 | |
| Тип | інтернет-сервісd і мережевий протокол[d]  |
|---|---|
| Автор | Тату Ілонен |
| Ліцензія | GNU Lesser General Public License |
| МодельTCP/IP (RFC 1122) |
|---|
| Прикладний рівень |
| Транспортний рівень |
| Мережевий рівень |
| Канальний рівень |
Цей шаблон: |
| Протоколи безпеки Інтернет |
|---|
| Керування ключами |
| Рівень застосувань |
| Система доменних імен |
| Рівень Інтернет |
Secure Shell,SSH (англ.Secure Shell — «безпечна оболонка»[1]) —мережевий протокол прикладного рівня, що дозволяє проводитивіддалене управліннякомп'ютером і тунелюванняTCP-з'єднань (наприклад, для передачі файлів). Схожий за функціональністю з протоколомTelnet іrlogin, проте шифрує весь трафік, включаючи процес аутентифікацій та передачу паролів та секретів. SSH цеклієнт-серверний протокол. Програмне забезпечення яке реалізує як клієнтську, так і серверну частину реалізовано для всіх сучасних операційних систем. Для UNIX-like операційних систем протокол SSH вважається стандартом віддаленого адміністрування.
Протокол SSH окрім основного призначення — безпечного віддаленого доступу до комп'ютера та передачі файлів, володіє потужними можливостями тунелювання, через зашифрований канал SSH можна передавати інші дані, інкапсулюючи їх у TCP-з'єднання. Основні можливості цепроксування локальних та віддалених TCP-портів (Port Forwarding), тунелювання дисплею для графічних застосунків при використанніX Window System (X Tunnelling). Можливо навіть передавати звук через шифрований канал, втім SSH може використовуватися для тунелювання будь-якого іншогомережевого протоколу, який може бути представлений у вигляді TCP-з'єднання.
Широкий розвитоксніферів створив проблему утиліт rlogin, telnet і rsh у зв'язку з тим що протоколтелнет прозорий, що вимагало вирішення проблеми безпечного використання програмного забезпечення для віддаленого адміністрування.
Першу версію протоколу, SSH, розробив 1995 року дослідникТату Ілонен з Технологічного університетуГельсінкі,Фінляндія. SSH був написаний для забезпечення більшої конфіденційності ніж telnet. Для свого проєкту Ілонен запросив у IANA tcp-порт 22[2], тому що той знаходиться між 21 для ftp та 23 для telnet.
Перша версія вийшла в реліз в липні 1996 як безкоштовне програмне забезпечення, та швидко отримала популярність. У грудні 1995 Ілонен заснувавSSH Communication Security (SCS) для розробки SSH. Оригінальна перша версія використовувалавільне програмне забезпечення, наприклад GNU libgmp, проте SSH Communication Security замінив такі бібліотеки щоб розробляти власницьке програмне забезпечення.
Протокол набув ще більшої популярності, і до 2000 року у нього було близько двох мільйонів користувачів.
1996 року SCS розробив версію протоколу SSH-2, яка містить нові алгоритми, та вирішувала деякі архітектурні проблеми першої версії SSH-1, проте SSH-2 була не сумісна з версією SSH-1. Ілонен описує та пропонує SSH-1 інженерній групі з питань інтернету (IETF), а в 1996 SCS пропонує SSH2. У відповідь IETF створює робочу групу SECSH.
У 1998 році SCS випускає програмний продукт SSH Secure Shell (SSH2) на базі протоколу SSH-2, проте перехід відбувається повільно тому що користувачі не розуміють чим він краще, а також деяким користувачам заважають проприєтарні умови ліцензування програмного продукту. Проте коли проектOpenBSD реалізує версію протоколу SSH2 — OpenSSH під вільною ліцензією, то він портується на іншіUNIX-подібні операційні системи та швидко завойовує популярність.[3]
У 2006 році протокол SSH2 був затверджений робочою групоюIETF як Інтернет-стандарт[4]. Ця версія не сумісна з SSH-1, але має покращену безпеку та нові можливості. Дизайн протокол почав використовувати поліпшену багатошарову архітектуру, в якій протокол розділений на окремі рівні, подібно до протоколу ISO/OSI[5]. Підтримуються нові механізми обміну ключами запротоколом Діффі-Геллмана, покращенацілісність, завдякиMAC-підписам. Нові можливості SSH-2 передбачають можливість отримувати декілька віртуальних терміналів на одному SSH з'єднанні[6].
У січні 2006 року, вже після затвердження та впровадження SSH-2 версії 2.1 був створенийRFC 4253. Його мета забезпеченнязворотної сумісності старим клієнтам для роботи з сервером, що підтримує протокол SSH-2, в такому випадку сервер себе позначає що версія протоколу 1.99.[7]
У 1999 році розробники, бажали повернутися до старої 1.2.12 реалізовуючи оригінальну SSH програму, яка була останньою випущена підз відкритим вихідним кодом ліцензію. OSSH Björn Grönvall згодом почав розвиватися з цього коду.
У 1998 році було описано вразливість SSH 1.5. Вона дозволяла несанкціоновану вставку даних у зашифрованому потоці SSH через недостатній захист даних кодомCRC-32(інші мови), що використовується в даній версії протоколу.[8][9].
У січні 2001 року була виявлена уразливість, яка дозволяє зловмисникові змінювати останній блокIDEA. Зашифровані сесії[10] У тому ж місяці, інша уразливість була виявлена, що дозволяло шкідлививому серверу пересилання автентифікації клієнта на інший сервер.[11]
Так як SSH-1 притаманні недоліки дизайну, які роблять його вразливим, в даний час він вважається застарілим і його слід уникати, відключивши повернення до SSH-1. Більшість сучасних серверів і клієнтів підтримують SSH-2.
У листопаді 2008 року теоретичну вразливість була виявлена для всіх версій SSH, який дозволив відновлення до 32 біт даних з блоку, зашифрованого за допомогою тодішнього стандартного режиму шифрування за умовчанням[12].
 | Цей розділпотребуєдоповнення. |
Команда підключення до локального SSH-сервера з командного рядка GNU/Linux або FreeBSD для користувача user (сервер прослуховує нестандартний порт 30000):
$ ssh -p 30000 user@127.0.0.1
Генерація пари ключів (в UNIX-подібних ОС) здійснюється командою
$ssh-keygen
Генерація пари SSH-2 RSA-ключів довжиною 4096 біта програмою puttygen під UNIX-подібними ОС:
$ puttygen -t rsa -b 4096 -o sample
Деякі клієнти, наприклад, PuTTY, мають і графічний інтерфейс користувача.
Для використання SSH в Python існують такі модулі, як python-paramiko і python-twisted-conch.
Є кілька механізмів передачі файлів за допомогою захищених протоколів Shell.
SSH-тунель — це тунель, який створюється за допомогою SSH-з'єднання і використовується для шифрування тунельованих даних. Використовується для того, щоб убезпечити передачу даних в Інтернеті (аналогічне призначення маєIPsec). Особливість полягає в тому, що незашифрований трафік будь-якого протоколу шифрується на одному кінці SSH-з'єднання і розшифровується на іншому.
Практична реалізація може виконуватися декількома способами:
Якщо програма працює з одним певним сервером, можна налаштувати SSH-клієнт таким чином, щоб він пропускав через SSH-тунель TCP-з'єднання, що приходять на певний TCP-порт машини, на якій запущений SSH-клієнт. Наприклад, клієнти Jabber підключаються по замовчуванню на порт 443. Тоді, щоб налаштувати підключення до сервера Jabber через SSH-тунель, SSH-клієнт налаштовується на перенаправлення підключень з будь-якого порту локальної машини (наприклад, з порту 4430) на віддалений сервер (наприклад, jabber.example.com і порт 443):
$ ssh -L 4430:jabber.example.com:443 somehost
У даному випадку Jabber-клієнт налаштовується на підключення до порту 4430 сервера localhost (якщо ssh-клієнт запущений на тій же машині що і Jabber-клієнт).
Для створення ssh-тунелю необхідна машина з запущеним ssh-сервером і доступом до jabber.example.com. Така конфігурація може використовуватися у випадку, якщо з локальної машини доступ до jabber.example.com закритий фаєрволом, але є доступ до деякого ssh-серверу, у якого обмеження доступу в Інтернет відсутні.
Поради щодо безпеки використання SSH:
SSH-2 протокол має внутрішню архітектуру (визначено вRFC 4251) з чітко розділеними шарами. До них належать:
Окрім захисту сервера від неавторизованого користувача різноманітними методами аутентифікації, клієнт також має систему, яка запам'ятовує «відбитки публічних ключів» (ssh fingerprint) в файлі known_hosts, який містить адресу сервера, алгоритми ключа та SHA-1 хеш від публічного ключа.
Існує SSHFP DNS-запис (RFC 4255) пропонує перевіряти відбитки публічних ключів, також описує формат запису для зберігання в DNS.
Вони призначені для підвищення продуктивності продуктів SSH:
{{cite web}}: Обслуговування CS1: bot: Сторінки з посиланнями на джерела, де статус оригінального URL невідомий (посилання) Обслуговування CS1: Сторінки з текстом «archived copy» як значення параметру title (посилання), IETF | Це незавершена стаття пропрограмне забезпечення. Ви можетедопомогти проєкту,виправивши або дописавши її. |
 | Це незавершена стаття прокомп'ютерні мережі. Ви можетедопомогти проєкту,виправивши або дописавши її. |
 | Ця статтямає кілька недоліків. Будь ласка, допоможітьудосконалити її або обговоріть ці проблеми насторінці обговорення.
|
