Telnet-protokolla. Pääsymenetelmät

SSH mahdollistaa erilaisten salausalgoritmien valinnan. SSH-asiakkaat ja SSH-palvelimet ovat saatavilla useimpiin verkkokäyttöjärjestelmiin.

Telnet on UNIX-käyttöjärjestelmän perusprotokolla, joka tarjoaa käyttäjille pääsyn etätietokoneeseen.

Alun perin pääte oli kirjoituskonetyyppinen laite, jolla käyttäjä (käyttäjä) kirjoitti komentoja ja tarkkaili tuloksia. Myöhemmin pääte jaettiin näyttöön ja näppäimistöön.

Telnet käyttää oletusarvoisesti porttia 23. Palvelinosan on oltava käynnissä etätietokoneessa ja asiakasosan on oltava käynnissä käyttäjän tietokoneessa. Asiakasohjelmalla on sama nimi - telnet ja sen avulla voit syöttää parametreja komentoriviltä. Näitä vaihtoehtoja ovat:

Palvelimen nimi (IP-osoite) ja portin numero

Tekstipäätteen tyyppi

Käyttäjätunnus

Yhteyslokin nimi

Joidenkin näppäimistön toimintonäppäinten toimintojen määrittäminen jne.

Komentorivisyntaksi riippuu telnetin ohjelmistototeutuksesta ja tästä näkökulmasta telnetiä voidaan pitää palveluna tai palveluna.

Telnet-protokolla sisältää jokaisen käyttäjän kirjoittaman merkin lähettämisen palvelimelle (etätietokoneelle) TCP-protokollan kautta erillisessä paketissa. Jos kaiku on käytössä, palvelin palauttaa merkin käyttäjän monitoriin. Palvelimella käynnissä olevien ohjelmien suorituksen tulokset lähetetään lohkoina. Telnet tarjoaa päätelaitteen käyttäjän oikeuksien ja kykyjen rajoissa täyden pääsyn palvelinohjelmiin ja tiedostoihin. Yhteyttä muodostettaessa todennusprosessi lähettää käyttäjätunnuksen ja salasanan selkeänä tekstinä, mikä tekee telnetin käytöstä erittäin vaarallisen.

Suosituin tapa lisätä päätesovellusprotokollien (esimerkiksi telnet) turvallisuutta on SSH (Secure SHell) -protokolla, joka käyttää oletuksena porttia 22. Aivan kuten telnetissä, SSH-palvelinosa käynnistetään etätietokoneella ja asiakasosa käyttäjätietokoneella. Yhteyden muodostamisen jälkeen kaikki tiedot siirretään salatussa muodossa ja kaikki sovellusprotokollatiedot tunneloidaan tämän suojatun yhteyden kautta kuvan 3.5.3.1 mukaisesti.

Ennen telnetin käyttöä etätietokone ja käyttäjän tietokone muodostavat suojatun yhteyden porttiin 22 (oletetaan, että ennen SSH:n käyttöä salaussuojaussalasanat on jo määritetty asiakas- ja palvelinosissa). Telnetiä soitettaessa portti 23 avataan, mutta SSH-asiakas sieppaa lähetetyt paketit, salaa ja lähettää suojatun kanavan kautta. SSH-palvelin purkaa tietojen salauksen ja lähettää ne telnet-palvelimelle portissa 23. Palvelimen vastaus lähetetään käänteisessä järjestyksessä. Käyttäjä ei tunne SSH-protokollan toimintaa ja toimii kuten tavallisen telnet-asiakkaan kanssa portissa 23.

Sähköpostiprotokollat

Sähköposti (Sähköposti) on yksi vanhimmista ja yleisimmistä verkkopalveluista, suosittu sekä paikallisissa että globaaleissa verkoissa.

Sähköpostijärjestelmä ilmestyi vuonna 1982 ARPANET-verkon Internet-esi-isän palveluna. Tämä järjestelmä erosi merkittävästi CCITT:n hyväksymästä X.400-suosituksesta. X.400-suositusten monimutkaisuus ja niiden ajattelemattomuus johtivat verkkoteknologiassa harvinaiseen tapaukseen, jossa ennakoiva kehitys päihitti kansainvälisen standardin. X.400:n mukaisia ​​sähköpostipalveluita ei käytetä laajalti ja ne ovat melko tieteellisesti kiinnostavia.

Sähköpostiviesti sisältää tavallisen postin tapaan kirjekuoren, jossa on toimitukseen tarvittavat tiedot, otsikon, jossa on vastaanottajan automatisoidussa käsittelyssä hyödyllisiä tietoja, sekä itse viestin.

Kirjekuoressa ja otsikossa on muodolliset kentät. Tärkeimmät niistä ovat (lähettäjältä vaadittavat kentät on lihavoitu):

Sitten: - vastaanottajan (vastaanottimien osoitteet) muodossa postilaatikon_nimi@postipalvelimen_nimi

CC: - Muiden vastaanottajien osoitteet (kopio)

Piilokopio: - (sokea kopiointi) vastaanottajan (vastaanottimien) piiloosoitteet, joita ei paljasteta muille

Lähettäjä: - sähköpostin lähettäjän osoite

Vastaanotettu: - kenttä, johon kunkin solmun ohittaessa lisätään solmun nimi, vastaanottopäivä ja -aika

Return-Path: - kirjainpolun solmujen nimet

Päivämäärä: - kirjeen lähetyspäivä ja -aika

Vastaus: - osoite, johon sinun on vastattava

Viestitunnus: - yksilöllinen viestin tunniste (linkkeille)

In-Reply-id: - sen kirjeen tunniste, johon vastaus on annettu

Aihe: - kirjeen aihe

Viestin runko koostuu enintään 1 000 (suositus on enintään 78) ASCII-merkin (American Standard Code for Information Interchange) merkkijono, eli 7-bittiset numerot, jotka edustavat latinalaisten aakkosten kirjaimia, välimerkkejä ja numeroita (suosittu). sellaiselle esitykselle on termi "koodaus"). Kansallisten koodausten merkit (esimerkiksi kyrilliset merkit), binaaritiedostot (esimerkiksi ääni- tai videotiedoilla) jne. näytetään MIME-konvention (Multipurpose Internet Mail Extension) mukaisesti, mikä tarjoaa kentän osoittavan koodausmenetelmän ( esimerkiksi Base64 - katso kappale 3.5.2).

Perusmenetelmä sähköpostin luottamuksellisuuden varmistamiseen on salaussuojaus. Suosituin järjestelmä on nimeltään PGP (Pretty Good Privacy). Tämän järjestelmän ehdotti Phil Zimmerman, ja se sisältää useiden salausalgoritmien (RSA, IDEA, MD5) käytön.

Toinen järjestelmä on nimeltään PEM (Privacy Enhanced Mail) ja se eroaa PGP:stä siinä, että se vaatii yhteydenpitoa avainvarmentajien kanssa, heikomman suojaustason (tietojen salaamiseen PGP-järjestelmä käyttää 128-bittisiä avaimia, kun taas PEM-järjestelmä vain 56-bittiset avaimet), mutta täysin ITU-T:n suositusten mukainen (X.400 ja X.509).

Sähköpostiprotokollille on ominaista huomattava monimuotoisuus, tiettyjen valmistajien ohjelmistotuotteisiin soveltuvista patentoiduista protokollista yleisesti tunnettuihin. Puhumme erityisesti sähköpostijärjestelmille tarkoitetuista protokollista, emme yleisistä HTTP-protokollaan perustuvien sähköpostipalvelujen emulointijärjestelmistä (katso esimerkiksi www.mail.ru).

Jotkut sähköpostiprotokollat ​​sisältävät:

SMTP (Simple Mail Transfer Protocol) on protokolla, jota käytetään sähköpostin vaihtamiseen solmujen välillä ja kirjeiden lähettämiseen asiakkaalta sähköpostipalvelimelle. Oletuksena protokolla käyttää porttia 25.

POP3 (Post Office Protocol v.3 – sähköpostiprotokollan versio 3) – protokolla sähköpostin vastaanottamiseen asiakkaan toimesta. Oletuksena protokolla käyttää porttia 110.

IMAP v4 (Internet Message Access Protocol v.4) on POP3:n kaltainen protokolla, mutta sen avulla asiakas voi tallentaa ja käsitellä postia itse sähköpostipalvelimella. Oletuksena protokolla käyttää porttia 585

SMNP-protokolla

SNMP-protokolla (Simple Network Management Protocol) kehitettiin alun perin reitittimien hallintaan, mutta se laajennettiin sitten kaikkiin verkkolaitteisiin (oletusportit 161/162). Tällä hetkellä protokollan versio 2 (1999) on nykyinen.

Protokolla on rakennettu asiakas-palvelin -periaatteelle (asiakasohjelman on oltava käynnissä hallitussa verkkolaitteessa) ja sisältää ohjausprotokollan (hallitun ja ohjaussolmun välinen vuorovaikutus), ASN.1-kielen (Abstract Syntax Notation v.1). - abstrakti syntaksimerkintäversio 1) kuvaukset hallintamallista ja itse hallintamallista MIB (Management Information Base). Protokollan leviämistä haittaa sen alhainen turvallisuus ja riippuvuus UDP-protokollasta, mikä voi johtaa DNS-viestien katoamiseen.

Nimenselvitystehtävä sisältää solmun IP-osoitteen määrittämisen sen symbolisella nimellä ja symbolisen nimen määrittämisen tietyllä IP-osoitteella.

Historiallisesti ensimmäinen, mutta edelleen voimassa oleva nimenselvitysmekanismi liittyy suoraan symbolisten nimien ja IP-osoitteiden vastaavuustaulukon asettamiseen hosts/lmhosts-tiedostossa (ensimmäistä tiedostoa käyttävät UNIX/Linux ja jotkin muut järjestelmät (OS), ja toista käyttää Microsoft OS ). Molemmat tiedostot ovat tekstitiedostoja ja niiden muodot ja avaimet löytyvät MS Windowsista samannimistä tiedostoista tunnisteella . sam (näyte – näyte). Ilmeisesti missään suuressa verkossa ei ole mahdollista ratkaista ongelmaa täysin tällä tavalla, vaikka tärkeimpiä palvelimia, reitittimiä, yhdyskäytäviä jne. koskevien tietojen tallentaminen näihin tiedostoihin on erittäin tehokas nopeuttamaan tietokoneen käynnistystä verkossa. ympäristöön.

Toinen melko suosittu menetelmä nimen selvittämiseksi on NetBIOS:n (Network Basic Input/Output System) käyttö TCP/IP:n kautta. Tämän järjestelmän kehittivät Microsoft ja IBM yhdessä 80-luvulla verkko-I/O-palveluna Windows-käyttöjärjestelmälle. Myöhemmin, jotta käyttäjä pääsee käyttämään verkkoresursseja, NetBEUI-protokolla (NetBIOS Extended User Interface) kehitettiin pääverkkoprotokollaksi Windows for Workgroupsissa ja NT:ssä. Lopuksi, TCP/IP-pinon laajan käyttöönoton myötä Microsoft joutui julkaisemaan NetBIOS-toteutuksen, joka käyttää IP:tä tarvittavien tietojen siirtämiseen (NetBIOS over TCP/IP). NetBIOS on edelleen tuettu Windows 2000/NT/XP -käyttöjärjestelmissä, vaikka se ei ole enää päämekanismi verkkoresurssien käyttämiseen. NetBIOS on hyödyllinen pienille vertaisverkoille.

Aluksi jokaisella NetBIOS-verkon solmulla on symbolinen nimi (enintään 15 merkkiä) ja resurssitunnus (16. merkki), joka ilmaisee solmun roolin (tiedostopalvelin, tulostuspalvelin, työasema jne.). "Pure" NetBIOS soveltuu vain pieniin verkkoihin ja sitä pidetään "ei-reititettävänä", koska -

nimijärjestelmä ei salli verkon tunnistamista

Lähetyspyyntöjä käytetään laajalti tiedon hankkimiseen ja päivittämiseen verkkoisännistä (useimmat reitittimet eivät salli lähetyspyyntöjä)

Näiden puutteiden poistamiseksi Microsoft tarjosi NetBIOS-nimipalvelimiin perustuvan WINS-palvelun (Windows Internet Name Service). On huomattava, että Internetin mainitsemisesta huolimatta WINS:ää ei käytetä tässä maailmanlaajuisessa verkossa.

Ensimmäinen NetBIOSin haittapuoli eliminoituu WINS:ssä syöttämällä verkolle ryhmän nimi ja toinen sillä, että nimenselvityspyynnöt osoitetaan tietyille WINS-palvelimille. Palvelun epävakaus, hallinnon vaikeudet ja käyttövaikeudet maailmanlaajuisessa Internetissä ovat nyt pakottaneet Microsoftin vaihtamaan täyden DNS-tukeen.

DNS (Domain Name System) on toteutettu käyttämällä samannimistä sovellusprotokollaa ja oletusarvoisesti porttia 53. DNS-järjestelmä on kehitetty UNIX-käyttöjärjestelmässä ja vastaavalla DNS:ää käyttävällä palvelulla on sama lyhenne, mutta se tarkoittaa Domain Name Serviceä.

Nimet DNS:ssä rakennetaan hierarkkisen periaatteen mukaan käänteisen puun muodossa. Huipputason verkkotunnukset (juurialueet) jaetaan ammatillisten periaatteiden mukaan (. com-commercial, . gov - Government, . net - network ja muut solmut) tai kansallisten (. ru - venäjä, . fi - suomi, . fr - ranska, . jne. .d.). UNIX-käyttöjärjestelmä kehitettiin Yhdysvalloissa, ja tietysti oletettiin, että kaikki solmut sijaitsevat siellä. Nykyään voit löytää esimerkiksi kaksoisverkkotunnuksia. com. tw – kaupallinen taiwanilainen.

Jokainen verkkotunnus puolestaan ​​sisältää aliverkkotunnuksen, jonka nimi lisätään vasemmalle ja erotetaan pisteellä jne. Merkintä päättyy lisäämällä isäntänimi vasemmalle. Kunkin verkkotunnuksen, aliverkkotunnuksen tai isännän nimi saa olla enintään 63 merkkiä pitkä ja koko nimi enintään 255 merkkiä pitkä. Latinalaisia ​​aakkosia, numeroita ja viivoja käytetään perinteisesti nimien merkitsemiseen (_-merkki ei ole sallittu), mutta periaatteessa verkkotunnus on mahdollista rekisteröidä kyrillisellä nimellä, mutta tämän merkitys on ongelmallinen.

Data mille tahansa toimialueelle rekisteröityjen aliverkkotunnusten/solmujen nimistä ja niiden IP-osoitteista on tallennettu kahteen taulukkoon DNS-palvelimilla, jotka sisältävät myös peittoalueen nimen ja osoitteen. Ensimmäisen taulukon avulla määritetään digitaalinen osoite tietylle symboliselle nimelle (suora muunnos ja vastaavasti ns. "suora vyöhyke") ja toinen taulukko määrittää symbolisen nimen annetussa osoitteessa (käänteinen muunnos ja "käänteinen vyöhyke”).

Luotettavuuden lisäämiseksi jokaisessa verkkotunnuksessa on oltava vähintään 2 palvelinta (ensisijainen - ensisijainen ja toissijainen - varapalvelin), ja näiden palvelimien on sijaittava fyysisesti eri verkoissa eivätkä ne saa sijaita verkkotunnuksissa, joiden isäntänimet ne sisältävät.

Päätoimialuetta tukee yli 10 DNS-palvelinta, joiden IP-osoitteet ja nimet on "kiinnitetty" verkon käyttöjärjestelmään. Uusien nimien rekisteröinnin ja vastaavien IP-osoitteiden allokoinnin suorittaa verkkotunnuksen omistaja. Esimerkiksi rekisteröinti verkkotunnukseen. ru on RosNIIROSin tuottama, jossa nimen rekisteröinti ja IP-osoitteen saaminen maksaa noin 50 dollaria ja vuosittainen osoitetuki 10 dollaria. Kaikki muutokset nimitaulukkoon tehdään ensisijaisella DNS-palvelimella, varapalvelimet päivittävät vain tietueensa ensisijaisen palvelimen tietueet. Vyöhykkeen replikointi (päivitys) suoritetaan käyttämällä luotettavaa TCP-protokollaa, kun taas DNS-asiakaspyyntöihin käytetään UDP-protokollaa. Nimenselvitysprosessin nopeuttamiseksi ja verkon liikenteen vähentämiseksi joskus asennetaan ns. DNS-välimuistipalvelimia, jotka tallentavat usein käytetyt nimet ja osoitteet. DNS-palvelimen toimintatila voi olla rekursiivinen tai ei-rekursiivinen. Rekursiivisessa tilassa, jos DNS-pyynnön ratkaiseminen on mahdotonta, tämä pyyntö käännetään erityisesti nimetylle toiselle DNS-palvelimelle (edelleenlähettäjä), joka palauttaa sitten vastaanotetun vastauksen. Ei-rekursiivisessa tilassa, jos pyydetystä solmusta ei ole tietoa, vetoomus tehdään DNS-juuripalvelimille ja niistä ketjussa alaspäin, kunnes vastaus saadaan.

NAT (Network Address Translation) toteuttaa paikallisten verkkojen IP-osoitteiden muuntamisen (korvaamisen) globaalin Internetin ulkoisiksi IP-osoitteiksi. Tällaisen muuntamisen tarve seuraa sopimuksesta käyttää osan IP-osoitteista vain paikallisissa verkoissa (katso kohta 3.2), jonka mukaan globaalien verkkojen reitittimet tuhoavat paketit näillä osoitteilla.

NAT toimii verkossa ja osittain siirtotasoilla varmistaen IP-pakettien paikallisten verkkoisäntäosoitteiden muuntamisen ulkopuoliseksi osoitteeksi. Muunnos suoritetaan korvaamalla sisäisen solmun osoite ulkoisella osoitteella. Korvatut osoitteet tallennetaan taulukkoon, jonka avulla suoritetaan käänteinen korvaus, kun vastauspaketti vastaanotetaan. On huomattava, että mahdollisen erottamattomuuden poistamiseksi IP-osoitteen lisäksi myös portin numero muunnetaan PAT:n (Port Address Translation) avulla.

Osoitteiden kääntämisen lisäksi NAT mahdollistaa IP-osoitteiden tarpeen vähentämisen globaaleissa verkoissa, koska kaikki paikallisen verkon käyttäjät voivat käyttää maailmanlaajuisia verkkoresursseja yhden ulkoisen osoitteen kautta.

NAT ei ole ainoa tapa lähettää paketteja paikallisverkosta globaaliin verkkoon. Vaihtoehto osoitteen käännökselle on käyttää välipalvelinta.

SSH (Secure Shell- Suojattu kuori) on verkkoprotokolla, joka tarjoaa turvallisen todennuksen, yhteyden ja suojatun tiedonsiirron verkkoisäntien välillä salaamalla sen läpi kulkevan liikenteen ja mahdollista tiedon pakkaamista. Toinen tärkeä toiminnallinen ominaisuus on kyky luoda suojattuja, salattuja tunneleita suojattua siirtoa varten epävarman ympäristön (esimerkiksi Internetin) kautta, muita verkkoprotokollia sekä kyky pakata liikennettä. Lisäksi protokolla SSH toimii erinomaisesti yhden koneen porttien välittämisessä (edelleen, uudelleenohjauksessa) toisen koneen portteihin, mukaan lukien etäasiakkaiden edelleenlähetys XWindow. Nyt protokolla SSH, on standardi ja sitä käytetään laajalti esimerkiksi palvelinjärjestelmissä, eli erilaisten komentojen ja manipulaatioiden suorittamiseen palvelinkuoressa suojatun yhteyden kautta, tiedostojen kopioimiseen verkon yli, kuten tietojen varmuuskopiot.

pöytäkirja SSH, on olemassa kaksi versiota, kaupallinen versio kehitteillä SSH inc ja ilmainen, avoin lähdekoodi, OpenSSH, jota käytetään pääasiassa useimmilla palvelinalustoilla. Toteutus OpenSSH, on kaikissa Unix-perheen käyttöjärjestelmissä, ja useimmissa niistä, SSH palvelin ja SSH asiakkaat ovat tavallisia apuohjelmia. Kaikki alla kirjoitettu koskee OpenSSH ja FreeBSD-käyttöjärjestelmä. Protokollasta on kaksi versiota SSH, yhteensopimattomia keskenään. Protokollan ensimmäinen toteutus SSH, SSH - 1, kehitettiin vuonna 1995. Toinen versio SSH - 2, julkaistu vuonna 1996. Vuonna 2006 pöytäkirja SSH IETF hyväksyi sen Internet-standardiksi. Nykyään se on laajalti käytetty protokollan toinen versio SSH, koska ensinnäkin protokolla SSH versio 1 kärsi vakavista haavoittuvuuksista, ja toiseksi versio 2 käyttää tehokkaampia salausalgoritmeja ja tukee myös kykyä havaita tahallinen tietojen korruptio. Salausalgoritmit:

• SSH-protokolla, versio 1 DES, 3DES, blowfish
• SSH-protokolla, versio 2 AES-128, AES-192, AES-256, blowfish, CAST-128, ArcFour

• SSH-protokolla, versio 1 no
• SSH-protokollan versio 2 HMAC-MD5, HMAC-SHA-1, HMAC-RIPEMD

SSH-protokollaa käyttävät todennusmenetelmät, OpenSSH-ohjelmistopaketin koostumus

• Kaiken läpi kulkevan liikenteen salaus SSH yhteys, joka muodostetaan käyttämällä yhtä mahdollisista algoritmeista, jotka valitaan neuvotteluprosessin aikana viestintäistunnon osapuolten välillä. Yhteysliikenteen salaus estää sen sieppaamisen ja käytön haitallisiin tarkoituksiin. Valitsemalla erilaisia ​​salausalgoritmeja järjestelmästä tulee erittäin joustava, jolloin esimerkiksi algoritmeja, joissa on havaittu haavoittuvuuksia tai mahdollisia tietoturvauhkia, ei voida käyttää tai käyttää vain kummankin osapuolen tukemia algoritmeja;
• Todennus SSH palvelin suoritetaan aina kaikille yhteyksille, jotka eivät salli liikenteen tai itse palvelimen huijausta;
• Todennus SSH asiakas voi esiintyä eri tavoin, mikä toisaalta tekee itse autentikointiprosessista turvallisemman, toisaalta tekee järjestelmästä entistä joustavamman, mikä yksinkertaistaa sen kanssa työskentelyä;
• Verkkopakettien eheyden valvonta mahdollistaa laittomien muutosten seurannan yhteysliikenteessä, jos tämä havaitaan, yhteys katkeaa välittömästi;
• Väliaikaiset todennusparametrit estävät siepattujen ja jonkin ajan kuluttua purettujen yhteystietojen käytön.

• GSSAPI-pohjainen todennus
• Isäntäpohjainen todennus;
• Käyttäjän todennus julkisella avaimella;
• Haaste-vastaustodennus ( haaste-vastaus);
• Ja lopuksi säännöllinen käyttäjän todennus salasanalla;

• sshd- tämä on itse asiassa SSH palvelin, demon-ohjelma;
• ssh- asiakasohjelma, josta on tullut korvike rlogin Ja telnet;
• scp- ohjelma etäkopiointiin protokollan kautta SSH, korvaa rcp;
• sftp- suojattu ftp-asiakas;
• sftp-palvelin- alijärjestelmä, joka tarjoaa tiedostonsiirron protokollan kautta SSH;
• ssh-keygen- avaingeneraattori
• ssh-keyscan- isäntien julkisten avainten "kerääjä";
• ssh-agentti- todennusagentti yksityisten avainten säilyttämiseen;
• ssh-add- pieni ohjelma avainten lisäämiseen ssh-agentti;

UKRAINAN LIIKENNE- JA VIESTINTÄMINISTERIÖ

ODESSA NATIONAL ACADEMY OF COMMUNICATIONS nimetty. A.S.POPOVA

Viestintäverkkojen laitos

Essee

aiheesta: "SSH, CMIP, Telnet-protokollat"

Odessa 2013

• • Standardit ja ohjelmistototeutukset
  • SSH-palvelimet
  • SSH-asiakkaat ja kuoret
  • Tietoturvavinkkejä SSH:n käyttöön
  • Esimerkkejä SSH:n käytöstä
  • SSH-tunnelointi
  • Tekniset tiedot protokollasta

CMIP-protokollan pääominaisuudet

CMIP-protokolla ja CMIS-palvelut

Suodatus

Synkronointi

• Laite
• Vaihtoehdot
• Tulostin ja NVT-näppäimistö
• Telnet-komentorakenne
• Sovellukset
• Turvallisuus
• Telnet ja muut protokollat

Standardit ja ohjelmistototeutukset

SSH (Secure SHell) on sovellustason verkkoprotokolla, joka mahdollistaa käyttöjärjestelmän etähallinnan ja TCP-yhteyksien tunneloinnin (esimerkiksi tiedostonsiirtoa varten). Toiminnaltaan samanlainen kuin Telnet- ja rlogin-protokollat, mutta toisin kuin ne, se salaa kaiken liikenteen, mukaan lukien lähetetyt salasanat. SSH mahdollistaa erilaisten salausalgoritmien valinnan. SSH-asiakkaat ja SSH-palvelimet ovat saatavilla useimpiin verkkokäyttöjärjestelmiin.

SSH:n avulla voit siirtää turvallisesti lähes minkä tahansa muun verkkoprotokollan suojaamattomassa ympäristössä. Siten et voi vain työskennellä tietokoneellasi etätyöskentelyä komentotulkin kautta, vaan myös lähettää äänivirtaa tai videota (esimerkiksi verkkokamerasta) salatun kanavan kautta. SSH voi myös käyttää lähetettyjen tietojen pakkausta myöhempään salaukseen, mikä on kätevää esimerkiksi X WindowSystem -asiakkaiden etäkäynnistykseen.

Useimmat isännöintipalveluntarjoajat tarjoavat asiakkailleen SSH-pääsyn kotihakemistoonsa maksua vastaan. Tämä voi olla kätevää sekä komentorivillä että ohjelmien (mukaan lukien graafisten sovellusten) etäkäynnistykseen.

Protokollan ensimmäisen version, SSH-1, kehitti vuonna 1995 tutkija Tatu Ulönen Teknillisestä korkeakoulusta (Suomi). SSH-1 on kirjoitettu tarjoamaan suurempaa yksityisyyttä kuin rlogin-, telnet- ja rsh-protokollat. Vuonna 1996 protokollasta kehitettiin turvallisempi versio SSH-2, joka ei ole yhteensopiva SSH-1:n kanssa. Protokolla nousi entisestään, ja vuoteen 2000 mennessä sillä oli noin kaksi miljoonaa käyttäjää. Tällä hetkellä termi "SSH" tarkoittaa yleensä SSH-2:ta, koska Protokollan ensimmäistä versiota ei nyt käytännössä käytetä merkittävien puutteiden vuoksi.

Vuonna 2006 protokolla hyväksyttiin IETF-työryhmässä Internet-standardiksi.

Joissakin maissa (Ranska, Venäjä, Irak ja Pakistan) tarvitaan kuitenkin edelleen erityislupa asianomaisilta viranomaisilta tiettyjen salausmenetelmien, mukaan lukien SSH:n, käyttöön.

SSH:lla on kaksi yleistä toteutusta: yksityinen kaupallinen ja ilmainen avoin lähdekoodi. Ilmainen toteutus on nimeltään OpenSSH. Vuoteen 2006 mennessä 80 % Internetin tietokoneista käytti OpenSSH:ta. Toteutuksen on kehittänyt SSH Communications Security, joka on Tectia Oyj:n kokonaan omistama tytäryhtiö, ja se on ilmainen ei-kaupalliseen käyttöön. Nämä toteutukset sisältävät lähes saman joukon komentoja.

SSH-2-protokolla, toisin kuin telnet-protokolla, kestää liikenteen salakuunteluhyökkäyksiä ("haistelua"), mutta ei kestä mies-in-the-middle-hyökkäyksiä. SSH-2-protokolla kestää myös istuntojen kaappaushyökkäyksiä, koska on mahdotonta liittyä tai kaapata jo muodostettuun istuntoon.

Välimieshyökkäyksen estämiseksi, kun muodostetaan yhteys isäntään, jonka avainta asiakas ei vielä tiedä, asiakasohjelmisto näyttää käyttäjälle "avaimen sormenjäljen". On suositeltavaa tarkistaa huolellisesti asiakasohjelmiston näyttämä "avainkuva" palvelimen avaimen otos, mieluiten luotettavia viestintäkanavia pitkin tai henkilökohtaisesti.

SSH-tuki on toteutettu kaikissa UNIX-tyyppisissä järjestelmissä ja useimmissa niistä on vakiona ssh-asiakas ja -palvelin. Muille kuin UNIX-käyttöjärjestelmille on olemassa monia SSH-asiakkaiden toteutuksia. Protokolla saavutti suuren suosion liikenneanalysaattoreiden ja paikallisten verkkojen toiminnan häiritsemismenetelmien laajan kehittämisen jälkeen vaihtoehtona turvattomalle Telnet-protokollalle tärkeiden solmujen hallintaan.

SSH:n kautta työskentelyyn tarvitaan SSH-palvelin ja SSH-asiakas. Palvelin kuuntelee yhteyksiä asiakaskoneista ja, kun yhteys on muodostettu, suorittaa autentikoinnin, jonka jälkeen se alkaa palvella asiakasta. Asiakasta käytetään kirjautumaan etäkoneeseen ja suorittamaan komentoja.

Yhdistääkseen palvelimen ja asiakkaan on luotava avaimia – julkisia ja yksityisiä – ja vaihdettava julkisia avaimia. Yleensä käytetään myös salasanaa.

SSH-palvelimet

· *BSD: OpenSSH

· Linux: dropbear, lsh-server, openssh-server, ssh

Windows: freeSSHd, copssh, WinSSHD, KpyM Telnet/SSH-palvelin, MobaSSH, OpenSSH Cygwinin kautta

SSH-asiakkaat ja kuoret

· GNU/Linux, *BSD: kdessh, lsh-client, openssh-client, putty, ssh, Vinagre

· MS Windows ja Windows NT: PuTTY, SecureCRT, ShellGuard, Axessh, ZOC, SSHWindows, ProSSHD, XShell

· MS Windows Mobile: PocketPuTTy, mToken, sshCE, PocketTTY, OpenSSH, PocketConsole

Mac OS: NiftyTelnet SSH

· Symbian-käyttöjärjestelmä: PuTTY

· Java: MindTerm, AppGateSecurityServer

· J2ME: MidpSSH

iPhone: i-SSH, ssh (mukaan lukien pääte)

Android: connectBot

Blackberry: BBSSH

MAEMO 5: OpenSSH

Tietoturvavinkkejä SSH:n käyttöön

3. Epästandardin portin valitseminen SSH-palvelimelle.

4. Käytä pitkiä SSp RSA -avaimia (2048 bittiä tai enemmän). RSA-pohjaisia ​​salausjärjestelmiä pidetään turvallisina, jos avaimen pituus on vähintään 1024 bittiä.

5. Rajoita niiden IP-osoitteiden luetteloa, joista pääsy on sallittu (esimerkiksi asettamalla palomuuri).

7. Kieltäytyminen käyttämästä yleisiä tai tunnettuja järjestelmäkirjautumistunnuksia SSH-käyttöön.

8. Tarkista säännöllisesti todennusvirheilmoitukset.

9. Tunkeutumisen havaitsemisjärjestelmien asennus.

10. SSH-palvelua huijaavien hunajapurujen käyttö.

Esimerkkejä SSH:n käytöstä

Komento muodostaa yhteys paikalliseen SSH-palvelimeen GNU/Linux- tai FreeBSD-komentoriviltä pacify-käyttäjälle (palvelin kuuntelee ei-standardista porttia 30000): $ ssh -p 30000 [sähköposti suojattu]

Avainparien luominen (UNIX-tyyppisessä käyttöjärjestelmässä) suoritetaan komennolla $ ssh-keygen

4096 bitin pituisten SSH-2 RSA-avainparien luominen puttygen-ohjelmalla UNIX-tyyppisessä käyttöjärjestelmässä:

$ puttygen -t rsa -b 4096 -o näyte

Joillakin asiakkailla, kuten PuTTY:llä, on myös graafinen käyttöliittymä.

SSH:n käyttämiseen Pythonissa on moduuleja, kuten python-paramiko ja python-twisted-conch.

SSH-tunnelointi

SSH-tunneli on SSH-yhteyden kautta luotu tunneli, jota käytetään tunneloidun tiedon salaamiseen. Käytetään tiedonsiirron suojaamiseen Internetissä. Kun minkä tahansa protokollan salaamaton liikenne lähetetään SSH-tunnelin kautta, se salataan SSH-yhteyden toisessa päässä ja salaus puretaan toisessa. Käytännön toteutus voidaan tehdä useilla tavoilla:

· Socks-välityspalvelimen luominen sovelluksille, jotka eivät toimi SSH-tunnelin kautta, mutta voivat toimia Socks-välityspalvelimen kautta

· SSH-tunnelin kautta toimivien sovellusten käyttäminen.

· VPN-tunnelin luominen, joka sopii melkein kaikkiin sovelluksiin.

· Jos sovellus toimii tietyn palvelimen kanssa, voit määrittää SSH-asiakkaan siten, että se kulkee SSH-tunnelin TCP-yhteyksien kautta, jotka tulevat sen koneen tiettyyn TCP-porttiin, jossa SSH-asiakas on käynnissä. Esimerkiksi Jabber-asiakkaat muodostavat oletusarvoisesti yhteyden porttiin 443. Tämän jälkeen SSH-asiakasohjelma määrittää yhteyden Jabber-palvelimeen SSH-tunnelin kautta ohjaamaan yhteydet mistä tahansa paikallisen koneen portista etäpalvelimeen: $ ssh - L 4430:jabber.example com:443 somehost. Tässä tapauksessa Jabber-asiakas on määritetty muodostamaan yhteys localhost-palvelimen porttiin 4430 (jos ssh-asiakas on käynnissä samassa koneessa kuin Jabber-asiakas). Ssh-tunnelin luomiseen tarvitaan kone, jossa on ssh-palvelin ja pääsy osoitteeseen jabber.example.com. Tätä kokoonpanoa voidaan käyttää, jos palomuuri estää pääsyn osoitteeseen jabber.example.com paikalliselta koneelta, mutta siellä on pääsy johonkin ssh-palvelimeen, jolla ei ole Internet-käyttörajoituksia.

Tekniset tiedot protokollasta

SSH on sovelluskerroksen protokolla. SSH-palvelin kuuntelee tyypillisesti yhteyksiä TCP-portissa 22. SSH-2-protokollaspesifikaatio sisältyy RFC 4251:een. Palvelimen todentamiseen SSH käyttää RSA- tai DSA-digitaaliseen allekirjoitusalgoritmiin perustuvaa osapuolen todennusprotokollaa. Asiakkaan todentamiseen voidaan käyttää myös RSA- tai DSA-digitaalista allekirjoitusta, mutta todennus salasanalla (taaksepäin yhteensopivuus Telnetillä) ja jopa isännän IP-osoitteella (taaksepäin yhteensopivuustila rloginilla) on myös sallittu. Salasanatodennus on yleisin; se on turvallinen, koska salasana välitetään salatun virtuaalikanavan kautta. IP-osoitteen todennus ei ole turvallista; tämä ominaisuus on useimmiten pois käytöstä. Diffie-Hellman (DH) -algoritmia käytetään jaetun salaisuuden (istuntoavaimen) luomiseen. Lähetetyn tiedon salaamiseen käytetään symmetristä salausta, AES-, Blowfish- tai 3DES-algoritmeja. Tiedonsiirron eheys tarkistetaan käyttämällä CRC32:ta SSp:ssä tai HMAC-SHA1/HMAC-MD5:tä SSp:ssä. LempelZiv (LZ77) -algoritmia voidaan käyttää salatun tiedon pakkaamiseen, mikä tarjoaa saman pakkaustason kuin ZIP-arkistointiohjelma. SSH-pakkaus otetaan käyttöön vain asiakkaan pyynnöstä ja sitä käytetään harvoin käytännössä.

CMIP-protokollan pääominaisuudet

CMIP toteuttaa täyden valikoiman CMIS-palveluita. Näillä palveluilla CMIP tukee seuraavaa etäkäyttöpalvelua:

Pyydä (kutsu);

Palautustulos;

Palautusvirhe;

Palvelunkäyttäjän pyynnön hylkääminen;

Palveluntarjoajan hylkääminen pyynnön.

Hallinnoijalta agentille CMIP-protokollan kautta lähetetty ohjausinformaatio on koodattu ASN.1- ja BER-sääntöjen mukaisesti.

Jokaiselle operaatiolle määritetään verkon yli johtajalta agentille ja päinvastoin siirrettävän tietolohkon muoto.

CMIP-protokollan tietolohkomuoto on kuvattu ASN.1-merkinnällä ja sillä on paljon monimutkaisempi rakenne kuin SNMP-lohkoilla. Esimerkiksi M-GET-operaatiotietolohkossa on kenttiä niiden attribuuttien nimien määrittämiseksi, joiden arvoja johtaja pyytää, sekä kenttiä selaus- ja suodatusparametrien määrittämiseen. Siellä on myös kenttiä objektin käyttöoikeuksien parametrien asettamiseen.

CMIP-protokollan käyttö määrittää ohjausjärjestelmän melko korkean alkuvaiheen monimutkaisuuden, koska sen toimintaa varten on tarpeen toteuttaa useita apupalveluita, objekteja ja objektitietokantoja.

CMIP-agentin ilmoitukset lähetetään aina käyttämällä luotettavaa siirtoprotokollaa, ja ne lähetetään uudelleen, jos ne katoavat.

CMIP-protokolla on suunniteltu agenteille, jotka voivat suorittaa monimutkaisia ​​toimia yhdellä yksinkertaisella esimiehen komennolla.

CMIP-protokolla skaalautuu huomattavasti paremmin, koska se voi vaikuttaa useisiin objekteihin kerralla ja agenttien vastaukset kulkevat suodattimien läpi, jotka rajoittavat ohjaustietojen siirron vain tietyille agenteille ja esimiehille. CMIP-protokolla, joka on protokolla agenttien ja OSI-hallintajärjestelmän johtajien väliseen vuorovaikutukseen, antaa sinun käyttää yhtä komentoa vaikuttaaksesi agenttien ryhmään kerralla käyttämällä vaihtoehtoja, kuten selaus ja suodatus.

CMIP-protokollan MIB:illä ei ole yhtenäistä standardia, ja kukin tietoliikennelaitevalmistaja kehittää ne vain omille laitteilleen. Ainoa poikkeus on G.722- ja G.774-siirtojärjestelmien MIB-standardi.

CMIP-protokolla ja CMIS-palvelut

Pääsy hallittuihin objekteihin tallennettuihin hallintatietoihin tarjotaan hallintajärjestelmäelementin kautta, jota kutsutaan Common Management Information Service Elementiksi (CMSIE). CMSIE-palvelu on rakennettu hajautettuun sovellusarkkitehtuuriin, jossa osan toiminnoista suorittaa johtaja ja osan agentti. Esimiehen ja agentin välinen vuorovaikutus tapahtuu CMIP-protokollaa käyttäen. CMSIE-palvelun tarjoamia palveluita kutsutaan nimellä CMIS (Common Management Information Services).

CMIP-protokolla ja CMIS-palvelut on määritelty ITU-T X.710- ja X.711-standardeissa. CMIS-palvelut on jaettu kahteen ryhmään - esimiehen käynnistämät palvelut (pyynnöt) ja agentin käynnistämät palvelut (ilmoitukset).

Esimiehen käynnistämät palvelut sisältävät seuraavat toiminnot:

· M-CREATE käskee agenttia luomaan uuden esiintymän tietyn luokan objektista tai uuden attribuutin objektin ilmentymässä;

· M-DELETE käskee agenttia poistamaan jonkin tietyn luokan tai attribuutin objektin esiintymän objektin ilmentymästä;

· M-GET käskee agenttia palauttamaan tietyn objektiinstanssin jonkin attribuutin arvon;

· M-SET käskee agenttia muuttamaan tietyn objektiinstanssin jonkin attribuutin arvoa;

· M-ACTION ohjeistaa agenttia suorittamaan tietyn toiminnon yhdelle tai useammalle objektiinstanssille.

Agentti käynnistää vain yhden toiminnon:

M-EVENT_REPORT - ilmoituksen lähettäminen johtajalle.

Palvelujensa toteuttamiseksi CMISE-palvelun tulee käyttää OSI-pinon sovelluskerroksen palveluita - ACSE, ROSE.

CMIS-palvelut eroavat vastaavista SNMP-palveluista siinä, että ne ovat joustavampia. Vaikka SNMP GET- ja SET-pyynnöt koskevat vain yhtä objektin attribuuttia, M-GET-, M-SET-, M-ACTION- ja M-DELETE-pyynnöt voivat koskea useampaa kuin yhtä objektia. Tämän saavuttamiseksi CMIP/CMIS-standardit ottavat käyttöön sellaisia ​​käsitteitä kuin laajuus, suodatus ja synkronointi.

Arvostelu

CMISE-kysely voi käyttää selausta useiden objektien kyselyyn kerralla. Otetaan käyttöön neljä tarkistustasoa:

· perusobjekti, joka tunnistetaan sen erottuvalla nimellä FDN;

· objektit, jotka sijaitsevat inkluusiopuun n:nnellä alisteisuustasolla suhteessa perustason tasoon;

· perusobjekti ja kaikki objektit, jotka sijaitsevat alisteisilla tasoilla n:nteen (mukaan lukien) asti sisällytyspuussa;

· alipuu - perusobjekti ja kaikki sen alaiset osapuussa.

Suodatus

Suodatus koostuu Boolen lausekkeen käyttämisestä johtajan pyyntöön. Kysely koskee vain niitä objekteja ja niiden attribuutteja, joille annettu Boolen lauseke on tosi. Boolen lausekkeet voivat sisältää relaatiooperaattoreita =>,<=,<,>tai tiettyjä ominaisuuksia. On mahdollista rakentaa monimutkaisia ​​suodattimia yhdistämällä useita suodattimia yhdeksi yhdistelmäsuodattimeksi.

Synkronointi

Kun kyselyitä tehdään useista objekteista, käytetään yhtä kahdesta synkronointimenetelmästä: atomi- tai mahdollisuussynkronointi. Atomisuunnittelussa pyyntö suoritetaan vain, jos kaikki näkymän tai suodattimen piirissä olevat objektit voivat suorittaa pyynnön onnistuneesti. Synkronointi "jos mahdollista" sisältää pyynnön välittämisen kaikille objekteille, joita pyyntö koskee. Toiminto päättyy, kun mikä tahansa määrä objekteja on suorittanut pyynnön.

CMIP-protokolla on joukko toimintoja, jotka vastaavat suoraan CMIS-palveluita. Siten CMIP-protokolla määrittelee toiminnot M-GET, M-SET, M-CREATE jne. Jokaiselle operaatiolle määritellään verkon kautta managerilta agentille ja päinvastoin siirrettävän tietolohkon muoto. CMIP-protokollan datalohkomuoto on kuvattu ASN.1-merkinnällä ja sillä on paljon monimutkaisempi rakenne kuin SNMP-lohkoilla. Esimerkiksi M-GET-operaation tietolohkossa on kenttiä niiden attribuuttien nimien määrittämiseksi, joiden arvoja johtaja pyytää, sekä kenttiä selaus- ja suodatusparametrien määrittämiseksi, jotka määrittävät kohteen joukon, joihin vaikuttaa. pyynnöstä. Siellä on myös kenttiä objektin käyttöoikeuksien parametrien asettamiseen.

SNMP- ja CMIP-protokollien vertailu

· SNMP-protokollan avulla voit rakentaa sekä yksinkertaisia ​​että monimutkaisia ​​hallintajärjestelmiä, ja CMIP-protokollan käyttö määrittää hallintajärjestelmän tietyn, melko korkean alkuvaiheen monimutkaisuuden, koska sen toimintaa varten on tarpeen toteuttaa apupalvelujen, objektien ja objektitietokantojen määrä.

· CMIP-agentit suorittavat yleensä monimutkaisempia toimintoja kuin SNMP-agentit. Tästä johtuen toiminnot, joita johtaja voi suorittaa SNMP-agentille, ovat luonteeltaan atomisia, mikä johtaa lukuisiin vaihtoihin johtajan ja agentin välillä.

· SNMP-agenttitrapit lähetetään johtajalle odottamatta kuittausta, mikä voi johtaa siihen, että tärkeitä verkko-ongelmia jää havaitsematta, koska vastaava trap katoaa, kun taas CMIP-agenttitrapit lähetetään aina käyttämällä luotettavaa siirtoprotokollaa ja jos häviöt lähetetään uudelleen.

· Jotkin SNMP-ongelmat voidaan ratkaista käyttämällä älykkäämpiä MIB:itä (jotka sisältävät RMON MIB:n), mutta monille laitteille ja tilanteille sellaisia ​​MIB:itä ei ole (joko ei ole standardia tai vastaavaa MIB:tä ei hallita laitteet).

· CMIP-protokolla on suunniteltu älykkäille agenteille, jotka voivat yhdellä yksinkertaisella esimiehen komennolla suorittaa monimutkaisen toimintosarjan.

· CMIP-protokolla skaalautuu huomattavasti paremmin, koska se voi vaikuttaa useisiin objekteihin kerralla ja agenttien vastaukset kulkevat suodattimien läpi, jotka rajoittavat ohjaustietojen siirron vain tietyille agenteille ja esimiehille.

verkkoprotokollan käyttöteksti

TELNET(englanniksi TERminaLNETwork) - verkkoprotokolla tekstirajapinnan toteuttamiseksi verkon yli (nykyaikaisessa muodossaan - TCP-siirtoa käyttämällä). Joillakin apuohjelmilla, jotka toteuttavat protokollan asiakasosan, on myös nimi "telnet". Nykyinen protokollastandardi on kuvattu RFC 854:ssä.

Suorittaa OSI-mallin sovelluskerroksen protokollan toimintoja.

TELNET-protokollan tarkoitus on tarjota melko yleinen, kaksisuuntainen, kahdeksan bitin tavusuuntautunut viestintäväline. Sen päätarkoitus on mahdollistaa päätelaitteiden ja pääteprosessien kommunikointi keskenään. On tarkoitettu, että tätä protokollaa voidaan käyttää päätelaitteiden väliseen tietoliikenteeseen ("niputus") tai prosessien väliseen tietoliikenteeseen ("hajautettu laskenta").

Laite

Vaikka Telnet-istunnossa on asiakas- ja palvelinpuoli, protokolla on itse asiassa täysin symmetrinen. Kun siirtoyhteys (yleensä TCP) on muodostettu, molemmat päät toimivat "Network Virtual Terminals" (NVT) roolina ja vaihtavat kahdentyyppisiä tietoja:

· Sovellustiedot (eli tiedot, jotka siirtyvät käyttäjältä tekstisovellukseen palvelimen puolella ja takaisin);

· Telnet-protokollakomennot, joiden erikoistapauksessa ovat valinnat, jotka auttavat ymmärtämään osapuolten ominaisuuksia ja mieltymyksiä.

Vaikka TCP:n yli ajava Telnet-istunto on kaksisuuntainen, NVT:tä tulisi pitää half-duplex-laitteena, joka toimii oletuksena linjapuskuroidussa tilassa.

Sovellustiedot kulkevat protokollan läpi ilman muutoksia, toisin sanoen toisen virtuaalisen päätteen lähdössä näemme tarkalleen, mitä syötettiin ensimmäisen tuloon. Protokollan näkökulmasta data on yksinkertaisesti sarja tavuja (oktettia), jotka kuuluvat oletusarvoisesti ASCII-joukkoon, mutta kun Binary-vaihtoehto on käytössä - mikä tahansa. Vaikka merkistöjen tunnistamiseen on ehdotettu laajennuksia, niitä ei käytetä käytännössä. Kaikki sovellusdatan oktettiarvot paitsi \377 (desimaali 255) lähetetään sellaisenaan kuljetuksen kautta. Oktetti \377 lähetetään kahden oktetin \377\377 sekvenssinä. Tämä johtuu siitä, että \377-oktettia käytetään siirtokerroksessa vaihtoehtojen koodaamiseen.

Vaihtoehdot

Protokolla tarjoaa oletusarvoisesti minimaalisen toiminnallisuuden ja joukon vaihtoehtoja, jotka laajentavat sitä. Neuvoteltujen vaihtoehtojen periaate edellyttää, että neuvottelut käydään jokaisen vaihtoehdon mukaan. Toinen osapuoli tekee pyynnön, ja toinen osapuoli voi joko hyväksyä tai hylätä tarjouksen. Jos pyyntö hyväksytään, vaihtoehto astuu voimaan välittömästi. Vaihtoehdot on kuvattu erillään itse protokollasta, ja niiden ohjelmistotuki on valinnaista. Protokollaasiakasta (verkkopäätettä) kehotetaan hylkäämään pyynnöt ottaa käyttöön ei-tuetut ja tuntemattomat valinnat.

Tulostin ja NVT-näppäimistö

NVT-tulostimella on määrittelemätön vaunun leveys ja sivun pituus, ja siinä on oltava kaikki 95 tulostettavaa US-ASCII-merkkiä (koodit 32–126). Ohjausmerkeillä on seuraavat merkitykset:

Tuki *-merkittyjen merkkien toiminnalle vaaditaan. Muut voivat suorittaa tietyn toiminnon tai olla suorittamatta mitään; toisen osapuolen ei tarvitse olettaa mitään erityistä toisen osapuolen tuesta tietyille valinnaisille ohjausmerkeille.

"CR LF" -sekvenssiä on käsiteltävä yhtenä rivinvaihtomerkkinä ja sitä on käytettävä aina, kun niiden yhteisvaikutusta vaaditaan; "CR NUL" -sekvenssiä tulisi käyttää, jos vaaditaan vain vaunun paluu; ja CR-symbolin käyttöä tulee välttää muissa yhteyksissä.

Telnet-komentorakenne

Jokainen TELNET-komento on monitavuinen sarja, joka alkaa \377 (desimaali: 255) "InterpretasCommand" (IAC) -koodilla ja komentokoodilla. Vaihtoehtoneuvotteluista vastaavat komennot ovat kolmitavuisia sekvenssejä, joissa kolmas tavu on optiokoodi. Seuraavilla koodeilla ja koodisarjoilla on vastaava merkitys vain välittömästi IAC:n jälkeen.

Sovellukset

Historiallisesti Telnetiä käytettiin käyttöjärjestelmien komentoriviliittymän etäkäyttöön. Myöhemmin sitä alettiin käyttää muihin tekstirajapintoihin, mukaan lukien MUD-pelit ja animoitu ASCII-taide. Teoriassa jopa protokollan molemmat puolet voivat olla paitsi ihmisiä, myös ohjelmia.

Joskus telnet-asiakkaita käytetään käyttämään muita TCP-siirtoon perustuvia protokollia, katso #Telnet ja muut protokollat.

Telnet-protokollaa käytetään FTP-ohjausyhteydessä, eli telnet-yhteys palvelimelle komennolla telnet ftp.example.net ftp virheenkorjauksen ja kokeilun suorittamiseksi ei ole vain mahdollista, vaan myös oikein (toisin kuin telnet-asiakkaiden käyttäminen HTTP:n käyttämiseen, IRC ja useimmat muut protokollat ​​).

Turvallisuus

Protokolla ei sisällä salauksen tai tietojen todentamisen käyttöä. Siksi se on alttiina kaikenlaisille hyökkäyksille, joille sen kuljetus, eli TCP-protokolla, on alttiina. Järjestelmän etäkäytön toimivuuteen on tällä hetkellä käytössä SSH-verkkoprotokolla (erityisesti sen versio 2), jonka luomisessa painotettiin erityisesti turvallisuuskysymyksiä. Muista siis, että Telnet-istunto on erittäin epävarma, ellei sitä tehdä täysin valvotussa verkossa tai verkkotason suojauksella (eri VPN-toteutuksella). Epäluotettavuuden vuoksi Telnet käyttöjärjestelmien hallintakeinona on hylätty pitkään.

Telnet ja muut protokollat

Internet-tekniikan asiantuntijoiden keskuudessa on laaja käsitys, että Telnet-asiakasohjelma soveltuu manuaaliseen käyttöön (esimerkiksi virheenkorjaustarkoituksiin) sovellustason protokolliin, kuten HTTP, IRC, SMTP, POP3 ja muihin TCP:hen perustuviin tekstisuuntautuneisiin protokolliin. kuljetus. Telnet-asiakkaan käyttö TCP-asiakkaana aiheuttaa kuitenkin seuraavat ei-toivotut vaikutukset:

· Asiakas voi lähettää tietoja, joita et ole syöttänyt (Telnet-asetukset);

· Asiakas ei hyväksy oktettia \377;

· Asiakas sekoittaa \377 oktettin lähettäessään;

· Asiakas voi yleensä kieltäytyä lähettämästä oktetteja, joilla on merkittävin bitti 1.

Netcatin kaltaiset ohjelmat tarjoavat puhtaan pääsyn TCP:hen, mutta vaativat erityisiä temppuja (kuten stty -icrnl UNIX-järjestelmässä) rivinvaihdon välittämiseksi CR LF:nä (jota monet protokollat ​​vaativat). Tyypillisesti Telnet-asiakas lähettää oletusarvoisesti minkä tahansa rivinvaihdon CR LF:nä riippumatta sen koodauksesta asiakkaan järjestelmässä. Myös sovellusprotokollien (paitsi FTP:tä ja itse asiassa Telnetiä) pääsyn virheenkorjaukseen on käytettävä PuTTY-asiakasta "Raw"-tilassa (puhdas pääsy TCP:hen) - PuTTY muuntaa rivinvaihdot erikseen Telnet-protokollan tuesta.

Samanlaisia ​​asiakirjoja

CAN-protokollan fyysinen kerros. Siirtonopeus ja verkon pituus. CAN-protokollan kanavakerros. Resessiiviset ja hallitsevat bitit. CAN-standardin verkon toimintakaavio. Virheiden havaitsemismenetelmät. Verkon perusominaisuudet. Korkean tason protokollat.

tiivistelmä, lisätty 17.5.2013


Sähköposti (e-Mail) ja sen pääkomponentit: tietoresurssi, sähköpostipalvelin, asiakas ja protokollat ​​niiden vuorovaikutusta varten. SMTP-, POP3- ja IMAP4-protokollien vertailuominaisuudet. Puhelinkonferenssit, tiedostoarkistot FTP, Telnet, World Wide Web.

testi, lisätty 19.1.2011


TMN-tietokoneverkon yleiset käsitteet, tehtävät ja ominaisuudet: ohjaustekniikka, peruselementtien koostumus ja käyttötarkoitus, toiminnallisuus, arkkitehtuuri. Ohjauksen toteutus VOS-mallissa. SNMP- ja CMIP-protokollien vertailuominaisuudet.

kurssityö, lisätty 18.3.2011


OSI-mallin verkkokerroksen yleisten toimintojen kuvaus: lokikirjaus, reititys ja looginen osoitus. TCP/IP-verkkoprotokollan ja komentoriviverkkoapuohjelmien toimintaperiaatteiden opiskelu. Paikallinen verkko-osoite ja Internet-luokan määritelmä.

esitys, lisätty 12.5.2013


Protokolla on joukko sopimuksia ja sääntöjä, jotka määrittelevät tietojenvaihdon järjestyksen tietokoneverkossa. Lyhyt kuvaus ja ominaisuudet joistakin Internetissä käytettävistä protokollista: TCP/IP, POP3, IMAP4, SMTP, FTP, HTTP, WAIS, TELNET, WAP.

esitys, lisätty 27.4.2011


Erilaisten verkkoyhteyksien suojausjärjestelmän toteuttamismenetelmien analysointi ja vertailu. Verkkohyökkäysten tyypit ja niiden negatiivisen vaikutuksen menetelmät, mahdolliset seuraukset ja toimenpiteet niiden estämiseksi. Suojattujen verkkoyhteyksien luomiseen tarkoitetun protokollan rakenne ISAKMP.

opinnäytetyö, lisätty 19.6.2010


ICMP-protokollan yleiset ominaisuudet, sen tarkoitus ja sanomamuoto. Analyysi ICMP-protokollan soveltuvuudesta siirryttäessä IP v4 -protokollajoukosta IP v6 -sarjaan. Reititystiedonvaihtoprotokollien ominaisuudet ja toimintaperiaatteet, soveltamisala.

kurssityö, lisätty 24.8.2009


Työskentele ARPANET-verkon, TCP/IP-verkkokommunikaatioprotokollien luomisen parissa. TCP/IP-ohjelmiston ominaisuudet. Lyhyt kuvaus TCP/IP-protokollaperheestä lyhenteineen. Arkkitehtuuri, verkkokerrokset ja TCP/IP-protokollat.

tiivistelmä, lisätty 5.3.2010


Protokollan toiminta ja kehitettävän protokollan pakettirakenne. Otsikkokenttien pituus. Vastaanottopuskurin pituuden laskeminen riippuen paketin pituudesta ja hyväksyttävästä viiveestä. Algoritmit tietojen käsittelyyn vastaanotossa ja lähetyksessä. Protokollan ohjelmistototeutus.

kurssityö, lisätty 18.5.2014


Internet-palvelut: sähköposti, tiedostojen siirto. Verkkopalvelujen vastaanottaminen etätietokoneen kautta. Internet-protokollat: HTTP, FTP, Telnet, WAIS, Gopher, SMTP, IRC. Videoneuvottelujen toteuttamisen tavoitteet. Puhelinkonferenssien järjestäminen ja pitäminen.

Kirjassa käsitellään yksityiskohtaisesti verkkopalveluiden asetuksia, joiden avulla voidaan luoda Linux-käyttöjärjestelmään perustuva palvelin, jolla on tarvittavat kokoonpanot ja toiminnot. Voit määrittää minkä tahansa tyyppisen palvelimen: paikallisesta verkkopalvelimesta Internet-palvelimeen ja etäkäyttöpalvelimeen. Linuxin hallinto on kuvattu yksityiskohtaisesti.

Materiaalin esitys perustuu Red Hat- ja Mandrake-jakeluihin. Paljon ainutlaatuista tietoa: Windows-pelien käyttäminen Linuxin alla ja Linux-palvelimen luominen pelihuoneeseen, Dr.-virustorjuntaohjelmien käyttöönotto. Web ja AVP Linuxille, liikenteenlaskentaohjelma MRTG, tietoturva- ja hyökkäyksentunnistusjärjestelmä LIDS ja paljon muuta. Erityistä huomiota kiinnitetään Linux-palvelimien turvallisuuteen. Itse Linux-käyttöjärjestelmä on kuvattu riittävän yksityiskohtaisesti ja sen komentojen viitekirja tarjotaan. Kirjan lukemisen jälkeen opit ytimen konfiguroinnista ja kääntämisestä, omien rpm-pakettien luomisesta, bash-komentotulkista ja RAID-taulukoiden käytöstä. Opit tuntemaan Linuxin sisäisen maailman. Kirja sopii sekä ammattilaisille että aloitteleville järjestelmänvalvojille, sillä materiaalin esittely alkaa Linux-käyttöjärjestelmän asennuksella ja ensimmäisessä luvussa kuvataan verkon perustekniikat ja protokollat ​​(Young Administrator Course).

Kaikki kirjassa olevat listaukset on testattu käytännössä ja ne on sijoitettu liitteenä olevalle CD-levylle. Lisäksi se sisältää paljon viitetietoja (HOWTO, RFC) sekä artikkeleita Linuxista. Palvelimelle on tarjolla runsaasti apuohjelmia ja ohjelmistoja (Apache, MySQL, MRTG jne.).

Kirja:

Tämän sivun osiot:

Telnet-palvelu tarjoaa peruspääteemuloinnin etäjärjestelmille, jotka tukevat Telnet-protokollaa TCP/IP-protokollan kautta. Emulation of Digital Equipment Corporation VT 100, Digital Equipment Corporation VT 52, TTY-päätteet tarjotaan. Telnet-protokolla on kuvattu RFC 854:ssä, joka löytyy mukana toimitetulta CD-levyltä.

Telnet-palvelin käsittelee kaikki Telnetillä annetut komennot, ei paikallinen tietokone. Käyttäjä näkee vain näiden komentojen suorittamisen tuloksen.

Telnetin käyttäminen edellyttää, että etätietokoneeseen on asennettu telnet-daemon. Asiakasohjelma on asennettava käyttäjän tietokoneeseen. Melkein jokaisessa käyttöjärjestelmässä on telnet-apuohjelma, joka on telnet-protokollan asiakas (katso kuva 8.2).

Telnet-palvelu on ollut ja on edelleen yksi suosituimmista tavoista rekisteröityä ja työskennellä etäkoneella. Sen suurin haitta on, että kaikki tiedot, mukaan lukien salasanat, lähetetään selkeänä tekstinä ilman salausta.

SSH (Secure Shell) on ohjelma, jonka avulla voit kirjautua etätietokoneisiin ja muodostaa salatun yhteyden. Telnetistä on myös "suojattu" versio - stelnet.

SSH käyttää julkisen avaimen salausta kahden koneen välisen yhteyden salaamiseen ja myös käyttäjien todentamiseen.

Riisi. 8.2.Telnet-asiakasohjelma Windowsille

Ssh-kuoren avulla voidaan kirjautua turvallisesti etäpalvelimelle tai kopioida tietoja kahden koneen välillä samalla kun estetään istunnon kaappaukset ja DNS-paikannushyökkäykset.

Secure Shell tukee seuraavia salausalgoritmeja:

BlowFish on 64-bittinen salausjärjestelmä. Tätä algoritmia käytetään usein suurten tietomäärien nopeaan salaukseen.

Kolminkertainen DES(Data Encryption Standard) - standardi tietojen salaukselle. Tämä algoritmi on melko vanha, joten sen käyttöä ei suositella. Tyypillisesti DES:ää käytetään luokittelemattomien tietojen salaamiseen.

IDEA(International Data Encryption Algorithm) - kansainvälinen tiedon salausalgoritmi. Tämä algoritmi toimii 128-bittisellä avaimella ja on siksi turvallisempi kuin BlowFish ja DES.

RSA(Rivest-Shamir-Adelman-algoritmi) - Rivest-Shamir-Adelman-algoritmi. Se on salausjärjestelmä julkisilla ja yksityisillä avaimilla.

Kun valitset salausalgoritmia, sinun on otettava huomioon siirrettävien tietojen luottamuksellisuus. Jos tiedot ovat salaisia, on parempi käyttää IDEA- tai RSA-algoritmeja. Jos et vain halua siirtää tietoja selkeänä tekstinä, käytä BlowFish-algoritmia, koska se on paljon nopeampi kuin DES.

Ssh-kuori on erittäin tehokas protokolla-analysaattoreita vastaan, koska se ei vain salaa, vaan myös pakkaa liikennettä ennen sen lähettämistä etätietokoneeseen. Ssh-ohjelman voi ladata osoitteesta http://www.cs.hut.fi/ssh/. Ssh:n UNIX-versio on ilmainen, mutta sinun on maksettava Windows-versiosta (eli Windows-asiakasohjelmasta).

Ssh-kuori on välttämätön tapauksissa, joissa palvelinta on etähallittava tai kun palvelimella ei ole omaa näyttöä. Telnetiä käytettäessä kaikki telnet-yhteyden kautta siirretyt tiedot ovat saatavilla selkeänä tekstinä. Tämä tarkoittaa, että käyttäjätunnukset ja salasanat ovat kaikkien saatavilla, jotka kuuntelevat liikennettä analysaattorin avulla. SSH suorittaa salauksen useilla eri algoritmeilla, mukaan lukien DES ja 3DES.

Ohjelma koostuu sshd-daemonista, joka toimii Linux/UNIX-koneella, ja ssh-asiakasohjelmasta, joka on jaettu sekä Linuxille että Windowsille. Asentaaksesi ssh:n, ota lähteet ja sijoita ne hakemistoon /usr/src/ tavalliseen tapaan. Pura sitten arkisto ja asenna ohjelma seuraavasti:

cd /usr/src/
tar xzf ssh-2.4.0.tar.gz
cd ssh-2.4.0
./configure
tehdä
tee asennus

Jotta ssh alkaa toimia, sinun on käynnistettävä sshd-daemon koneella, johon sinun pitäisi muodostaa yhteys. On suositeltavaa lisätä käynnistyskomento järjestelmän käynnistysskriptiin automaattista käynnistystä varten. Sshd-daemon toimii portissa 22 (katso luettelo 8.6). Jos en erehdy, ssh:ta ei voi käyttää yhdessä xinetd/inetd:n kanssa - se on käynnistettävä kuin httpd-palvelin erillistilassa.

ssh 22/tcp # SSH Remote Login Protocol
ssh 22/udp # SSH Remote Login Protocol

Yleensä sshd:n asettamisessa ei ole epämiellyttäviä ongelmia. Demonin määrittämistä käsitellään yksityiskohtaisesti myöhemmin tässä luvussa. Yritä nyt kirjautua tälle koneelle ssh:n kautta. Tätä varten sinun on asennettava sama paketti toiseen koneeseen, jossa on Linux/UNIX (tai asennettava Windows ssh -asiakas) ja annettava komento:

$ ssh isäntänimi.verkkotunnus

ssh pyytää sinua antamaan käyttäjän salasanan. Nykyisen käyttäjän nimeä käytetään käyttäjänimenä yhteyden muodostamisessa, eli nimeä, jolla olet tällä hetkellä rekisteröitynyt järjestelmään. Jos todennus onnistuu, viestintäistunto alkaa. Voit lopettaa istunnon näppäinyhdistelmällä Ctrl+D.

Jos sinun on määritettävä eri käyttäjätunnus, käytä ssh-ohjelman vaihtoehtoa –l:

ssh –l käyttäjä isäntänimi.ru

Näin voit kertoa ssh-ohjelmalle, millä käyttäjällä tulee rekisteröityä etäkoneelle (katso kuva 8.3).

Windows-asiakasohjelmaa käytettäessä tietokoneen nimi, käyttäjätunnus ja salasana on syötettävä ohjelman valintaikkunaan. Jos yhteys epäonnistuu, yritä valita blowfish-koodausmenetelmä. Jos se ei auta, valitse 3DES.

Työskentely ssh:ssä on samanlaista kuin telnetissä. Voit hallita etäkonetta yhtä helposti kuin paikallista konetta. Ssh-ohjelman vaihtoehdot on lueteltu taulukossa. 8.5

Kuva 8.Z. Rekisteröityminen etäkoneella

ssh-ohjelman asetukset Taulukko 8.5

Ssh-kuori käyttää kahta asetustiedostoa ssh_conf ja sshd_conf. Mielestäni ei ole mitään järkeä sanoa, että ne sijaitsevat /etc/ssh-hakemistossa. Suosittelen seuraavan rivin lisäämistä sshd_conf-tiedostoon:

sallittu osoite 10.1.1.1 10.1.2.1 10.1.3.1

Tämä tarkoittaa, että pääsy ssh:n kautta voidaan suorittaa vain koneista, joiden osoitteet ovat 10.1.1.1, 10.1.2.1, 10.1.3.1. Tämä suojaa tietokonettasi ei-toivotuilta ulkopuolelta tulevilta tunkeutumisilta.

Stelnet-ohjelma on kaikessa täysin samanlainen kuin telnet-ohjelma, mutta se salaa telnet-yhteyden aikana välitettävän liikenteen.

Sshd-daemon on ssh-kuoren daemon-ohjelma. Yleensä sshd toimii koneessa, johon ssh-asiakkaat muodostavat yhteyden. Uusimmat sshd-daemonin versiot tukevat kahta ssh-protokollan versiota - ssh-versiota 1 ja ssh-versiota 2.

Jokaisella solmulla on oma RSA-avain (yleensä 1024 bittiä), jota käytetään solmun tunnistamiseen. Tätä avainta kutsutaan myös julkiseksi avaimeksi. Lisäksi kun daemon käynnistyy, syntyy toinen RSA-avain - palvelinavain (yleensä 768 bittiä). Tämä avain luodaan uudelleen joka tunti, eikä sitä koskaan tallenneta levylle.

Joka kerta kun yhteys muodostetaan asiakkaan kanssa, demoni vastaa julkisella avaimellaan ja palvelinavaimella. Asiakas vertaa tuloksena olevaa julkista avainta tietokantaansa tarkistaakseen, onko se muuttunut. Asiakas luo sitten satunnaisesti 256-bittisen luvun ja koodaa sen käyttämällä kahta avainta samanaikaisesti - julkista avainta ja palvelinavainta. Molemmat osapuolet käyttävät tätä satunnaislukua istuntoavaimena, jolla salataan kaikki istunnon aikana lähetetty data.

Asiakas yrittää sitten todentaa itsensä käyttämällä .rhosts-, RSA- tai salasanatodennusta.

Yleensä .rhosts-todennus on turvaton ja siksi se on poistettu käytöstä.

Versio 2 toimii samalla tavalla: jokaisella solmulla on erityinen DSA-avain, jota käytetään solmun tunnistamiseen. Palvelinavainta ei kuitenkaan luoda, kun demoni käynnistetään. Yhteysturvallisuus varmistetaan Diffie-Hellman-avainsopimuksella.

Istunto voidaan koodata seuraavilla menetelmillä: 128-bittinen AES, Blowfish, 3DES, CAST128, Arcfour, 192-bittinen AES tai 256-bittinen AES.

Sshd-daemon-asetukset on lueteltu taulukossa. 8.6.

sshd-daemon-asetukset Taulukko 8.6

Daemon-määritystiedosto /etc/ssh/sshd_config näyttää suunnilleen listalta 8.7

Listaus 8.7 Asetustiedosto /etc/ssh/sshd_config

# $OpenBSD: sshd_config,v 1.38 2001/04/15 21:41:29 deraadt Exp $
# Tämä sshd on käännetty tiedostolla PATH=/usr/bin:/bin:/usr/sbin:/sbin
# Tämä on sshd-palvelimen järjestelmänlaajuinen määritystiedosto. Katso sshd(8)
# Lisätietoja.
Portti 22
# Pöytäkirja 2.1
# ListenAddress 0.0.0.0
#ListenAddress::
HostKey /etc/ssh/ssh_host_key
HostKey /etc/ssh/ssh_host_rsa_key
HostKey /etc/ssh/ssh_host_dsa_key
ServerKeyBits 768
LoginGraceTime 600
KeyRegenerationInterval 3600
PermitRootLogin kyllä
#
# Älä lue ~/.rhosts- ja ~/.shosts-tiedostoja
IgnoreRhosts kyllä
# Poista kommentti, jos et luota ~/.ssh/known_hosts for
RhostsRSAA-todennus
# IgnoreUserKnownHosts kyllä
StrictModes kyllä
X11 Edelleenlähetys kyllä
X11 DisplayOffset 10
PrintMotd kyllä
#PrintLastLog no
KeepAlive kyllä
# Kirjautuminen
SyslogFacility AUTHPRIV
LogLevel INFO
# vanhentunut QuietMode ja FascistLogging
RhostsAuthentication no
#
# Jotta tämä toimisi, tarvitset myös isäntäavaimet tiedostossa /etc/ssh/
ssh_known_hosts
RhostsRSAAtodennus nro
# samanlainen protokollaversiolle 2
Hostbased Authentication no
#
RSAA-todennus kyllä
# Jos haluat poistaa tunneloidut selkeät tekstit -salasanat käytöstä, vaihda arvoksi ei tästä!
Salasanatodennus kyllä
PermitEmptyPasswords no
# Poista s/key-salasanat käytöstä poistamalla kommentit
#ChallengeResponseAuthentication no
# Poista kommentit ottaaksesi RAM-näppäimistön interaktiivisen todennuksen käyttöön
# Varoitus: tämän ottaminen käyttöön saattaa ohittaa "PasswordAuthentication" -asetuksen
# PAMAuthenticationViaKbdInt kyllä
# Kerberos-asetusten muuttaminen
# KerberosAuthentication no
# KerberosOrLocalPasswd kyllä
# AFSTokenPassing nro
# KerberosTicketCleanup no
# Kerberos TGT Passing toimii vain AFS-kaserverin kanssa
# KerberosTgtPassing kyllä
# CheckMail kyllä
# Käytä kirjautumisnroa
# MaxStartups 10:30:60
# Banneri /etc/issue.net
# ReverseMappingCheck kyllä
Alijärjestelmä sftp/usr/libexec/openssh/sftp-server