Администрирование инфраструктуры на основе ОС семейства Linux. Установка и сопровождение служб удалённого доступа. Администрирование инфраструктуры на основе ос семейства Linux. Установка и сопровождение служб удалённого доступа по междисциплинарному курсу мдк 02. 01 Администрирование сетевых операционных систем
Скачать 63.79 Kb.
|
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ АРХАНГЕЛЬСКОЙ ОБЛАСТИ Государственное автономное профессиональное образовательное учреждение Архангельской области «КОТЛАССКИЙ ЭЛЕКТРОМЕХАНИЧЕСКИЙ ТЕХНИКУМ» (ГАПОУ АО «КЭМТ») Курсовая работа на тему: Администрирование инфраструктуры на основе ОС семейства Linux. Установка и сопровождение служб удалённого доступа по междисциплинарному курсу: МДК 02.01 Администрирование сетевых операционных систем профессионального модуля: ПМ.02 Организация сетевого администрирования Выполнил(а): Фёдоров Степан Сергеевич Студент 2 курса 26-п группы Специальность: 09.02.06 Сетевое и системное администрирование Руководитель: Федотов Кирилл Евгеньевич Преподаватель: МДК02.01 Администрирование сетевых операционных систем Котлас 2020 Оглавление ВВЕДЕНИЕ 3 Технологии удалённого администрирования 5 Удалённый доступ 5 Достоинства и недостатки удалённого доступа 5 Безопасность удалённого доступа 6 Способы организации удалённого управления 10 ЗАКЛЮЧЕНИЕ 17 СПИСОК ЛИТЕРАТУРЫ 18 ВВЕДЕНИЕ В настоящее время компьютеры прочно вошли в жизнь современного производства. С их помощью выполняется большое количество задач и операций. Распространение многофункционального программного обеспечения с адаптацией к сетевым возможностям в большинстве приложений ведет к росту числа внедряемых в работу компьютеров. Они могут быть удалены друг от друга на внушительном расстоянии или стоять рядом в информационных центрах. Таким образом, использованные возможности обязаны быть эффективны для управления большим числом компьютеров как локально, так и удаленно. Но для бесперебойной работы этих сложных машин требуется профессиональное обслуживание квалифицированными специалистами, которые способны быстро и своевременно устранить возникающие неполадки. Особенно это касается офисных компьютеров, где время простоя может нанести значительные убытки производству. В связи с этим возникает необходимость в качественном техническом обслуживании. Для оптимизации этого процесса многие системные администраторы используют незаменимый инструмент – удаленное администрирование. С его помощью можно не только сэкономить время на посещения офисов и удаленных точек специалистом, но и увеличить скорость реагирования на заявки пользователей, что очень важно в современных реалиях. Также службы удалённого доступа могут помочь и значительно повысить эффективность работы любого предприятия в целом поскольку: — это позволяет соединить филиалы/подразделения организации с центральным офисом, что даёт возможность синхронизировать работу всех подразделений; — это обеспечивает доступ многих служащих, находящихся вне офиса, к сетевым ресурсам с целью выполнения своих должностных обязанностей, поиска необходимой информации и т. д., что экономит время, затрачиваемое на перемещение сотрудников. Особенно удобно удалённое администрирование для небольших организация, не имеющих возможности держать сетевого администратора в офисе полный рабочий день. Поэтому я считаю, что тема «Установка и сопровождение служб удалённого доступа» является как никогда актуальной. Цель работы: выявить наиболее эффективные и безопасные способы удалённого администрирования устройств Задачи: Выяснить, что такое удалённый доступ Узнать принцип работы удалённого доступа Рассмотреть существующие службы и методы удалённого доступа В процессе выявить рекомендации по выбору и установке ТЕХНОЛОГИИ УДАЛЁННОГО АДМИНИСТРИРОВАНИЯ Удалённый доступ Службы удалённого доступа – программы или функции ОС, позволяющие получить удалённый доступ к компьютеру через Интернет или ЛВС и производить управление и администрирование удалённого компьютера в реальном времени. Таким образом, использование режима удалённого доступа позволяет системному администратору, находящемуся в любой точке мира, совершать любые действия (управления рабочим столом, конфигурирование, диагностика и т.д.) над удалённым компьютером или сервером. В настоящее время существует множество служб, обладающих различными возможностями и позволяющих управлять компьютером удалённо. У каждой есть свои сильные и слабые стороны. Однако, прежде чем предоставлять системному администратору доступ к администрированию, необходимо учесть множество факторов: обеспечение безопасности данных, техническая поддержка, определение стандартов работы с информацией. Для реализации режима удалённого доступа необходимо выполнение следующих условий: - наличие высокоскоростного доступа к сети Интернет/локальная сеть; - внешний ip адрес (как правильно статический); - установленная на устройстве «клиента» служба, позволяющая осуществлять удалённый доступ; - настроенная соответствующая служба для управления удалённым доступом; - наличие на машине «клиента» пользователя с правами администратора. Важнейшим условием и, пожалуй, большим недостатком использования служб удалённого доступа является включённое устройство, к которому нужно подключиться, а также запущенная сама служба или программа, при помощи которой осуществляется удалённое управление. Достоинства и недостатки удалённого доступа Достоинства: Безопасность – вся ваша важная информация, в том числе файлы и документы, будет храниться в самых безопасных для этого местах – дата-центрах, где практически нулевая вероятность их кражи или утери. Соединение с удаленным сервером устанавливается со сложными системами шифрования, которые нивелируют риск атаки и других возможностей утери данных, распространенных в стандартных компьютерных сетях. Гибкость – главная задача систем удаленного доступа – возможность работникам исполнять свои функции буквально откуда угодно в любое время. Все, что нужно – это компьютер и безопасное интернет-соединение. Экономия – часто использование системы удаленного доступа позволяет отказаться от трат на многочисленные копии одинакового программного обеспечения, поскольку это ПО можно использовать на единственном компьютере. Кроме того, компьютеры, используемые для получения доступа к целевой машине, не обязательно должны быть самыми мощными, и, следовательно, дорогими. Недостатки: Простой – если ваш дата-центр не может обеспечить идеальную бесперебойную работу соединения, то велик риск простоя. А поскольку речь идет о перебоях системы удаленного доступа, вся ваша система будет недоступна, пока не будет восстановлена работоспособность соединения. Зависимость от сетевого соединения – подобно предыдущему пункту, здесь система будет работать отлично, пока удаленные компьютеры обладают стабильным и быстрым интернет-соединением. При его потере система становится недоступна для этих компьютеров. Снижение производительности – в зависимости от мощности целевого компьютера и количества подключенных компьютеров возможно снижение производительности и взаимные помехи. Знания – администратор системы удаленного доступа должен обладать хорошим знанием темы и быть готовым на случай, если появятся проблемы в течение обычного рабочего дня. Без необходимых умений и знаний в случае отказа системы последствия могут быть удручающими. Безопасность 5.1 Пользователи находятся вне зоны прямого физического контроля организации. Требуется доказательство того, что к корпоративному ресурсу подключается именно "свой" пользователь, а не злоумышленник, "прикинувшийся" своим. 5.2 Для рабочего места организация не может обеспечить физическую безопасность. Его не может защитить охрана офиса, оно может быть похищено. Оно может не соответствовать требованиям организации по конфигурации. Безопасность удалённого доступа IPsec IPsec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP. Позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. В основном, применяется для организации VPN-соединений. IPsec является набором стандартов Интернета и своего рода «надстройкой» над IP-протоколом. Его ядро составляют три протокола: Authentication Header (АН) обеспечивает целостность передаваемых данных, аутентификацию источника информации и функцию по предотвращению повторной передачи пакетов Encapsulating Security Payload (ESP) обеспечивает конфиденциальность (шифрование) передаваемой информации, ограничение потока конфиденциального трафика. Кроме этого, он может исполнять функции AH: обеспечить целостность передаваемых данных, аутентификацию источника информации и функцию по предотвращению повторной передачи пакетов. При применении ESP в обязательном порядке должен указываться набор услуг по обеспечению безопасности: каждая из его функций может включаться опционально. Internet Security Association and Key Management Protocol (ISAKMP) — протокол, используемый для первичной настройки соединения, взаимной аутентификации конечными узлами друг друга и обмена секретными ключами. Протокол предусматривает использование различных механизмов обмена ключами, включая задание фиксированных ключей, использование таких протоколов, как Internet Key Exchange, Kerberized Internet Negotiation of Keys (RFC 4430) или записей DNS типа IPSECKEY (RFC 4025). Также одним из ключевых понятий является Security Association (SA). По сути, SA является набором параметров, характеризующим соединение. Например, используемые алгоритм шифрования и хеш-функция, секретные ключи, номер пакета и др. Туннельный и транспортный режимы IPsec может функционировать в двух режимах: транспортном и туннельном. В транспортном режиме шифруются (или подписываются) только данные IP-пакета, исходный заголовок сохраняется. Транспортный режим, как правило, используется для установления соединения между хостами. Он может также использоваться между шлюзами для защиты туннелей, организованных каким-нибудь другим способом (см., например, L2TP). В туннельном режиме шифруется весь исходный IP-пакет: данные, заголовок, маршрутная информация, а затем он вставляется в поле данных нового пакета, то есть происходит инкапсуляция. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети. Режимы IPsec не являются взаимоисключающими. На одном и том же узле некоторые SA могут использовать транспортный режим, а другие — туннельный. Security Association Security Association (SA) — это соединение, которое предоставляет службы обеспечения безопасности трафика, который передаётся через него. Два компьютера на каждой стороне SA хранят режим, протокол, алгоритмы и ключи, используемые в SA. Каждый SA используется только в одном направлении. Для двунаправленной связи требуется два SA. Каждый SA реализует один режим и протокол; таким образом, если для одного пакета необходимо использовать два протокола (как например AH и ESP), то требуется два SA. Политика безопасности Политика безопасности хранится в SPD (База данных политики безопасности). SPD может указать для пакета данных одно из трёх действий: отбросить пакет, не обрабатывать пакет с помощью IPSec, обработать пакет с помощью IPSec. В последнем случае SPD также указывает, какой SA необходимо использовать (если, конечно, подходящий SA уже был создан) или указывает, с какими параметрами должен быть создан новый SA. SPD является очень гибким механизмом управления, который допускает очень хорошее управление обработкой каждого пакета. Пакеты классифицируются по большому числу полей, и SPD может проверять некоторые или все поля для того, чтобы определить соответствующее действие. Это может привести к тому, что весь трафик между двумя машинами будет передаваться при помощи одного SA, либо отдельные SA будут использоваться для каждого приложения, или даже для каждого TCP соединения. ISAKMP/Oakley Протокол ISAKMP определяет общую структуру протоколов, которые используются для установления SA и для выполнения других функций управления ключами. ISAKMP поддерживает несколько Областей Интерпретации (DOI), одной из которых является IPSec-DOI. ISAKMP не определяет законченный протокол, а предоставляет "строительные блоки" для различных DOI и протоколов обмена ключами. Протокол Oakley — это протокол определения ключа, использующий алгоритм замены ключа Диффи-Хеллмана. Протокол Oakley поддерживает идеальную прямую безопасность (Perfect Forward Secrecy — PFS). Наличие PFS означает невозможность расшифровки всего траффика при компрометации любого ключа в системе. IKE IKE (произносится аи, аббр. от Internet Key Exchange) — протокол, связывающий все компоненты IPsec в работающее целое. В частности, IKE обеспечивает первоначальную аутентификацию сторон, а также их обмен общими секретными ключами. Существует возможность вручную установить ключ для сессии (не путать с pre-shared key [PSK] для аутентификации). В этом случае IKE не используется. Однако этот вариант не рекомендуется и используется редко. Традиционно, IKE работает через порт 500 UDP. SSL SSL (англ. SecureSocketsLayer — слой защищённых сокетов) — криптографический протокол, который подразумевает более безопасную связь. Он использует асимметричную криптографию для аутентификации ключей обмена, симметричное шифрование для сохранения конфиденциальности, коды аутентификации сообщений для целостности сообщений. Протокол широко использовался для обмена мгновенными сообщениями и передачи голоса через IP (англ. VoiceoverIP — VoIP) в таких приложениях, как электронная почта, интернет-факс и др. В 2014 году правительство США сообщило об уязвимости в текущей версии протокола[1]. SSL должен быть исключён из работы в пользу TLS (см. CVE-2014-3566). SSL изначально разработан компанией Netscape Communications для добавления протокола HTTPS в свой веб-браузер Netscape Navigator. Впоследствии на основании протокола SSL 3.0 был разработан и принят стандарт RFC, получивший имя TLS. TLS TLS (англ. transportlayersecurity — Протокол защиты транспортного уровня), как и его предшественник SSL (англ. securesocketslayer — слой защищённых сокетов), — криптографические протоколы, обеспечивающие защищённую передачу данных между узлами в сети Интернет. TLS и SSL используют асимметричное шифрование для аутентификации, симметричное шифрование для конфиденциальности и коды аутентичности сообщений для сохранения целостности сообщений. Данный протокол широко используется в приложениях, работающих с сетью Интернет, таких как веб-браузеры, работа с электронной почтой, обмен мгновенными сообщениями и IP-телефония (VoIP). TLS-протокол основан на спецификации протокола SSL версии 3.0, разработанной компанией Netscape Communications. Сейчас развитием стандарта TLS занимается IETF. TLS имеет множество мер безопасности: Защита от понижения версии протокола к предыдущей (менее защищённой) версии или менее надёжному алгоритму шифрования; Нумерация последовательных записей приложения и использование порядкового номера в коде аутентификации сообщения (MAC); Использование ключа в идентификаторе сообщения (только владелец ключа может сгенерировать код аутентификации сообщения). Алгоритм вычисления кода аутентификации (HMAC), используемый во многих сессиях TLS, определён в RFC 2104; Сообщение, которым заканчивается подтверждение связи («Finished»), используется для подтверждения аутентичности ранее переданных сообщений и, таким образом, выбранных параметров TLS-соединения. Уязвимость протокола TLS 1.0, которая считалась теоретической, была продемонстрирована на конференции Ekoparty в сентябре 2011 года. Демонстрация включала в себя дешифрование cookies, использованных для аутентификации пользователя. Уязвимость в фазе возобновления соединения, обнаруженная в августе 2009 года, позволяла криптоаналитику, способному взломать https-соединение, добавлять собственные запросы в сообщения, отправленные от клиента к серверу. Так как криптоаналитик не может дешифровать переписку сервера и клиента, этот тип атаки отличается от стандартной атаки, типа человек посередине. В случае, если пользователь не обращает внимания на индикацию браузера о том, что сессия является безопасной (обычно значок замка), уязвимость может быть использована для атаки типа человек посередине. Для устранения этой уязвимости было предложено как на стороне клиента, так и на стороне сервера добавлять информацию о предыдущем соединении и осуществлять проверку при возобновлении соединения. Это было представлено в стандарте RFC 5746, а также реализовано в последних версиях OpenSSL и других библиотеках. Также существуют варианты атак, основанные непосредственно на программной реализации протокола, а не на его алгоритме. Алгоритмы, использующиеся в TLS В текущей версии протокола доступны следующие алгоритмы: Для обмена ключами и проверки их подлинности применяются комбинации алгоритмов: RSA (асимметричный шифр), Diffie-Hellman (безопасный обмен ключами), DSA (алгоритм цифровой подписи), ECDSA; Для симметричного шифрования: RC4, IDEA, Triple DES, SEED, Camellia или AES; Для хеш-функций: MD5, SHA, SHA-256/384. Алгоритмы могут дополняться в зависимости от версии протокола. До версии протокола TLS 1.2 были доступны также следующие алгоритмы симметричного шифрования, но они были убраны как небезопасные: RC2, IDEA, DES. Способы организации удалённого управления Remote Desktop Protocol RDP (англ. Remote Desktop Protocol — протокол удалённого рабочего стола) — проприетарный протокол прикладного уровня, позаимствованный Microsoft из купленной у PictureTel (ныне известной как Polycom) телекоммуникационной программы Liveshare Plus (названной впоследствии NetMeeting), использующийся для обеспечения удалённой работы пользователя с сервером, на котором запущен сервис терминальных подключений. Клиенты существуют практически для всех версий Windows (включая Windows CE, Phone и Mobile), Linux, FreeBSD, Mac OS X, iOS, Android, Symbian. По умолчанию используется порт TCP 3389. Virtual Network Computing Virtual Network Computing (VNC) — система удалённого доступа к рабочему столу компьютера, использующая протокол RFB (англ. RemoteFrameBuffer, удалённый кадровый буфер). Управление осуществляется путём передачи нажатий клавиш на клавиатуре и движений мыши с одного компьютера на другой и ретрансляции содержимого экрана через компьютерную сеть. Система VNC платформонезависима: VNC-клиент, называемый VNC viewer, запущенный на одной операционной системе, может подключаться к VNC-серверу, работающему на любой другой ОС. Существуют реализации клиентской и серверной части практически для всех операционных систем, в том числе и для Java (включая мобильную платформу J2ME). К одному VNC-серверу одновременно могут подключаться множественные клиенты. Наиболее популярные способы использования VNC — удалённая техническая поддержка и доступ к рабочему компьютеру из дома. VNC состоит из двух частей: клиента и сервера. Сервер — программа, предоставляющая доступ к экрану компьютера, на котором она запущена. Клиент (или viewer) — программа, получающая изображение экрана с сервера и взаимодействующая с ним по протоколу RFB. RFB (англ. remote framebuffer) — простой клиент-серверный сетевой протокол прикладного уровня для удалённого доступа к графическому рабочему столу компьютера, используемый в VNC. Так как он работает на уровне кадрового буфера, то его можно применять для графических оконных систем, например X Window System, Windows, Quartz Compositor. По умолчанию RFB использует диапазон TCP-портов с 5900 до 5906. Каждый порт представляет собой соответствующий экран X-сервера (порты с 5900 по 5906 ассоциированы с экранами с :0 по :6). Java-клиенты, доступные во многих реализациях, использующих встроенный веб-сервер для этой цели, например, в RealVNC, связаны с экранами таким же образом, но на диапазоне портов с 5800 до 5806. Многие компьютеры под управлением ОС Windows могут использовать лишь один порт из-за отсутствия многопользовательских свойств, присущих UNIX-системам. Для Windows-систем экран по умолчанию — :0, что соответствует порту 5900. Также существует возможность обратного подключения от сервера к клиенту. В этом случае клиент переводится в слушающий (англ. listening) режим и соединение инициируется сервером на 5500 TCP-порт клиента. Порты могут быть изменены. Telnet Telnet (сокращение от английского teletype network) – сетевой протокол для реализации текстового терминального интерфейса по сети (в современной форме — при помощи транспорта TCP). Современный стандарт протокола описан в RFC 854 Выполняет функции протокола прикладного уровня модели OSI. Протокол telnet, наряду с ssh широко используется для удалённого администрирования различными сетевыми устройствами и программными серверами. Хотя в сессии Telnet выделяют клиентскую и серверную стороны, протокол на самом деле полностью симметричен. После установления транспортного соединения (как правило, TCP) оба его конца играют роль «сетевых виртуальных терминалов» (англ. Network Virtual Terminal, NVT), обменивающихся двумя типами данных: Прикладными данными (то есть данными, которые идут от пользователя к текстовому приложению на стороне сервера и обратно); Командами протокола Telnet, частным случаем которых являются опции, служащие для уяснения возможностей и предпочтений сторон. Хотя Telnet-сессии, выполняющейся по TCP, свойственен полный дуплекс, NVT должен рассматриваться как полудуплексное устройство, работающее по умолчанию в буферизированном строковом режиме. Прикладные данные проходят через протокол без изменений, то есть на выходе второго виртуального терминала мы видим именно то, что было введено на вход первого. С точки зрения протокола данные представляют просто последовательность байтов (октетов), по умолчанию принадлежащих набору ASCII, но при включённой опции Binary — любых. Хотя были предложены расширения для идентификации набора символов, но на практике ими не пользуются. Все значения октетов прикладных данных кроме \377 (десятичное: 255) передаются по транспорту как есть. Октет \377 передаётся последовательностью \377\377 из двух октетов. Это связано с тем, что октет \377 используется на транспортном уровне для кодирования опций. Протокол предоставляет по умолчанию минимальную функциональность и набор расширяющих её опций. Принцип оговорённых опций требует проводить переговоры при включении каждой из опций. Одна сторона инициирует запрос, а другая сторона может либо принять, либо отвергнуть предложение. Если запрос принимается, то опция немедленно вступает в силу. Когда вы работаете с программой telnet, вы полностью работаете на удаленном компьютере: команды выполняются в его оперативной памяти, вы видите каталоги и файлы на дисках удаленного компьютера и т. д. Только вывод результатов осуществляется на ваш монитор. В рамках программы telnet невозможно, например, открыть для просмотра файл, расположенный на локальном диске. Ваш компьютер выполняет только роль удаленного терминала. Если же вы хотите организовать обмен файлами между вашим компьютером и удаленным, можно воспользоваться программой ftp. В протоколе не предусмотрено использование ни шифрования, ни проверки подлинности данных. Поэтому он уязвим для любого вида атак, и для функциональности удалённого доступа к системе в настоящее время применяется сетевой протокол SSH (в частности, его версия 2). Поэтому сессия Telnet весьма беззащитна, если только не осуществляется в полностью контролируемой сети или с применением защиты на сетевом уровне. В связи с вышеперечисленным от Telnet как средства управления операционных систем давно отказались. Rlogin Протокол RLOGIN (англ. Remote LOGIN — удалённый вход в систему) — протокол прикладного уровня (7-й уровень модели OSI), часть стека TCP/IP. Позволяет пользователям UNIX подключаться к системам UNIX на других машинах и работать так же, как при прямом подключении терминала к машине. Этот протокол обеспечивает такой же сервис, как протокол TELNET. SSH SSH (от английского Secure Shell) – сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов). Схож по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы доступны для большинства сетевых операционных систем. SSH позволяет безопасно передавать в незащищённой среде практически любой другой сетевой протокол. Таким образом, можно не только удалённо работать на компьютере через командную оболочку, но и передавать по шифрованному каналу звуковой поток или видео (например, с веб-камеры). Также SSH может использовать сжатие передаваемых данных для последующего их шифрования, что удобно, например, для удалённого запуска клиентов X Window System. Большинство хостинг-провайдеров за определённую плату предоставляет клиентам доступ к их домашнему каталогу по SSH. Это может быть удобно как для работы в командной строке, так и для удалённого запуска программ (в том числе графических приложений). SSH является протоколом прикладного уровня. SSH — это протокол прикладного уровня. SSH-сервер обычно прослушивает соединения на TCP-порту 22. Спецификация протокола SSH-2 содержится в RFC 4251. Для аутентификации сервера в SSH используется протокол аутентификации сторон на основе алгоритмов электронно-цифровой подписи RSA или DSA, но допускается также аутентификация при помощи пароля (режим обратной совместимости с Telnet) и даже ip-адреса хоста (режим обратной совместимости с rlogin). Аутентификация по паролю наиболее распространена. При каждом подключении подобно https вырабатывается общий секретный ключ для шифрования трафика. При аутентификации по ключевой паре предварительно генерируется пара, открытого и закрытого ключей для определённого пользователя. На машине, с которой требуется произвести подключение, хранится закрытый ключ, а на удалённой машине — открытый. Эти файлы не передаются при аутентификации, система лишь проверяет, что владелец открытого ключа также владеет и закрытым. При данном подходе, как правило, настраивается автоматический вход от имени конкретного пользователя в ОС. Аутентификация по ip-адресу небезопасна, эту возможность чаще всего отключают. Для создания общего секрета (сеансового ключа) используется алгоритм Диффи — Хеллмана (DH). Для шифрования передаваемых данных используется симметричное шифрование, алгоритмы AES, Blowfish или 3DES. Целостность передачи данных проверяется с помощью CRC32 в SSH1 или HMAC-SHA1/HMAC-MD5 в SSH2. Так же SSH умеет сжимать данные на уровне таком же, что и архиватор ZIP. Но на практике это используется редко. Протокол SSH-1, в отличие от протокола telnet, устойчив к атакам прослушивания трафика («снифинг»), но неустойчив к атакам «человек посередине». Протокол SSH-2 также устойчив к атакам путём присоединения посередине (англ. session hijacking), так как невозможно включиться в уже установленную сессию или перехватить её. Для предотвращения атак «человек посередине» при подключении к хосту, ключ которого ещё не известен клиенту, клиентское ПО показывает пользователю «слепок ключа» (англ. key fingerprint). Рекомендуется тщательно сверять показываемый клиентским ПО «слепок ключа» со слепком ключа сервера, желательно полученным по надёжным каналам связи или лично. Поддержка SSH реализована во всех UNIX‑подобных системах, и на большинстве из них в числе стандартных утилит присутствуют клиент и сервер ssh. Существует множество реализаций SSH-клиентов и для не-UNIX ОС. Большую популярность протокол получил после широкого развития анализаторов трафика и способов нарушения работы локальных сетей, как альтернативное небезопасному протоколу Telnet решение для управления важными узлами. Для работы по SSH нужен SSH-сервер и SSH-клиент. Сервер прослушивает соединения от клиентских машин и при установлении связи производит аутентификацию, после чего начинает обслуживание клиента. Клиент используется для входа на удалённую машину и выполнения команд. Для соединения сервер и клиент должны создать пары ключей — открытых и закрытых — и обменяться открытыми ключами. Обычно используется также и пароль. Советы по безопасности использования SSH: Запрет на удалённый root-доступ. Запрет подключения с пустым паролем или отключение входа по паролю. Выбор нестандартного порта для SSH-сервера. Использование длинных SSH2 RSA-ключей (2048 бит и более). Системы шифрования на основе RSA считаются надёжными, если длина ключа не менее 1024 бит. Ограничение списка IP-адресов, с которых разрешён доступ (например, настройкой файрволла). Запрет доступа с некоторых потенциально опасных адресов. Отказ от использования распространённых или широко известных системных логинов для доступа по SSH. Регулярный просмотр сообщений об ошибках аутентификации. Установка систем обнаружения вторжений (IDS). Использование ловушек, подделывающих SSH-сервис (honeypot). PuTTY PuTTY — клиентская программа для работы с сетевыми протоколами Telnet, SSH, SCP, SFTP, для подключения по COM-порту и ZModem, утилита для генерации RSA, DSA, ECDSA, Ed25519 цифровых SSH-ключей. PuTTY позволяет подключиться и управлять удаленным узлом (например, сервером). В PuTTY реализована только клиентская сторона соединения — сторона отображения, в то время как сама работа выполняется на стороне сервера. Изначально разрабатывался для Microsoft Windows, однако позднее портирован на Unix. В разработке находятся порты для Mac OS и Mac OS X. Сторонние разработчики выпустили неофициальные порты на другие платформы: мобильные телефоны под управлением Symbian OS, коммуникаторы с Windows Mobile, а также устройства с iOS и Android. PuTTY входит в репозитории практически всех популярных дистрибутивов Linux (в т.ч. Ubuntu, Debian, ALT Linux). Исходный код PuTTY полностью разработан на C. PuTTY не зависит от DLL, других приложений, пакетов обновлений ОС. Пакет состоит только из исполняемых файлов, которые могут быть установлены в любом месте. PuTTY и большинство утилит запускаются только в одном потоке ОС. PuTTY является свободным приложением с открытым исходным кодом, содержит реализацию сетевых протоколов SSH, Telnet, Rlogin, и распространяется под Open Source лицензией MIT. Некоторые возможности программы Сохранения списка и параметров подключений для повторного использования. Работа с ключами и версиями протокола SSH. Клиенты SCP и SFTP (соответственно программы pscp и psftp). Возможность перенаправления портов через SSH, включая передачу X11. Поддержка большей части управляющих последовательностей xterm, VT-102, а также значительная эмуляция терминала ECMA-48. Поддержка IPv6. Поддержка 3DES, AES, Arcfour, Blowfish, DES. Поддержка аутентификации с открытым ключом, в том числе и без ввода пароля. Поддержка работы через последовательный порт (начиная с версии 0.59). Возможность работы через прокси-сервер. Поддержка метода zlib@openssh.com (отсроченное сжатие данных до окончания процесса аутентификации). Применение PuTTY удаленное администрирование Linux. подключение к виртуальным серверам по протоколу SSH. настройка сетевых маршрутизаторов через последовательный порт. соединение с удаленными Telnet-терминалами и пр. Пакет PuTTY включает в себя несколько приложений: PuTTY: Telnet и SSH клиент PSCP: SCP клиент — копирование файлов по шифрованному протоколу с управлением из командной строки PSFTP: SFTP клиент — копирование файлов по SSH, подобно FTP PuTTYtel: отдельный Telnet клиент Plink: интерфейс командной строки к PuTTY Pageant: агент SSH-аутентификации для PuTTY, PSCP и Plink PuTTYgen: утилита для генерации SSH-ключей ЗАКЛЮЧЕНИЕ В настоящий момент самым ценным ресурсом является время. Именно от величины затрат и эффективности использования этого ресурса зависит конечный результат. Так, службы удалённого администрирования позволяют системному администратору независимо от местонахождения получить доступ к нужному устройству и преступить к конфигурированию или диагностике. В ходе курсовой работы мы выяснили, что на данный момент существует множество протоколов, которые позволяют практически полностью заменить физическое присутствие и обеспечить безопасность от постороннего проникновения в систему. Выбор протокола зависит от требований конкретной задачи. Так же существуют утилиты, позволяющие при большом количестве устройств удобно взаимодействовать с ними. При выборе каждой службы рекомендуем прежде всего уделять внимание вопросам безопасности. На данный момент одним из самых распространённых протоколов является SSH версии 2, который отвечает высоким требованиям безопасности и зарекомендовал себя уже на протяжении большого промежутка времени. СПИСОК ЛИТЕРАТУРЫ Что такое удалённый доступ и как его организовать: https://dataharbour.ru/shto-takoe-udalennyj-dostup Информационная безопасность сетей удалённого доступа: http://lib.tssonline.ru/articles2/in-ch-sec/informac-bezopasn-setey-udalen-dost Средства удалённого доступа на все случаи жизни: https://xakep.ru/2013/10/31/remote-acess-tools/#toc07. Программы удалённого администрирования – скрытая угроза безопасности: https://web.archive.org/web/20160304095800/http://www.securitylab.ru/blog/personal/remote_administration_dangers/10659.php Способы удалённого доступа к ресурсам организации: http://www.unkniga.ru/electron/10066-sposoby-udalennogo-dostupa-k-resursam-organizatsii.html Протоколы SSH, CMIP, Telnet: https://knowledge.allbest.ru/programming/3c0b65635a3ac69b5c43b88421206c27_0.html Программы telnet и rlogin: https://it.wikireading.ru/11504 IPSec – протокол защиты сетевого трафика на IP-уровне [электронный ресурс]: https://www.ixbt.com/comm/ipsecure.shtml#Toc509471942 Официальный сайт клиента PuTTY: https://putty.org.ru/ Основная информация по протоколам и службам: https://ru.wikipedia.org/ |