modelu riadenia a samotného modelu riadenia MIB (Management Information Base). Šíreniu protokolu bráni jeho nízka bezpečnosť a zameranie na používanie protokolu UDP, čo vedie k možnej strate DNS správ.
Úloha rozlíšenia mien zahŕňa určenie IP adresy uzla z jeho symbolického názvu a určenie symbolického názvu z danej IP adresy.
Historicky prvý, ale stále platný mechanizmus rozlišovania mien je spojený s priamym nastavením tabuľky zhody medzi symbolickými menami a IP adresami v súbore hosts/lmhosts (prvý súbor používajú UNIX/Linux a niektoré ďalšie operačné systémy (OS) a druhý používa operačný systém Microsoft. Oba súbory sú textové a ich formáty a kľúče nájdete v MS Windows v súboroch s rovnakým názvom s príponou . sam (ukážka) Je zrejmé, že pre žiadnu veľkú sieť nie je možné úplne vyriešiť problém týmto spôsobom, hoci zapisovanie informácií o hlavných serveroch, smerovačoch, bránach atď. do týchto súborov je veľmi efektívne na urýchlenie štartu počítača v sieťové prostredie.
Ďalšia pomerne populárna metóda rozlíšenia názvov zahŕňa použitie NetBIOS (Network Basic Input/Output System) cez TCP/IP. Tento systém bol vyvinutý spoločne spoločnosťami Microsoft a IBM v 80. rokoch ako sieťová I/O služba pre operačný systém. systémy Windows. Neskôr, na implementáciu prístupu používateľov k sieťovým zdrojom, bol vyvinutý protokol NetBEUI (NetBIOS Extended User Interface) ako hlavný sieťový protokol v systéme Windows for Workgroups a NT. Nakoniec, s všadeprítomnosťou zásobníka TCP/IP bol Microsoft nútený vydať implementáciu NetBIOS, ktorá využíva IP na prenos potrebných údajov (NetBIOS cez TCP/IP). NetBIOS je stále podporovaný vo Windows 2000/NT/XP, aj keď nie ako hlavný mechanizmus na prístup k sieťovým zdrojom. NetBIOS je užitočný pre malé siete typu peer-to-peer.
Na začiatku má každý uzol v sieti NetBIOS symbolický názov (do 15 znakov) s identifikátorom prostriedku (16. znak), ktorý označuje úlohu uzla (súborový server, tlačový server, pracovná stanica atď.). "Čistý" NetBIOS je použiteľný iba pre malé siete a považuje sa za "nesmerovateľný", pretože -
pomenovací systém neumožňuje identifikovať sieť
požiadavky na vysielanie sa široko používajú na získanie a aktualizáciu informácií o sieťových uzloch (väčšina smerovačov nepovoľuje požiadavky na vysielanie)
Na prekonanie týchto nedostatkov spoločnosť Microsoft ponúkla službu WINS (Windows Internet Name Service - servis okien internetové názvy) založené na názvových serveroch NetBIOS. Treba si uvedomiť, že napriek zmienke o internete sa v tomto nepoužíva WINS globálnej siete.
Prvá nevýhoda NetBIOS je riešená vo WINS zavedením názvu komunity pre sieť a druhá skutočnosťou, že dotazy na rozlíšenie názvov sú adresované špecifickým serverom WINS. Nestabilita služby, administratívne ťažkosti a ťažkosti s jej používaním na globálnom internete prinútili Microsoft prejsť na plnú podporu DNS.
DNS (Domain Name System - systém doménových mien) je implementovaný pomocou rovnomenného aplikačného protokolu, ktorý štandardne používa port 53. Systém DNS bol vyvinutý v rámci operačného systému UNIX a zodpovedajúca služba využívajúca DNS má rovnakú skratku, ale znamená Domain Name Service.
Mená v DNS sú zostavené hierarchicky vo forme obráteného stromu. Domény najvyššej úrovne (roots) sa delia podľa profesionálneho princípu (. com - commercial, . gov - state, . net - network, atď. nodes) alebo národného (. ru - Russian, . fi - finish, . fr - francúzština atď. d.). Operačný systém UNIX bol vyvinutý v USA a samozrejme sa predpokladalo, že sa tam nachádzajú všetky uzly. Teraz môžete vidieť napríklad dvojité názvy domén. com. tw - komerčný taiwanský.
Každá doména zase obsahuje subdoménu, ktorej názov je pridaný vľavo a oddelený bodkou atď.. Záznam končí pridaním názvu hostiteľa vľavo. Názov každej domény, subdomény alebo hostiteľa nesmie presiahnuť 63 znakov a celý názov nesmie presiahnuť 255 znakov. Na označenie mien sa tradične používa latinská abeceda, čísla a pomlčky (znak _ nie je povolený), ale v zásade je možné zaregistrovať doménu s názvom v azbuke, čo je však problematické.
Údaje o názvoch subdomén/hostiteľov registrovaných v ľubovoľnej doméne a ich IP adresách sú uložené v dvoch tabuľkách na DNS serveroch, ktoré obsahujú aj názov a adresu nadväzujúcej domény. Podľa prvej tabuľky je pre daný symbolický názov určená digitálna adresa (priama konverzia a podľa toho tzv. "priama zóna") a v druhej tabuľke sa na danej adrese nachádza symbolický názov (reverzný konverzia a „reverzná zóna“).
Pre zvýšenie spoľahlivosti musí mať každá doména aspoň 2 servery (primárny – primárny a sekundárny – záložný) a fyzicky musia byť tieto servery umiestnené v rôznych sieťach a nesmú sa nachádzať v doménach, ktorých názvy hostiteľov obsahujú.
Koreňová doména je podporovaná viac ako 10 servermi DNS, ktorých IP adresy a názvy sú „pevne zapojené“ do sieťových operačných systémov. Registráciu nových mien a prideľovanie zodpovedajúcich IP adries vykonáva vlastník domény. Napríklad registrácia domény. ru vyrába RosNIIROS, kde registrácia mena a získanie IP adresy bude stáť približne 50 USD a ročná podpora adries bude stáť 10 USD. Všetky zmeny v tabuľke názvov sa vykonávajú na primárnom DNS server, pohotovostné servery aktualizujú svoje záznamy iba podľa záznamov primárneho servera. Replikácia (aktualizácia) zóny sa vykonáva pomocou spoľahlivého TCP protokol, zatiaľ čo pre DNS dotazy klientov sa používa protokol UDP. Na urýchlenie procesu rozlíšenia názvov a zníženie prevádzky v sieti sa niekedy inštalujú takzvané vyrovnávacie servery DNS, ktoré zaznamenávajú často používané mená a adresy.Prevádzkový režim servera DNS môže byť rekurzívny a nerekurzívny. V prípade rekurzívneho režimu, ak nie je možné vyriešiť DNS dotaz, tento dotaz sa odošle na špeciálne špecifikovaný iný DNS server (forwarder - forfarders), ktorý potom vráti prijatú odpoveď. V nerekurzívnom režime - pri absencii informácií o požadovanom uzle sú kontaktované koreňové servery DNS a od nich v reťazci až do prijatia odpovede.
NAT (Network Address Translation - preklad sieťových adries) implementuje transformáciu (substitúciu) IP adries lokálnych sietí na externé IP adresy globálneho internetu. Potreba takejto transformácie vyplýva z dohody o používaní časti IP adries len v lokálnych sieťach (pozri bod 3.2), podľa ktorej smerovače WAN ničia pakety s týmito adresami.
NAT funguje na úrovni siete a čiastočne na úrovni prenosu, pričom zabezpečuje preklad adries uzlov lokálnej siete v paketoch IP na externú adresu. Transformácia sa vykonáva nahradením adresy interného uzla vonkajšou adresou. Adresy, ktoré sa majú nahradiť, sú uložené v tabuľke, ktorá sa používa na spätné nahradenie pri prijatí paketu odpovede. Treba si uvedomiť, že v záujme eliminácie možnej nerozlíšiteľnosti sa konvertuje nielen IP adresa, ale aj pomocou čísla portu PAT (Port Address Translation).
Okrem prekladu adries NAT znižuje potrebu IP adries pre globálne siete, pretože všetci používatelia lokálnej siete môžu pristupovať k globálnym sieťovým zdrojom prostredníctvom jednej externej adresy.
NAT nie je jediný spôsob, ako posielať pakety z lokálnej siete do globálnej siete, alternatívou k prekladu adries je použitie sprostredkovateľského servera.
SSH (Secure Shell) je sieťový protokol vzdialený prístup A, ktorý používa šifrovanie a kompresiu prenášaných údajov. Jednoducho povedané, ide o veľmi užitočný a výkonný nástroj, ktorý vám umožní autentifikovať sa v systéme a plne pracovať v jeho mene lokálny používateľ, ktorá je vzdialená mnoho kilometrov od bežiaceho stroja. Na rozdiel od telnetu a rsh SSH tiež šifruje všetku komunikáciu, takže všetky prenášané informácie zostanú dôverné.
Takže už máme nainštalovaný ssh a ssh-daemon je pridaný do automatického načítania pri štarte systému. Môžete ho ovládať príkazom:
service ssh stop|start|restart
Na Ubuntu alebo:
/etc/init.d/ssh (start|stop|reload|force-reload|restart|stav)
Na Debiane alebo:
systemctl start|stop|reštart sshd.service
V ArchLinuxe (po každej úprave konfigurácie je potrebné reštartovať). Balík obsahuje klienta a server.
Skúsme to v akcii! Najprv vytvorte priečinok ~/.ssh
mkdir ~/.ssh
Vygenerujte kľúče pre daného používateľa servera príkazom:
ssh-keygen (ako bežný používateľ).
Pri generovaní môžete nastaviť prístupovú frázu pre kľúč (najlepšie nastavenú a dlhú - potom aj keď získate kľúč, ale nepoznáte heslo pre kľúč, útočník sa nebude môcť prihlásiť), alebo môžete preskočte ho jednoduchým stlačením "Enter" - v tomto prípade sa heslo nikdy nebude pýtať. V priečinku ~/.ssh sa objavili rovnaké verejné a súkromné kľúče.
Nájdite si iný stroj (dokonca aj smartfón – v systéme Android existuje niekoľko skvelých klientov SSH, ako napríklad ConnectBot alebo JuiceSSH), nainštalujte naň ssh a pripojte sa k serveru pomocou príkazu:
Ak je všetko vykonané správne, bude požadované heslo používateľa a po zadaní sa ocitnete vo svojom systéme s pohľadom z príkazového riadku.
Pre Windows, mimochodom, existujú aj servery a ssh klienti.
Keď sme si užili výsledok našej práce, pristúpme k ešte nudnejšej časti – k nastaveniu klienta/servera.
Konfigurácia na strane klienta je zahrnutá /etc/ssh/ssh_config a server - /etc/ssh/sshd_config. Väčšina kompletný sprievodca pre konfiguráciu je pravdepodobne manuálová stránka - man ssh a man sshd_config, takže odporúčame prečítať si ju. A v tomto článku zvážime najpotrebnejšie veci.
Nastavenie
Štandardný ssh port je 22. Dá sa zmeniť na akýkoľvek neštandardný (komplikuje prípadný hack kvôli bezpečnosti cez nejasnosť, alebo aby upútal pozornosť potenciálnych hackerov :) - na to odkomentujte riadok:
#Port 22
A pridajte čokoľvek chcete až do 65535 (uistite sa, že port nie je v konflikte s inými službami s príkazom #netstat -tupln | grep POČÚVAŤ).
Teraz, keď sa pripájate k serveru, klient bude musieť písať pomocou kľúča:
ssh -p [port] :
V predvolenom nastavení je povolený prístup root. Je veľmi žiaduce ho obmedziť (a namiesto toho správne vymedziť práva lokálneho používateľa pomocou sudo). Ak to chcete urobiť, nájdite riadok "PermitRootLogin" a zmeňte hodnotu na "no". Môžete to tiež zmeniť na "bez hesla" - v tomto prípade bude prihlásenie ako root povolené iba zo zariadení s dôveryhodným kľúčom.
Môžete zakázať autentifikáciu heslom a pracovať iba s kľúčmi - nájdite riadok: "PasswordAuthentication" a zmeňte hodnotu na "no". Za čo? Ak niekto naozaj chce získať prístup k vášmu systému, môže buď hrubou silou vynútiť heslo pri pokuse o autorizáciu, alebo počúvať a dešifrovať vaše pripojenie. Ak zakážete autentifikáciu heslom a pridáte verejný kľúč svojho, napríklad pracovného notebooku, do ~/.ssh/authorized_keys na serveri, potom, ako si pamätáme, budeme okamžite vpustení na server. Čo ak však pracujete na cudzom počítači a potrebujete súrne získať prístup na ssh server, no ten nás nepustí podľa očakávania? Potom nemôžete zakázať autentifikáciu heslom, ale použite nástroj fail2ban. Stačí ho nainštalovať z vášho úložiska, potom použije predvolené nastavenia a minimálne ochráni váš ssh kanál pred útokmi hrubou silou. Viac o fail2ban - http://putty.org.ru/articles/fail2ban-ssh.html.
V prípade, že váš server má kľúče na odpálenie jadrových rakiet, môžete urobiť niečo takéto:
PermitRootLogin no - prihlásenie pod rootom je zakázané.
PasswordAuthentication no - prihláste sa bez hesla
Vygenerujme dlhý kľúč na vzdialenom počítači (-t typ_šifrovania, -b bitová dĺžka):
ssh-keygen -t rsa -b 4096
S rovnako zložitou prístupovou frázou (obnoviť zabudnuté heslo, mimochodom, je to nemožné. Môžete ho zmeniť príkazom "ssh-keygen -p", ale aj tak budete požiadaný o starý). Presuňte verejný kľúč vzdialeného lokálneho počítača do ~/.ssh/authorized_keys servera a voila, teraz k nemu môžete pristupovať z jedného počítača pomocou prístupovej frázy súkromného kľúča. SSH vám umožňuje nastaviť veľa bezpečnostných konfigurácií a má na to veľa špecifických nastavení – prečítajte si o nich v man.
Dve možnosti sshd_config slúžia na rovnaký účel:
LoginGraceTime- nastavuje čas, po ktorom sa spojenie preruší, ak nedôjde k autentifikácii.
MaxAuthTries- nastavuje počet neplatných pokusov o prihlásenie, po dosiahnutí ktorých sa spojenie ukončí.
MaxSessions- počet simultánnych relácií (ak je server váš) domáci počítač, ku ktorému sa chystáte pripojiť z univerzity alebo z práce, potom by bolo rozumné obmedziť počet relácií na jednu - odmietnuté prihlásenie sa v tomto prípade stane dôvodom na zvýšenie paranoje, generovanie nových kľúčov a zmenu heslo). Ak si však dáte pozor, môžete si všimnúť, že pri každom prihlásení na server sa zobrazí riadok „Posledné prihlásenie“. Okrem toho môžete pridať vlastnú uvítaciu správu - nájdite riadok "Banner" a namiesto žiadneho nastavte cestu k súboru s textom, ktorý sa prečíta a zobrazí po prihlásení.
Okrem iného môžete povoliť prihlásenie iba niektorým používateľom alebo všetkým okrem určitých používateľov:
AllowUsers user1- povoliť prihlásenie iba user1.
DenyUsers user1- povoliť všetkým okrem užívateľa1.
A podobné možnosti prístupu k určitým skupinám – AllowGroups a DenyGroups.
Môžete tiež preniesť reláciu X11 cez SSH. Ak to chcete urobiť, nájdite riadok "ForwardX11" a zmeňte hodnotu na "yes".
Nájdite podobný riadok v konfigurácii klienta - /etc/ssh/ssh_config a tiež ho zmeňte na "yes".
Teraz sa musíte pripojiť k serveru cez ssh s argumentom -X:
ssh -X [e-mail chránený]>
Aplikáciu môžete okamžite spustiť po pripojení:
ssh -X [e-mail chránený]"príloha"
Takto vyzerá spustený GIMP v relácii ssh:
Alebo môžete získať výstup z webovej kamery notebooku nič netušiaceho používateľa :)
Výpočty sa robia priamo na serveri a výstup sa prenáša na klientsky počítač (to znamená, aj keď samotný server nemá X11, grafické aplikácie možno vykresliť na vašom vzdialenom počítači). Táto schéma funguje pomerne pomaly (nezabudnite, že všetka prevádzka je dynamicky šifrovaná) – táto funkcia je však veľmi užitočná.
Súbory môžete kopírovať aj cez reláciu SSH – existuje na to jednoduchá utilita „scp“. Súbory môžete prenášať priamo v relácii ako zo servera na klienta:
scp [e-mail chránený]:/cesta/k/súboru/na/serveri /kam/kam/uložiť/na/miestnom/stroji
Takže z klienta na server:
scp cesta/k/súboru/klientovi [e-mail chránený]:/cesta/na/serveri
To je celkom výhodné, ak potrebujete skopírovať text alebo fotografiu, ale čo keď musíte pracovať s mnohými súbormi? Na tento účel existuje najpohodlnejšia vec - sshfs (k dispozícii na inštaláciu v úložiskách väčšiny systémov * nix).
Stačí nastaviť cestu rovnakým spôsobom ako scp:
sshfs [e-mail chránený]:/home/user /mnt/
A priečinok /home/user servera sa objaví v bode pripojenia /mnt lokálneho počítača!
Odpojenie sa vykonáva cez umount.
A na záver si povedzme o jednej málo známej funkcii. Ak vytvoríte súbor /.ssh/config a vyplňte ho takto:
meno hosťa]
meno hosťa
Používateľ [používateľské meno servera]
požadované možnosti
Páči sa mi to
ForwardX11 áno
Port 30000
Potom sa môžeme prihlásiť:
ssh [meno]
ssh -X -p 30 000 [e-mail chránený]
A všetky možnosti sa vyberú automaticky. S častou autentizáciou na konkrétnom serveri si teda tento proces v priebehu niekoľkých okamihov zjednodušíte.
Pokryli sme všetko (a ešte viac), čo potrebujete vedieť o SSH na každodenné použitie – naučili sme sa používať autentifikáciu kľúčom, chránili server hrubou silou a vo všeobecnosti sme opravili väčšinu potenciálnych dier. V skutočnosti môže SSH robiť mnoho ďalších vecí - napríklad tunelovanie a presmerovanie portov cez ssh reláciu, ale je nepravdepodobné, že by ste to ako najbežnejší používateľ niekedy použili. Dodatočné zdroje
Kniha podrobne rozoberá nastavenia sieťových služieb, ktoré vám umožnia vytvoriť server s požadovanou konfiguráciou a funkčnosťou založený na OS Linux. Môžete nastaviť akýkoľvek typ servera: od servera LAN po internetový server a server pre vzdialený prístup. Podrobne je popísaná administrácia Linuxu.
Prezentácia materiálu je založená na distribúciách Red Hat a Mandrake. Množstvo unikátnych informácií: spustenie Windows hier pod Linuxom a vytvorenie Linuxového servera pre herňu, nastavenie Dr. Web a AVP pre Linux, program na účtovanie prevádzky MRTG, systém ochrany a detekcie narušenia LIDS a mnoho ďalších. Osobitná pozornosť zameraná na bezpečnosť linuxových serverov. Samotný operačný systém Linux je opísaný dostatočne podrobne a je uvedená referenčná kniha jeho príkazov. Po prečítaní knihy sa stanete vlastníkom znalostí o konfigurácii a kompilácii jadra, vytváraní vlastných rpm balíčkov, interpreter príkazov bash, pomocou polí RAID. Spoznáte vnútorný svet Linuxu. Kniha je vhodná pre profesionálnych aj začínajúcich administrátorov, keďže prezentácia materiálu začína inštaláciou OS Linux a prvá kapitola popisuje hlavné sieťové technológie a protokoly (kurz Mladý administrátor).
Všetky záznamy uvedené v knihe sú v praxi skontrolované a umiestnené na priloženom CD. Okrem toho obsahuje veľa informácie o pozadí(HOWTO, RFC), ako aj články o Linuxe. Bohatá sada pomocných nástrojov a softvér pre server (Apache, MySQL, MRTG atď.).
kniha:
Sekcie na tejto stránke:
Služba Telnet poskytuje základnú emuláciu terminálu pre vzdialené systémy, ktoré podporujú protokol Telnet cez protokol TCP/IP. K dispozícii je emulácia terminálov Digital Equipment Corporation VT 100, Digital Equipment Corporation VT 52, TTY. Protokol Telnet je popísaný v RFC 854, ktorý nájdete na priloženom CD.
Akékoľvek príkazy spustené pomocou Telnet, sú spravované serverom telnet, nie lokálny počítač. Používateľ vidí iba výsledok týchto príkazov.
Ak chcete použiť Telnet, na vzdialenom počítači musí byť nainštalovaný démon telnet. Na počítači používateľa musí byť nainštalovaný klientsky program. Má takmer každý operačný systém nástroj telnet, čo je klient pre protokol telnet (pozri obrázok 8.2).
Služba Telnet bola a zostáva jedným z najpopulárnejších spôsobov vzdialeného prihlásenia a práce na vzdialenom počítači. Jeho hlavnou nevýhodou je, že akékoľvek informácie, vrátane hesiel, sa prenášajú ako čistý text bez akéhokoľvek šifrovania.
SSH (Secure Shell) je program, ktorý vám umožňuje prihlásiť sa na vzdialené počítače a vytvoriť šifrované spojenie. Existuje aj "zabezpečená" verzia telnetu, stelnet.
SSH používa kryptografiu verejného kľúča na šifrovanie spojenia medzi dvoma počítačmi a tiež na autentifikáciu používateľov.
Ryža. 8.2.Telnet klient pre Windows
Shell ssh možno použiť na bezpečné prihlásenie na vzdialený server alebo na kopírovanie údajov medzi dvoma počítačmi, pričom sa zabráni útokom uprostred (únos relácie) a spoofingu nameserverov (sledovanie DNS).
Secure Shell podporuje nasledujúce šifrovacie algoritmy:
BlowFish je 64-bitová schéma šifrovania. Tento algoritmus sa často používa na vysokorýchlostné šifrovanie veľkých objemov údajov.
Trojitý DES(Data Encryption Standard) – štandard pre šifrovanie dát. Tento algoritmus je dosť starý, preto sa neodporúča používať ho. Typicky sa DES používa na šifrovanie nie tajných údajov.
NÁPAD(International Data Encryption Algorithm) - medzinárodný algoritmus na šifrovanie informácií. Tento algoritmus pracuje so 128-bitovým kľúčom, a preto je bezpečnejší ako BlowFish a DES.
RSA(Rivest-Shamir-Adelmanov algoritmus) - Rivest-Shamir-Adelmanov algoritmus. Ide o šifrovaciu schému s verejnými a súkromnými kľúčmi.
Pri výbere šifrovacieho algoritmu musíte vychádzať z dôvernosti informácií, ktoré potrebujete preniesť. Ak sú informácie tajné, je lepšie použiť algoritmy IDEA alebo RSA. Ak jednoducho nechcete prenášať dáta v čistom stave, použite algoritmus BlowFish, pretože je oveľa rýchlejší ako DES.
Shell ssh je veľmi účinný proti snifferom protokolov, pretože nielen šifruje, ale aj komprimuje prenos predtým, ako ho odovzdá vzdialený počítač. Program ssh je možné stiahnuť z http://www.cs.hut.fi/ssh/. Verzia ssh pre UNIX je bezplatná, zatiaľ čo verzia pre Windows (čo znamená klient Windows) stojí peniaze.
Ssh shell je nevyhnutný v prípadoch, keď potrebujete spravovať server vzdialene alebo keď server nemá vlastný monitor. Pri používaní telnetu sú všetky údaje odoslané cez telnetové pripojenie dostupné ako čistý text. To znamená, že používateľské mená a heslá budú dostupné každému, kto počúva prevádzku pomocou analyzátora. ssh vykonáva šifrovanie pomocou niekoľkých rôznych algoritmov, vrátane DES a 3DES.
Program pozostáva z démona sshd, ktorý beží na počítači so systémom Linux/UNIX a klienta ssh, ktorý je distribuovaný pre Linux aj Windows. Ak chcete nainštalovať ssh, vezmite zdrojové kódy a umiestnite ich tradične do adresára /usr/src/. Potom rozbaľte archív a nainštalujte program podľa nasledujúcich krokov:
cd /usr/src/
tar xzf ssh-2.4.0.tar.gz
cd ssh-2.4.0
./configure
urobiť
vykonať inštaláciu
Aby ssh fungovalo, musíte spustiť démona sshd na počítači, ku ktorému sa chcete pripojiť. Pre automatické spustenie je vhodné pridať do spúšťacieho skriptu systému spúšťací príkaz. Démon sshd beží na porte 22 (pozri výpis 8.6). Ak sa nemýlim, ssh nie je možné použiť s xinetd/inetd – treba ho spustiť ako httpd server v samostatnom režime.
Výpis 8.6. Fragment súboru /etc/services
ssh 22/tcp # SSH Remote Login Protocol
ssh 22/udp # Protokol vzdialeného prihlásenia SSH
S nastavením sshd zvyčajne nie sú žiadne nepríjemné chvíle. Konfigurácia démona bude podrobne prediskutovaná neskôr v tejto kapitole. Teraz sa pokúste prihlásiť do tohto počítača cez ssh. Ak to chcete urobiť, musíte nainštalovať rovnaký balík na iný počítač so systémom Linux/UNIX (alebo nainštalovať klienta ssh systému Windows) a zadať príkaz:
$ ssh hostname.domain
ssh vás vyzve na zadanie hesla používateľa. Ako užívateľské meno na vytvorenie spojenia sa použije meno aktuálneho užívateľa, teda meno, pod ktorým ste práve prihlásený do systému. Ak je overenie úspešné, začne sa komunikačná relácia. Reláciu je možné ukončiť stlačením Ctrl+D.
Ak potrebujete zadať iné používateľské meno, použite voľbu -l programu ssh:
ssh –l user hostname.ru
Týmto spôsobom môžete programu ssh povedať, ktorý používateľ sa má na vzdialenom počítači prihlásiť (pozri obrázok 8.3).
Pri používaní klienta Windows je potrebné zadať názov počítača, meno používateľa a heslo v dialógovom okne programu. Ak pripojenie zlyhá, skúste zvoliť metódu kódovania blowfish. Ak to nepomôže, zvoľte 3DES.
Práca v ssh je podobná práci v telnete. Vzdialený počítač môžete spravovať rovnako jednoducho ako lokálny. Možnosti programu ssh sú uvedené v tabuľke 1. 8.5.
Obr.8.Z. Registrácia na vzdialenom počítači
možnosti programu ssh Tabuľka 8.5
| Možnosť | Popis |
|---|---|
| -a | Zakáže presmerovanie overenia agenta pripojenia |
| -ALE | Povolí presmerovanie overenia agenta pripojenia |
| -c blowfish|3des | Umožňuje vybrať šifrovací algoritmus pri použití prvej verzie protokolu SSH. Môžete zadať buď blowfish alebo 3des |
| - so šifrou | Určuje zoznam šifier oddelených čiarkami v poradí podľa preferencie. Iba pre druhú verziu protokolu SSH. Platné hodnoty sú blowfish, twofish, arcfour, cast, des a 3des |
| -f | Táto možnosť zmení ssh na režim na pozadí po overení používateľa. Na spustenie programu sa odporúča použiť X11. Napríklad ssh -f hostxterm |
| -i | file-ident Určuje neštandardný identifikačný súbor (pre neštandardné overenie RSA/DSA) |
| -l užívateľské meno | Určuje, v mene ktorého používateľa sa vykoná registrácia na vzdialenom počítači |
| -r port | Určuje port, ku ktorému sa program ssh pripojí (predvolene sa používa port 22) |
| -q | Tichý režim. Zobrazia sa len fatálne chybové hlásenia. Všetky ostatné varovné správy sa nevytlačia na štandardný výstup. |
| -X | Zakázať presmerovanie X11 |
| -X | Povoliť presmerovanie X11 |
| -1 | Používajte iba prvú verziu protokolu SSH |
| -2 | Používajte iba druhú verziu protokolu SSH |
| -4 | |
| -6 |
Ssh shell používa dva konfiguračné súbory ssh_conf a sshd_conf. Myslím, že nemá zmysel tvrdiť, že sú v adresári /etc/ssh. Odporúčam pridať nasledujúci riadok do súboru sshd_conf:
povolená adresa 10.1.1.1 10.1.2.1 10.1.3.1
To znamená, že ssh prístup je možné vykonať iba zo strojov s adresami 10.1.1.1, 10.1.2.1, 10.1.3.1. To ochráni váš počítač pred nechcenými prienikmi zvonku.
Program stelnet je úplne podobný programu telnet vo všetkom, ale šifruje prenos, ktorý sa prenáša počas pripojenia telnet.
Démon sshd je démonický program pre shell ssh. Sshd zvyčajne beží na počítači, ku ktorému sa pripájajú klienti ssh. Najnovšie verzie Démon sshd podporuje dve verzie protokolu ssh – ssh verzia 1 a ssh verzia 2.
Verzia protokolu SSH 1
Každý uzol má svoj vlastný kľúč RSA (zvyčajne 1024 bitov), ktorý sa používa na identifikáciu uzla. Tento kľúč sa tiež nazýva verejný kľúč. Okrem toho sa pri spustení démona vygeneruje ďalší kľúč RSA - kľúč servera (zvyčajne 768 bitov). Tento kľúč sa vytvára každú hodinu a nikdy sa neuloží na disk.
Zakaždým, keď sa vytvorí spojenie s klientom, démon odošle späť svoj verejný kľúč a kľúč servera ako odpoveď. Klient porovná prijatý verejný kľúč so svojou databázou, aby zistil, či sa zmenil. Klient potom náhodne vygeneruje 256-bitové číslo a zakóduje ho pomocou dvoch kľúčov súčasne – verejného kľúča a kľúča servera. Obe strany používajú toto náhodné číslo ako kľúč relácie, ktorý sa používa na kódovanie všetkých údajov prenášaných počas relácie.
Klient sa potom pokúsi autentifikovať pomocou autentifikácie .rhosts, autentifikácie RSA alebo autentifikácie heslom.
Overenie .rhosts zvyčajne nie je bezpečné, a preto je zakázané.
Verzia protokolu SSH 2
Verzia 2 funguje podobne: každý uzol má špecifický kľúč DSA, ktorý sa používa na identifikáciu uzla. Keď sa však démon spustí, kľúč servera sa nevygeneruje. Bezpečnosť spojenia je zabezpečená dohodou o kľúči Diffie-Hellman.
Reláciu je možné zakódovať pomocou nasledujúcich metód: 128-bitový AES, Blowfish, 3DES, CAST128, Arcfour, 192-bitový AES alebo 256-bitový AES.
Možnosti démona sshd sú uvedené v tabuľke 1. 8.6.
Možnosti démona sshd Tabuľka 8.6
| Možnosť | Popis |
|---|---|
| -b bitov | Určuje počet bitov pre kľúč servera (predvolené 768). Táto možnosť možno použiť iba vtedy, ak používate protokol SSH verzie 1 |
| -d | Režim ladenia (DEBUG). V tomto režime server neprechádza do pozadia a svoje akcie podrobne zaznamenáva do systémového denníka. Použitie tejto možnosti je užitočné najmä vtedy, keď sa učíte, ako server funguje. |
| -e | Ak je zadaná táto voľba, démon sshd neposiela ladiace správy do syslogu, ale do štandardného chybového prúdu. |
| -f konfiguračný_súbor | Súpravy alternatívny súbor konfigurácia. Predvolená hodnota je /etc/ssh/sshd_config |
| -g čas | Poskytuje neoverenému klientovi dodatočný čas na autentifikáciu. Predvolený čas je 600 sekúnd. Ak sa klient počas tejto doby nebude môcť autentifikovať, spojenie sa ukončí. Hodnota 0 sa interpretuje ako nekonečné čakanie |
| -h | keyfile Určuje alternatívny súbor verejného kľúča (hostiteľský kľúč). Predvolený súbor je /etc/ssh/ssh_host_key. Táto voľba môže byť potrebná na to, aby sshd mohol bežať ako čokoľvek iné ako root. Bežným používaním tejto možnosti je tiež spustenie sshd zo skriptov, ktoré špecifikujú rôzne nastavenia v závislosti od času dňa. Napríklad počas dňa (pracovného) času sú nastavené niektoré možnosti a vo večernom (pracovnom) čase iné |
| -i | Používa sa, ak chcete spustiť sshd cez superserver xinetd (inetd). Normálne démona sshd nespúšťa superserver xinetd (inetd), ale spúšťa sa pri zavádzaní systému, pretože démon sshd potrebuje nejaký čas (10 sekúnd) na vygenerovanie kľúča servera, aby mohol odpovedať na požiadavky klientov. |
| -k čas | Určuje čas, po ktorom sa kľúč servera vygeneruje. Predvolený čas je 3600 sekúnd (1 hodina). Túto možnosť je možné použiť iba vtedy, ak používate protokol SSH verzie 1 |
| -r port | Určuje alternatívny port, na ktorom bude démon sshd počúvať. Predvolený port je 22 |
| -q Tichý režim. | V tomto režime sa protokolovanie relácie nevykoná. Zvyčajne sa zaznamenáva začiatok overenia, výsledok overenia a čas ukončenia relácie. |
| -t | Testovací mód. Tento režim slúži na kontrolu správnosti konfiguračného súboru |
| -D | Pri tejto možnosti démon neprejde do pozadia |
| -4 | Adresy IP môžete použiť iba vo formáte IPv4 |
| -6 | Adresy IP môžete použiť iba vo formáte IPv6 |
Konfiguračný súbor démona /etc/ssh/sshd_config vyzerá podobne ako výpis 8.7
Výpis konfiguračného súboru 8.7 /etc/ssh/sshd_config
# $OpenBSD: sshd_config,v 1.38 2001/04/15 21:41:29 deraadt Exp $
# Tento sshd bol skompilovaný s PATH=/usr/bin:/bin:/usr/sbin:/sbin
# Toto je celosystémový konfiguračný súbor servera sshd. Pozri sshd(8)
# Pre viac informácií.
Prístav 22
#Protokol 2.1
# ListenAddress 0.0.0.0
# ListenAddress::
HostKey /etc/ssh/ssh_host_key
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
ServerKeyBits 768
LoginGraceTime 600
KeyRegenerationInterval 3600
PermitRootLogin áno
#
# Nečítajte súbory ~/.rhosts a ~/.shosts
IgnorovaťRhosts áno
# Odkomentujte, ak neveríte ~/.ssh/known_hosts pre
RhostsRSAAutentifikácia
# IgnoreUserKnownHosts áno
StrictModes áno
X11 Preposielanie áno
X11DisplayOffset 10
PrintMotd áno
# PrintLastLog č
Keep Alive áno
# Logovanie
SyslogFacility AUTHPRIV
LogLevel INFO
# zastarané QuietMode a FascistLogging
RhostsAuthentication č
#
# Aby to fungovalo, budete tiež potrebovať kľúče hostiteľa v /etc/ssh/
ssh_known_hosts
RhostsRSAAOverovacie č
# podobný protokolu verzie 2
Host-basedAuthentication č
#
RSAA autentifikácia áno
# Ak chcete zakázať tunelované heslá vo forme čistého textu, zmeňte tu na nie!
Overenie hesla áno
PovolenieEmptyHeslá č
# Zrušte komentár, ak chcete deaktivovať heslá s/key
# ChallengeResponseAuthentication č
# Odkomentujte, aby ste povolili interaktívne overovanie pomocou klávesnice PAM
# Upozornenie: Povolenie môže obísť nastavenie "Overenie heslom"
# PAMAuthenticationViaKbdInt áno
# Ak chcete zmeniť možnosti protokolu Kerberos
# KerberosAutentifikácia č
# KerberosOrLocalPasswd áno
# AFSTokenPassing č
# KerberosTicketCleanup č
# Kerberos TGT Passing funguje iba s AFS kaserverom
# KerberosTgtPassing áno
# CheckMail áno
# PoužiťPrihlásenie č
# Max Startups 10:30:60
# Banner /etc/issue.net
# ReverseMappingCheck áno
Podsystém sftp/usr/libexec/openssh/sftp-server
MINISTERSTVO DOPRAVY A KOMUNIKÁCIÍ UKRAJINY
ODESSKÁ NÁRODNÁ AKADÉMIA KOMUNIKÁCIÍ ich. A.S. POPOVA
Katedra komunikačných sietí
abstraktné
na tému: "Protokoly SSH, CMIP, Telnet"
Odessa 2013
- Normy a implementácie softvéru
- SSH servery
- SSH klienti a shelly
- Bezpečnostné tipy SSH
- Príklady použitia SSH
- tunelovanie SSH
- Technické informácie o protokole
Kľúčové vlastnosti protokolu CMIP
Protokol CMIP a služby CMIS
Filtrácia
Synchronizácia
- Zariadenie
- možnosti
- NVT tlačiareň a klávesnica
- Štruktúra príkazov Telnet
- Aplikácie
- Bezpečnosť
- Telnet a iné protokoly
Normy a implementácie softvéru
SSH (anglicky Secure SHell – „zabezpečený shell“) – sieťový protokol na úrovni aplikácie, ktorý vám umožňuje vytvárať diaľkové ovládanie operačný systém a tunelovanie TCP spojení (napr. na prenos súborov). Funkčnosťou je podobná protokolom Telnet a rlogin, ale na rozdiel od nich šifruje všetku komunikáciu vrátane prenášaných hesiel. SSH umožňuje výber rôznych šifrovacích algoritmov. Klienti SSH a servery SSH sú k dispozícii pre väčšinu sieťových operačných systémov.
SSH vám umožňuje bezpečne prenášať takmer akýkoľvek iný sieťový protokol v nezabezpečenom prostredí. Môžete teda nielen pracovať na diaľku na počítači prostredníctvom príkazového shellu, ale aj prenášať audio stream alebo video cez šifrovaný kanál (napríklad z webovej kamery). SSH dokáže využiť aj kompresiu prenášaných dát na následné šifrovanie, čo je výhodné napríklad pre vzdialené spúšťanie klientov X WindowSystem.
Väčšina poskytovateľov hostingu poskytuje zákazníkom za poplatok SSH prístup k ich domovskému adresáru. To môže byť výhodné pre prácu v príkazovom riadku aj pre vzdialené spúšťanie programov (vrátane grafických aplikácií).
Prvú verziu protokolu, SSH-1, vyvinul v roku 1995 výskumník Tatu Ulyonen z Helsinskej technickej univerzity (Fínsko). SSH-1 bol napísaný tak, aby bol dôvernejší ako protokoly rlogin, telnet a rsh. V roku 1996 bola vyvinutá bezpečnejšia verzia protokolu SSH-2, ktorá nie je kompatibilná s SSH-1. Protokol si získal ešte väčšiu obľubu a do roku 2000 mal približne dva milióny používateľov. V súčasnosti sa výraz „SSH“ zvyčajne vzťahuje na SSH-2, pretože. prvá verzia protokolu sa pre značné nedostatky v súčasnosti prakticky nepoužíva.
V roku 2006 bol protokol schválený pracovná skupina IETF ako internetový štandard.
V niektorých krajinách (Francúzsko, Rusko, Irak a Pakistan) sa však na používanie určitých metód šifrovania vrátane SSH stále vyžaduje špeciálne povolenie príslušných orgánov.
Bežné sú dve implementácie SSH: súkromná komerčná a bezplatná. Bezplatná implementácia sa nazýva OpenSSH. Do roku 2006 používalo OpenSSH 80 % počítačov na internete. Súkromnú implementáciu vyvíja SSH Communications Security, 100% dcérska spoločnosť Tectia Corporation, a je bezplatná na nekomerčné použitie. Tieto implementácie obsahujú takmer rovnakú sadu pokynov.
Protokol SSH-2, na rozdiel od protokolu telnet, je odolný voči útokom na sledovanie prevádzky, ale nie je odolný voči útokom typu man-in-the-middle. Protokol SSH-2 je odolný aj voči útokom pripojením sa uprostred (anglicky sessionhijacking), keďže nie je možné pripojiť sa k už vytvorenej relácii alebo ju zachytiť.
Aby sa zabránilo útokom typu man-in-the-middle, pri pripájaní k hostiteľovi, ktorého kľúč klient ešte nepozná, klientsky softvér zobrazí používateľovi „odtlačok kľúča“ (anglicky keyfingerprint). Odporúča sa starostlivo skontrolovať „kľúčovú formu“ zobrazenú klientskym softvérom so snímkou kľúča servera, najlepšie získanou prostredníctvom spoľahlivých komunikačných kanálov alebo osobne.
Podpora SSH je implementovaná vo všetkých systémoch podobných UNIX a väčšina z nich má ssh klienta a server ako štandardné nástroje. Existuje mnoho implementácií klientov SSH aj pre operačné systémy iné ako UNIX. Protokol si získal veľkú obľubu po rozšírenom vývoji analyzátorov prevádzky a metód na narúšanie lokálnych sietí ako alternatíva k nezabezpečenému protokolu Telnet na správu dôležitých uzlov.
SSH vyžaduje server SSH a klienta SSH. Server počúva pripojenia z klientskych počítačov a po vytvorení pripojenia vykoná autentifikáciu, po ktorej začne obsluhovať klienta. Klient sa používa na prihlásenie do vzdialeného počítača a vykonávanie príkazov.
Ak sa chcete pripojiť, server a klient musia vytvoriť páry kľúčov – verejný a súkromný – a vymeniť si verejné kľúče. Zvyčajne sa používa aj heslo.
SSH servery
*BSD: OpenSSH
Linux: dropbear, lsh-server, openssh-server, ssh
Windows: freeSSHd, copssh, WinSSHD, KpyM Telnet/SSH Server, MobaSSH, OpenSSH cez Cygwin
SSH klienti a shelly
GNU/Linux, *BSD: kdessh, lsh-client, openssh-client, putty, ssh, Vinagre
· MS Windows a Windows NT: PuTTY, SecureCRT, ShellGuard, Axessh, ZOC, SSHWindows, ProSSHD, XShell
PANI Windows Mobile: PocketPuTTy, mToken, sshCE, PocketTTY, OpenSSH, PocketConsole
Mac OS: NiftyTelnet SSH
SymbianOS: PuTTY
Java: MindTerm, AppGateSecurityServer
J2ME: MidpSSH
iPhone: i-SSH, ssh (zahŕňa terminál)
Android: connectBot
Blackberry: BBSSH
MAEMO 5: OpenSSH
Bezpečnostné tipy SSH
3. Výber neštandardného portu pre SSH server.
4. Použitie dlhých kľúčov SSp RSA (2048 bitov alebo viac). Šifrovacie systémy založené na RSA sa považujú za bezpečné, ak je dĺžka kľúča aspoň 1024 bitov.
5. Obmedzenie zoznamu IP adries, z ktorých je povolený prístup (napríklad nastavením firewallu).
7. Odmietnutie používania bežných alebo dobre známych systémových prihlásení pre SSH prístup.
8. Pravidelne kontrolujte chybové hlásenia autentifikácie.
9. Inštalácia systémov detekcie narušenia.
10. Používanie pascí, ktoré falšujú službu SSH (honeypoty).
Príklady použitia SSH
Príkaz na pripojenie k lokálnemu serveru SSH z príkazového riadku GNU/Linux alebo FreeBSD pre používateľa pacify (server počúva na neštandardnom porte 30000): $ ssh -p 30000 [e-mail chránený]
Generovanie párov kľúčov (na operačných systémoch podobných UNIX) sa vykonáva príkazom $ ssh-keygen
Generovanie páru kľúčov SSH-2 RSA s dĺžkou 4096 bitov pomocou puttygen pod OS podobným UNIX:
$ puttygen -t rsa -b 4096 -o vzorka
Niektorí klienti, ako napríklad PuTTY, majú aj grafické používateľské rozhranie.
Na použitie SSH v Pythone existujú moduly ako python-paramiko a python-twisted-conch.
tunelovanie SSH
Tunel SSH je tunel vytvorený cez pripojenie SSH a používaný na šifrovanie tunelovaných údajov. Používa sa na zabezpečenie prenosu dát na internete. Pri preposielaní cez tunel SSH je nešifrovaná prevádzka ľubovoľného protokolu šifrovaná na jednom konci pripojenia SSH a dešifrovaná na druhom konci. Praktická implementácia môže byť vykonaná niekoľkými spôsobmi:
Vytvorenie servera Socks proxy pre aplikácie, ktoré nevedia, ako pracovať cez tunel SSH, ale môžu pracovať cez proxy server Socks
· Používanie aplikácií, ktoré môžu pracovať cez tunel SSH.
· Vytvorenie VPN tunela, vhodného pre takmer akúkoľvek aplikáciu.
· Ak aplikácia pracuje s jedným konkrétnym serverom, môžete nakonfigurovať klienta SSH tak, aby prechádzal cez tunel SSH TCP pripojenia, ktoré prichádzajú na špecifický port TCP počítača, na ktorom je spustený klient SSH. Napríklad klienti Jabber sa štandardne pripájajú na port 443. Potom, aby bolo možné nastaviť pripojenie k serveru Jabber cez tunel SSH, klient SSH je nakonfigurovaný tak, aby posielal pripojenia z ľubovoľného portu na lokálnom počítači na vzdialený server: $ ssh -L 4430:jabber.example.com:443 somehost. V tomto prípade je klient Jabber nakonfigurovaný na pripojenie k portu 4430 servera localhost (ak klient ssh beží na rovnakom počítači ako klient Jabber). Na vytvorenie ssh tunela potrebujete počítač so spusteným ssh serverom a prístupom na jabber.example.com. Túto konfiguráciu možno použiť, ak je prístup na jabber.example.com z lokálneho počítača blokovaný bránou firewall, ale existuje prístup k nejakému serveru ssh, ktorý nemá žiadne obmedzenia prístupu na internet.
Technické informácie o protokole
SSH je protokol aplikačnej vrstvy. Server SSH zvyčajne počúva pripojenia na porte TCP 22. Špecifikácia protokolu SSH-2 je obsiahnutá v RFC 4251. SSH používa protokol strany autentifikácie založený na algoritmoch digitálneho podpisu RSA alebo DSA na autentifikáciu servera. Na autentifikáciu klienta možno použiť aj digitálny podpis RSA alebo DSA, ale povolená je aj autentifikácia heslom (spätne kompatibilná s režimom Telnet) a dokonca aj IP adresa hostiteľa (spätne kompatibilná s rlogin). Autentifikácia heslom je najbežnejšia; je bezpečný, pretože heslo sa prenáša cez šifrovaný virtuálny kanál. Autentifikácia pomocou IP adresy nie je bezpečná, táto funkcia je najčastejšie zakázaná. Algoritmus Diffie-Hellman (DH) sa používa na vytvorenie zdieľaného tajomstva (kľúč relácie). Na šifrovanie prenášaných dát sa používa symetrické šifrovanie, algoritmy AES, Blowfish alebo 3DES. Integrita údajov sa overuje pomocou CRC32 v SSp alebo HMAC-SHA1/HMAC-MD5 v SSp. Na kompresiu šifrovaných údajov je možné použiť algoritmus LempelZiv (LZ77), ktorý poskytuje rovnakú úroveň kompresie ako archív ZIP. Kompresia SSH je povolená iba na žiadosť klienta av praxi sa používa zriedka.
Kľúčové vlastnosti protokolu CMIP
CMIP implementuje celý súbor služieb CMIS. S týmito službami podporuje CMIP nasledujúcu službu vzdialenej prevádzky:
Žiadosť (vyvolanie);
Vrátiť výsledok;
Vráti chybu;
Odmietnutie žiadosti používateľom služby;
Zamietnutie žiadosti poskytovateľom služby.
Riadiace informácie od manažéra k agentovi prenášané cez protokol CMIP sú kódované v súlade s pravidlami ASN.1 a BER.
Pre každú operáciu je definovaný formát dátového bloku prenášaného cez sieť od manažéra k agentovi a naopak.
Formát CMIP PDU je opísaný notáciou ASN.1 a má oveľa zložitejšiu štruktúru ako bloky SNMP. Napríklad dátový blok operácie M-GET má polia na zadanie názvov atribútov, ktorých hodnoty manažér požaduje, ako aj polia na zadanie parametrov prehliadania a filtrovania. K dispozícii sú tiež polia pre špecifikáciu parametrov prístupových práv k objektu.
Použitie protokolu CMIP určuje pomerne vysokú počiatočnú úroveň zložitosti riadiaceho systému, pretože na jeho prevádzku je potrebné implementovať množstvo pomocných služieb, objektov a databáz objektov.
Oznámenia agentov CMIP sa vždy prenášajú pomocou spoľahlivého prenosového protokolu a v prípade straty sa prenesú znova.
Protokol CMIP je určený pre agentov, ktorí môžu vykonávať komplexnú postupnosť akcií na jeden jednoduchý príkaz od manažéra.
Protokol CMIP je oveľa lepšie škálovateľný, pretože môže ovplyvniť niekoľko objektov naraz a odpovede agentov prechádzajú cez filtre, ktoré obmedzujú prenos riadiacich informácií len na určitých agentov a manažérov. Protokol CMIP, čo je interakčný protokol medzi agentmi a manažérmi systému riadenia OSI, vám umožňuje okamžite pôsobiť na skupinu agentov pomocou jediného príkazu pomocou možností, ako je prehliadanie a filtrovanie.
MIB pre protokol CMIP nemajú jednotný štandard a každý výrobca telekomunikačných zariadení ich vyvíja len pre svoje potreby. vlastné vybavenie. Jedinou výnimkou je štandard MIB pre prenosové systémy G.722, G.774.
Protokol CMIP a služby CMIS
Prístup k riadiacim informáciám uloženým v riadených objektoch je zabezpečený prostredníctvom prvku riadiaceho systému nazývaného CMSIE (Common Management Information Service Element). Služba CMSIE je postavená na architektúre distribuovanej aplikácie, kde niektoré funkcie vykonáva manažér a niektoré agent. Interakcia medzi manažérom a agentom sa uskutočňuje pomocou protokolu CMIP. Služby poskytované službou CMSIE sa nazývajú CMIS (Common Management Information Services).
Protokol CMIP a služby CMIS sú definované v štandardoch X.710 a X.711 ITU-T. Služby CMIS sú rozdelené do dvoch skupín, manažérom iniciované služby (požiadavky) a agentom iniciované služby (notifikácie).
Služby iniciované manažérom zahŕňajú nasledujúce činnosti:
· M-CREATE prikáže agentovi vytvoriť novú inštanciu objektu určitej triedy alebo nový atribút v rámci inštancie objektu;
· M-DELETE prikáže agentovi vymazať nejakú inštanciu objektu určitej triedy alebo atribútu v rámci inštancie objektu;
· M-GET prikáže agentovi vrátiť hodnotu niektorého atribútu konkrétnej inštancie objektu;
· M-SET prikáže agentovi zmeniť hodnotu niektorého atribútu určitej inštancie objektu;
· M-ACTION dáva pokyn agentovi vykonať špecifickú akciu na jednej alebo viacerých inštanciách objektu.
Agent spustí iba jednu operáciu:
M-EVENT_REPORT - poslať upozornenie manažérovi.
Na implementáciu svojich služieb musí služba CMISE využívať služby aplikačnej vrstvy zásobníka OSI - ACSE, ROSE.
Rozdiel medzi službami CMIS a podobnými službami SNMP je väčšia flexibilita. Zatiaľ čo požiadavky SNMP GET a SET sa vzťahujú len na jeden atribút jedného objektu, požiadavky M-GET, M-SET, M-ACTION a M-DELETE sa môžu vzťahovať na viac ako jeden objekt. Na tento účel štandardy CMIP/CMIS zavádzajú koncepty, ako je rozsah, filtrovanie a synchronizácia.
Preskúmanie
Dotaz CMISE môže použiť prehľadávanie na dopytovanie viacerých objektov súčasne. Zavádzajú sa štyri úrovne kontroly:
· základný objekt definovaný jeho rozlišovacím názvom FDN;
predmety nachádzajúce sa na n-tá úroveň podriadenosť vzhľadom na základné zaradenie do stromu;
základný objekt a všetky objekty nachádzajúce sa na jeho podriadených úrovniach až po n-tú (vrátane) v strome zahrnutia;
podstrom - základný objekt a všetky jeho podriadené v strome zahrnutia.
Filtrácia
Filtrovanie spočíva v aplikovaní boolovského výrazu na požiadavku manažéra. Dotaz sa aplikuje len na tie objekty a ich atribúty, pre ktoré je daný booleovský výraz pravdivý. Booleovské výrazy môžu obsahovať relačné operátory =>,<=,<,>alebo určité atribúty. Je možné zostaviť komplexné filtre založené na kombinácii niekoľkých filtrov do jedného kompozitného.
Synchronizácia
Pri dopytovaní viacerých objektov sa používa jedna z dvoch schém synchronizácie: atómová alebo kedykoľvek je to možné. Pri atómovej schéme sa dotaz vykoná len vtedy, ak všetky objekty v rozsahu prehľadávania alebo filtra dokážu dotaz úspešne dokončiť. Synchronizácia „keď je to možné“ znamená prenos požiadavky na všetky objekty, na ktoré sa žiadosť vzťahuje. Operácia je dokončená, keď dotaz vykoná ľubovoľný počet objektov.
Protokol CMIP je súbor operácií, ktoré priamo zodpovedajú službám CMIS. Protokol CMIP teda definuje operácie M-GET, M-SET, M-CREATE atď. Pre každú operáciu je definovaný formát dátového bloku prenášaného cez sieť od manažéra k agentovi a naopak. Formát CMIP PDU je opísaný notáciou ASN.1 a má oveľa zložitejšiu štruktúru ako bloky SNMP. Napríklad dátový blok operácie M-GET obsahuje polia na zadanie názvov atribútov, ktoré manažér požaduje, ako aj polia na zadanie možností prehliadania a filtrovania, ktoré definujú množinu inštancií objektov, ktoré budú touto požiadavkou ovplyvnené. . K dispozícii sú tiež polia pre špecifikáciu parametrov prístupových práv k objektu.
Porovnanie protokolov SNMP a CMIP
Použitie protokolu SNMP vám umožňuje budovať jednoduché aj zložité systémy riadenia a použitie protokolu CMIP určuje určitú, pomerne vysokú počiatočnú úroveň zložitosti systému riadenia, pretože na jeho fungovanie je potrebné implementovať množstvo pomocných služieb, objektov a databáz objektov.
· Agenti CMIP zvyčajne vykonávajú zložitejšie funkcie ako agenti SNMP. Z tohto dôvodu sú operácie, ktoré môže manažér vykonávať na agentovi SNMP, atómovej povahy, čo vedie k viacerým výmenám medzi manažérom a agentom.
· Pasce agentov SNMP sa odosielajú manažérovi bez čakania na potvrdenie, čo môže spôsobiť, že dôležité problémy v sieti ostanú nepovšimnuté, pretože zodpovedajúca pasca sa stratí, zatiaľ čo pasce agentov CMIP sa vždy prenášajú pomocou spoľahlivého prenosového protokolu a v prípade straty sa prenesú znova .
· Niektoré problémy SNMP je možné vyriešiť použitím inteligentnejších MIB (ktoré zahŕňajú RMON MIB), ale pre mnohé zariadenia a situácie takéto MIB neexistujú (alebo neexistuje žiadny štandard, alebo v spravovanom zariadení nie je zodpovedajúci MIB) .
· Protokol CMIP je určený pre inteligentných agentov, ktorí dokážu vykonať komplexnú postupnosť akcií na jeden jednoduchý príkaz od manažéra.
· Protokol CMIP je oveľa lepšie škálovateľný, pretože môže ovplyvniť niekoľko objektov naraz a odpovede agentov prechádzajú cez filtre, ktoré obmedzujú prenos riadiacich informácií len na niektorých agentov a manažérov.
prevádzkový text sieťového protokolu
TELNET(angl. TERminaLNETwork) je sieťový protokol na implementáciu textového rozhrania cez sieť (v modernej podobe s využitím transportu TCP). Názov „telnet“ používajú aj niektoré nástroje, ktoré implementujú klientsku stranu protokolu. Aktuálny štandard protokolu je opísaný v RFC 854.
Vykonáva funkcie protokolu aplikačnej vrstvy modelu OSI.
Účelom protokolu TELNET je poskytnúť pomerne všeobecný, obojsmerný, osembitový, bajtovo orientovaný prostriedok komunikácie. Jeho hlavným účelom je umožniť koncovým zariadeniam a terminálovým procesom vzájomnú komunikáciu. Predpokladá sa, že tento protokol možno použiť na komunikáciu medzi terminálmi ("prepojenie") alebo komunikáciu medzi procesmi ("distribuované výpočty").
Zariadenie
Hoci relácia Telnet má samostatnú stranu klienta a stranu servera, protokol je v skutočnosti úplne symetrický. Po nadviazaní transportného spojenia (zvyčajne TCP) hrajú oba jeho konce úlohu „sieťových virtuálnych terminálov“ (English Network Virtual Terminal, NVT), pričom si vymieňajú dva typy údajov:
· Údaje aplikácie (t. j. údaje, ktoré prechádzajú od používateľa do textovej aplikácie na strane servera a naopak);
· Príkazy protokolu Telnet, ktorých špeciálnym prípadom sú voľby, ktoré slúžia na objasnenie možností a preferencií strán.
Aj keď je relácia Telnet cez TCP vo svojej podstate plne duplexná, s NVT by sa malo predvolene zaobchádzať ako s poloduplexným zariadením pracujúcim v režime vyrovnávacej linky.
Dáta aplikácie prechádzajú protokolom bez zmien, to znamená, že na výstupe druhého virtuálneho terminálu vidíme presne to, čo bolo zadané na vstupe prvého. Z hľadiska protokolu sú dáta jednoducho sekvenciou bajtov (oktetov), štandardne patriacich do množiny ASCII, ale so zapnutou voľbou Binary môžu byť ľubovoľné. Hoci boli navrhnuté rozšírenia na identifikáciu znakovej sady, v praxi sa nepoužívajú. Všetky hodnoty oktetu údajov aplikácie okrem \377 (desatinné 255) sa prenesú cez prenos tak, ako sú. Oktet \377 sa prenáša ako sekvencia dvoch oktetov \377\377. Je to preto, že oktet \377 používa transportná vrstva na kódovanie volieb.
možnosti
Protokol štandardne poskytuje minimálnu funkčnosť a sadu možností, ktoré ju rozširujú. Zásada stanovených možností vyžaduje, aby sa rokovania uskutočnili vtedy, keď je zahrnutá každá z možností. Jedna strana iniciuje požiadavku a druhá strana môže ponuku prijať alebo odmietnuť. Ak je žiadosť prijatá, možnosť nadobudne účinnosť okamžite. Možnosti sú popísané oddelene od samotného protokolu a ich podpora softvérom je ľubovoľná. Protokolový klient (sieťový terminál) dostane pokyn, aby odmietol požiadavky na zahrnutie nepodporovaných a neznámych možností.
NVT tlačiareň a klávesnica
Tlačiareň NVT má nedefinovanú šírku vozíka a dĺžku strany a musí reprezentovať všetkých 95 vytlačiteľných znakov US-ASCII (kódy 32 až 126). Riadiace znaky majú nasledujúci význam:
|
názov |
Popis |
||
|
Žiadna operácia |
|||
|
Posunie tlačiareň na ďalší tlačový riadok, pričom zostane v rovnakej horizontálnej polohe. |
|||
|
Carriage Return (CR) * |
Presunie tlačiareň k ľavému okraju aktuálneho riadku. |
||
|
Vytvára zvukový alebo obrazový signál (ale NEPOHYBUJE hlavu tlačiarne). |
|||
|
Posunie hlavu tlačiarne o jeden znak smerom k ľavému okraju. |
|||
|
Vodorovná karta (HT) |
Presunie tlačiareň na ďalšiu horizontálnu zarážku. Zostáva nešpecifikované, ako strana definuje a nastavuje tieto zarážky. |
||
|
Vertikálna karta (VT) |
Presunie tlačiareň na ďalšiu zvislú zarážku. Zostáva nešpecifikované, ako strana definuje a nastavuje tieto zarážky. |
||
|
Presunie tlačiareň na hornú časť ďalšej strany, pričom zostane v rovnakej horizontálnej polohe. |
Vyžaduje sa podpora činnosti znakov označených ako *. Iní môžu vykonať danú akciu alebo nevykonajú žiadnu; od jednej strany sa nevyžaduje, aby predpokladala nič konkrétne o podpore druhej strany pre konkrétne voliteľné riadiace znaky.
So sekvenciou "CR LF" sa musí zaobchádzať ako s jedným znakom nového riadku a musí sa použiť vždy, keď sa vyžaduje ich kombinovaná akcia; poradie "CR NUL" by sa malo použiť tam, kde sa vyžaduje iba návrat vozíka; a používaniu znaku CR v iných kontextoch.
Štruktúra príkazov Telnet
Každý príkaz TELNET je viacbajtová sekvencia začínajúca kódom \377 (desatinné: 255) "InterpretasCommand" (IAC) a kódom príkazu. Príkazy zodpovedné za vyjednávanie možností sú trojbajtové sekvencie, kde tretí bajt je kód možnosti. Nasledujúce kódy a sekvencie kódov majú svoj príslušný význam iba vtedy, keď bezprostredne nasledujú za IAC.
|
názov |
Kód (desiatkové/šestnástkové) |
Popis |
|
|
Ukončí vyjednávanie začaté príkazom SB |
|||
|
Žiadna operácia. |
|||
|
Synchronizačná (Synch) výmena dát. Po tomto príkaze vždy nasleduje TCP Urgentnotification. |
|||
|
Je stlačené tlačidlo "Break" alebo "Attention". |
|||
|
InterruptProcess |
Pozastaví, preruší, preruší alebo ukončí proces. |
||
|
Potláča výstup aktuálneho procesu. Používateľovi tiež odošle synchronizačný signál. |
|||
|
Pošle späť terminálovú odpoveď pozostávajúcu z vytlačiteľných znakov. |
|||
|
Ak je to možné, príjemca by mal predchádzajúci znak odstrániť. |
|||
|
Vymažte posledný zadaný riadok, to znamená všetky údaje prijaté po poslednom novom riadku. |
|||
|
Čaká sa na prenos údajov. |
|||
|
Začiatok vyjednávania možností vyžadujúceho odovzdanie parametrov. |
|||
|
Označuje želanie vykonať alebo potvrdzuje, že zadaná možnosť sa práve vykonáva. |
|||
|
Možnosť NEBUDE |
Označuje zlyhanie pri spustení alebo pokračovaní vykonávania zadanej voľby. |
||
|
Žiadosť, aby druhá strana vykonala alebo potvrdila uplatnenie špecifikovanej opcie. |
|||
|
Možnosť NIE |
Žiadosť, aby druhá strana zastavila vykonávanie alebo potvrdila, že zadaná možnosť sa už nevykonáva. |
||
|
Dátový bajt 255. |
Aplikácie
Historicky Telnet slúžil na vzdialený prístup k rozhraniu príkazového riadku operačných systémov. Následne sa začal používať pre ďalšie textové rozhrania, až po hry MUD a animované ASCII-art. Teoreticky dokonca obe strany protokolu môžu byť nielen ľudia, ale aj programy.
Klienti telnet sa niekedy používajú na prístup k iným protokolom založeným na prenose TCP, pozri #Telnet a iné protokoly.
Protokol telnet sa používa v riadiacom spojení FTP, to znamená, že prístup k serveru pomocou príkazu telnet ftp.example.net ftp na vykonanie ladenia a experimentov je nielen možný, ale aj správny (na rozdiel od použitia klientov telnet na prístup k HTTP, IRC a väčšina ostatných protokolov).
Bezpečnosť
Protokol neposkytuje použitie šifrovania ani autentifikácie údajov. Preto je zraniteľný voči akémukoľvek druhu útoku, na ktorý je zraniteľný jeho transport, teda protokol TCP. Pre funkcionalitu vzdialeného prístupu do systému sa v súčasnosti využíva sieťový protokol SSH (najmä jeho verzia 2), pri tvorbe ktorého bol kladený dôraz na otázky bezpečnosti. Majte teda na pamäti, že relácia Telnetu je dosť nezabezpečená, pokiaľ nie je v plne kontrolovanej sieti alebo so zabezpečením sieťovej vrstvy (rôzne implementácie VPN). Kvôli nespoľahlivosti Telnetu ako prostriedku na správu operačných systémov sa od nich už dávno upustilo.
Telnet a iné protokoly
V komunite internetových technológií sa všeobecne verí, že klient Telnet je vhodný na manuálny prístup (napríklad na účely ladenia) k protokolom aplikačnej vrstvy, ako sú HTTP, IRC, SMTP, POP3 a ďalšie textové protokoly založené na TCP. dopravy. Používanie klienta telnet ako klienta TCP má však nasledujúce nežiaduce účinky:
· Klient môže odoslať údaje, ktoré ste nezadali (možnosti Telnet);
· Klient neprijme \377 oktet;
· Klient pri prenose zmení oktet \377;
Klient môže odmietnuť prenos oktetov s najvýznamnejším bitom 1 vôbec.
Programy ako netcat poskytujú čistý TCP prístup, ale na odovzdanie riadku ako CR LF (čo vyžadujú mnohé protokoly) sú potrebné špeciálne triky (napríklad stty -icrnl v systéme UNIX). Klient Telnetu štandardne odošle každý nový riadok ako CR LF, bez ohľadu na jeho kódovanie v systéme klienta. Aj pre ladenie prístupu k aplikačným protokolom (okrem FTP a vlastne Telnetu) je použiť klienta PuTTY v režime "Raw" (čistý TCP prístup) - PuTTY konvertuje nové riadky oddelene od podpory protokolu Telnet.
Podobné dokumenty
Fyzická vrstva protokolu CAN. Prenosová rýchlosť a dĺžka siete. Linková vrstva protokolu CAN. Recesívne a dominantné bity. Funkčná schéma siete štandardu CAN. Metódy detekcie chýb. Hlavné charakteristiky siete. Protokoly vysokej úrovne.
abstrakt, pridaný 17.05.2013
Elektronická pošta (E-Mail) a jej hlavné zložky: informačný zdroj, poštový server, klient a protokoly na ich interakciu. Porovnávacie charakteristiky protokolov SMTP, POP3 a IMAP4. Telekonferencie, archívy súborov FTP, Telnet, World Wide Web.
test, pridané 19.01.2011
Všeobecné pojmy, úlohy a charakteristiky počítačovej siete TMN: technológia riadenia, zloženie a účel hlavných prvkov, funkčnosť, architektúra. Implementácia riadenia v modeli OSI. Porovnávacie charakteristiky protokolov SNMP a CMIP.
ročníková práca, pridaná 18.03.2011
Opis všeobecných funkcií sieťovej vrstvy modelu OSI: protokolovanie, smerovanie a logické adresovanie. Štúdium princípov sieťového protokolu TCP/IP a sieťových utilít príkazového riadku. Lokálna sieťová adresa a definícia internetovej triedy.
prezentácia, pridané 12.5.2013
Protokol je súbor dohôd a pravidiel, ktoré určujú spôsob výmeny informácií v počítačovej sieti. Stručný popis a charakteristika niektorých protokolov používaných v internete: TCP/IP, POP3, IMAP4, SMTP, FTP, HTTP, WAIS, TELNET, WAP.
prezentácia, pridané 27.04.2011
Analýza a porovnanie rôznych metód implementácie systému na ochranu sieťových spojení. Typy sieťových útokov a spôsoby ich negatívneho dopadu, možné dôsledky a opatrenia na ich predchádzanie. Štruktúra protokolu na vytváranie bezpečných sieťových spojení ISAKMP.
práca, pridané 19.06.2010
Všeobecná charakteristika protokolu ICMP, jeho účel a formát správy. Analýza použiteľnosti protokolu ICMP pri prechode zo sady protokolov IP v4 na sadu protokolov IP v6. Vlastnosti a princíp činnosti, rozsah smerovacích protokolov výmeny informácií.
ročníková práca, pridaná 24.08.2009
Pracuje na vytvorení siete ARPANET, protokoly sieťovej interakcie TCP/IP. Funkcia softvéru pre TCP/IP. Stručný popis protokolov rodiny TCP/IP s vysvetlením skratiek. Architektúra, sieťové vrstvy a protokoly TCP/IP.
abstrakt, pridaný 05.03.2010
Funkcia protokolu a štruktúra balíka vyvíjaného protokolu. Dĺžka polí hlavičky. Výpočet dĺžky vyrovnávacej pamäte pri príjme v závislosti od dĺžky paketu a povoleného oneskorenia. Algoritmy spracovania dát pre príjem a prenos. Softvérová implementácia protokolu.
semestrálna práca, pridaná 18.05.2014
Internetové služby: e-mail, prenos súborov. Prijímajte sieťové služby prostredníctvom vzdialeného počítača. Internetové protokoly: HTTP, FTP, Telnet, WAIS, Gopher, SMTP, IRC. Ciele zavedenia videokonferencie. Organizovanie a vedenie telekonferencií.
Existuje niekoľko spôsobov prístupu do prostredia CLI. Najbežnejšie metódy:
-
Telnet alebo SSH
Konzola
K CLI je možné pristupovať prostredníctvom relácie konzoly, známej aj ako reťazec CTY. Konzola používa nízkorýchlostné sériové pripojenie, ktoré sa uskutočňuje prostredníctvom priameho pripojenia z počítača alebo terminálu k portu konzoly na smerovači alebo prepínači.
Konzolový port je port na správu, ktorý poskytuje mimopásmový prístup k smerovaču. Port konzoly je dostupný aj vtedy, ak na zariadení nie sú nakonfigurované žiadne sieťové služby. Konzolový port sa často používa na prístup k zariadeniu, keď sieťové služby neboli spustené alebo prestali fungovať.
Príklady použitia konzoly:
Počiatočná konfigurácia sieťového zariadenia
Postupy obnovy po havárii a riešenie problémov, keď nie je možný vzdialený prístup
Postupy obnovenia hesla
Pri prvom použití smerovača ešte nie sú nakonfigurované nastavenia siete. Smerovač preto nemôže komunikovať cez sieť. Aby ste ho pripravili na počiatočné spustenie a konfiguráciu, spustite v počítači softvér na emuláciu terminálu a pripojte sa k portu konzoly zariadenia. Konfiguračné príkazy na konfiguráciu smerovača je možné zadať prostredníctvom pripojeného počítača.
Ak počas prevádzky smerovač nie je možný vzdialený prístup, pripojenie ku konzole cez počítač môže určiť stav zariadenia. V predvolenom nastavení konzola zobrazuje informácie o spustení zariadenia, ladení a chybových hláseniach.
V prípade mnohých zariadení IOS nevyžaduje prístup z konzoly štandardne žiadnu formu zabezpečenia. Konzola však musí byť nakonfigurovaná pomocou hesiel, aby sa zabránilo neoprávnenému prístupu k zariadeniu. V prípade straty hesla existuje špeciálny súbor postupov na obídenie hesla a získanie prístupu k zariadeniu. Zariadenie musí byť umiestnené v uzamknutej miestnosti alebo stojane na vybavenie, aby sa zabránilo fyzickému prístupu.
Telnet a SSH
Telnet je metóda na získanie vzdialeného prístupu k relácii CLI smerovača. Na rozdiel od pripojenia konzoly vyžadujú relácie Telnet na zariadení aktívne sieťové služby. Sieťové zariadenie musí mať aspoň jedno aktívne rozhranie nakonfigurované s adresou vrstvy 3, ako je napríklad adresa IPv4. Zariadenia Cisco IOS obsahujú proces servera Telnet, ktorý sa spustí pri spustení zariadenia. IOS obsahuje aj klienta Telnet.
Hostiteľ s klientom Telnet môže pristupovať k reláciám vty spusteným na zariadení Cisco. Z bezpečnostných dôvodov IOS vyžaduje, aby relácia Telnet používala heslo ako minimálnu autentifikačnú metódu. Metódy nastavenia účtov a hesiel budú diskutované v nasledujúcich článkoch v tejto časti.
Protokol Secure Shell (SSH) je bezpečnejšia metóda na vzdialený prístup k zariadeniu. Tento protokol poskytuje vzdialené prihlásenie podobne ako Telnet, okrem toho, že používa bezpečnejšie sieťové služby.
SSH poskytuje silnejšiu autentifikáciu heslom ako Telnet a používa šifrovanie na prenos údajov relácie. Relácia SSH šifruje všetku komunikáciu medzi klientom a zariadením IOS. Chráni sa tým ID užívateľa, heslo a podrobnosti relácie ovládania. Ako osvedčený postup vždy, keď je to možné, vždy namiesto Telnetu používajte SSH.
Väčšina novších verzií IOS obsahuje server SSH. Niektoré zariadenia majú túto službu predvolene povolenú. Ostatné zariadenia vyžadujú povolený server SSH.
Zariadenia IOS obsahujú aj klienta SSH, ktorý možno použiť na vytvorenie relácií SSH s inými zariadeniami. Podobne môžete použiť vzdialený počítač s klientom SSH na spustenie bezpečnej relácie CLI. Klientsky softvér SSH nie je štandardne dodávaný na všetkých počítačových operačných systémoch. Možno budete musieť získať, nainštalovať a nakonfigurovať klientsky softvér SSH pre váš počítač.
AUX
Ďalším spôsobom, ako vytvoriť reláciu CLI na diaľku, je telefonické pripojenie pomocou modemu pripojeného k portu AUX smerovača. Podobne ako pri pripojení konzoly, táto metóda nevyžaduje, aby boli na zariadení nakonfigurované alebo dostupné žiadne sieťové služby.
Port AUX je možné použiť aj lokálne ako port konzoly, keď je pripojený priamo k počítaču s programom na emuláciu terminálu. Konzolový port je potrebný na konfiguráciu smerovača, ale nie všetky smerovače majú pomocný port. Port konzoly je tiež uprednostňovaný pred pomocným portom na diagnostiku, pretože štandardne zobrazuje podrobnosti o spustení smerovača, informácie o ladení a chybové hlásenia.
Port AUX sa zvyčajne používa lokálne namiesto portu konzoly iba vtedy, keď sa vyskytne problém s použitím portu konzoly, napríklad ak niektoré nastavenia konzoly nie sú známe.
