Cấu hình open ssh

  • 25 trang
  • file .pdf
VIET-HAN
BỘ THÔNG TIN VÀ TRUYỀN THÔNG
Trường cao đẳng công nghệ thông tin hữu nghị Việt - Hàn
Tên đề tài: OpenSSH
GVHD: Đặng Quang Hiển
Nhóm thực hiện: nhóm 4
THÀNH VIÊN NHÓM 4
• Lê Long Bảo
• Phạm Nguyễn Thanh Hưng
• Phan Bình Minh
• Đinh Tuấn Nghĩa
• Tôn Thất Tư
• Nguyễn Sơn
VIET HAN
NỘI DUNG
Phần 1: Tìm hiểu về OpenSSH
Phần 2: Thế mạnh của OpenSSH
Phần 3: Bảo vệ trong SSH
Phần 4: Mô hình
Phần 5: Demo OpenSSH trên Ubuntu
Kết luận
VIET HAN
I.Tìm hiểu về OpenSSH
 OpenSSH là một chương trình mã nguồn mở (Open
Source) được sử dụng để mã hoá (encrypt) các giao dịch
giữa các host với nhau bằng cách sử dụng Secure Shell
(SSH). Nó là một sự thay thế an toàn cho những chương
trình được sử dụng để kết nối như: Telnet, rlogin, rsh…
VIET HAN
OpenSSH được phát triển dựa trên nền tảng của dự án Open
BSD (một OS thuộc họ Unix). Nó được thiết kế để sử dụng những
thuật toán mã hoá mạnh để nâng cao tính an toàn và ngăn chặn
sự phá hoại của các hacker. Mặc dù được xây dựng và phát
triển bởi nền tảng OpenBSD, nó cũng có khả năng tương thích và
có thể hoạt động trên hầu hết các OS thuộc dòng họ Unix: Linux,
HP-UX, AIX, Irix, SCO, MacOS X, Cygwin, Digital
Unix/Tru64/OSF, SNI/Reliant Unix, NeXT, Solaris...
VIET HAN
. OpenSSH không phải là một chương trình. Nó
là một bộ các chương trình kết nối an toàn:
- OpenSSH Client (ssh): Chương trình được
sử dụng cho các đăng nhập từ xa. Với sự an toàn và mã
hoá (encrypt) trong mỗi phiên đăng nhập ở mức độ cao. Nó
là sự thay thế an toàn cho: login và telnet đã tỏ ra lỗi thời và
kém an toàn.
VIET HAN
- Secure Copy Program (scp): Được sử dụng cho việc
copy file từ xa, copy các file từ các host khác nhau trên Internet.
Nó hỗ trợ username và password.
VIET HAN
- Secure File Transfer Program (sftp): Được sử dụng để
phục vụ các yêu cầu FTP một cách an toàn.
- OpenSSH Daemon (shhd): Đặt OpenSSH chạy ở chế độ
daemon trên các hệ thống Unix.
VIET HAN
II.Thế mạnh của OpenSSH:
1) Khả năng mã hoá mạnh bởi việc sử dụng chuẩn mã hoá 3
DES và Blowfish
Cả 2 chuẩn mã hoá trên đều đuợc cung cấp miễn phí và
sử dụng rộng rãi ở nhiều nước trên thế giới:
- 3DES cung cấp khả năng mã hoá chứng thực thời gian.
- Blowfish cung cấp khả năng mã hoá nhanh hơn.
VIET HAN
2) Khả năng chứng thực mạnh bởi việc sử dụng các cơ chế
Public Key, OPTs (One Time Password), Kerberos
Có tác dụng bảo vệ chống lại tính dễ tổn thương trong quá
trình chứng thực bởi việc khai thác và sử dụng các kỹ thuật như:
IP Spoof, DNS Spoof, Fake Router…Có 4 phương pháp chứng
thực được Open SSH sử dụng :
- Chỉ chứng thực Public Key.
VIET HAN
- Sự chứng thực host bởi việc sử dụng Public Key kết hợp
với .rhost.
- Sự chứng thực dựa trên OPTs kết hợp với Private Key.
- Sự chứng thực dựa trên cơ chế Kerberos.
VIET HAN
3) Mã hoá giao thức X11 cho việc sử dụng X Window
Mã hoá dữ liệu trong quá trình sử dụng X Window giữa 2 host.
Được sử dụng để chống lại những cuộc tấn công từ xa nhằm vào
xterm như Snooping, Hjacking…
VIET HAN
4) Mã hoá cho quá trình chuyển đổi cổng (Port Forwarding):
Cho phép quá trình chuyển đổi các port TCP/IP tới một hệ
thống khác thông qua một kênh được mã hoá. Nó được sử dụng
cho những giao thức Internet chuẩn không cung cấp khả năng mã
hoá dữ liệu trên đường truyền như: SMTP, POP, FTP, Telnet…
VIET HAN
5) Đại diện chuyển tiếp cho những đăng nhập vào các mạng
đơn: Một Key chứng thực của người dùng có thể và thường
được lưu giữ trên PC của họ, nó có thể trở thành một trạm đại
diện chứng thực. Khi người sử dụng hệ thống truy cập từ một hệ
thống mạng khác. Kết nối của họ sẽ được chuyển tới cho trạm đại
diện chứng thực này. Nó có tác dụng cho phép người sử dụng
truy cập đến hệ thống của bạn một cách an toàn từ bất kỳ hệ
thống nào.
VIET HAN
6) Nén dữ liệu: Cung cấp khả năng nén dữ liệu một cách an
toàn. Nó rất có ý nghĩa trên những hệ thống mạng không được
nhanh.
7) Chứng thực chung cho Kerberos và Andrew File System bằng
cách sử dụng Ticket: Những người sử dụng Kerberos và AFS sẽ
được cung cấp một password chung để sử dụng và truy cập 2
dịch vụ trên trong một thời gian nhất định.
VIET HAN
III. Bảo vệ trong giao thức SSH
1. Các loại tấn công mà SSH có thể ngăn cản:
- Eavesdropping:
Một eavesdropper là một người rình mò trên mạng, có thể biết được
giao thông mạng mà không làm ảnh hưởng đến đường truyền. Hình
thức mã hóa của SSH chống lại eavesdropping. Nội dung của một
session SSH , ngay cả khi bị chặn, cũng không thể bị giải mã bởi một
“kẻ rình mò”.
VIET HAN
- Dịch vụ đặt tên và giả mạo IP:
Nếu một kẻ tấn công phá hoại dịch vụ đặt tên (DNS, NIS,
…), các chương trình liên quan đến mạng có thể bị ép buộc
kết nối đến máy tính khác. Cũng tương tự, một kẻ tấn công
có thể giả mạo một host bằng cách đánh cắp địa chỉ IP đang
dùng. Trình bảo vệ SSH chống lại kiểu tấn công này bằng
cách kiểm tra mã hóa và nhận dạng máy chủ.
VIET HAN
- Chiếm đoạt kết nối:
Một kẻ tấn công lanh lợi không chỉ có thể theo dõi được giao
thông mạng, mà còn có thể xen vào, chiếm đoạt một kết nối TCP,
đánh cắp nó theo nghĩa đen từ một điểm cuối hợp pháp.
Tuy nhiên, SSH đáp trả không hiệu quả (trừ kiểu tấn công từ
chối dịch vụ). Trình kiểm tra tính toàn vẹn của SSH phát hiện một
session có bị sửa đổi hay không, và ngắt kết nối ngay lập tức mà
không sử dụng bất kỳ dữ liệu bị sửa đổi nào. VIET HAN
- Các kiểu tấn công Man-in-the-Middle:
Kiểu tấn công người dùng ở giữa là kiểu tấn công chủ động
đặc biệt không dễ bị phát hiện và được mô tả trong phần 3-5.
Một đối thủ ngồi giữa bạn và người ngang hàng thực sự (ví dụ
giữa máy khách SSH và máy chủ), chặn tất cả sự qua lại và
thay đổi hoặc xóa những thông báo.
VIET HAN
SSH chống lại kiểu tấn công này theo 2 cách:
Đầu tiên là xác nhận máy chủ. Nếu hacker không chặn bên
trong máy chủ, nó không thể mạo nhận, bởi vì nó không có khóa
riêng của máy chủ. Lưu ý rằng, để sự bảo vệ này hoạt động, trên
thực tế máy khách phải kiểm tra khóa public mà máy chủ cung
cấp dựa vào danh sách host mà máy chủ biết, nếu không thì sẽ
không có bảo đảm rằng máy chủ là thật
Khả năng bảo vệ SSH thứ 2 là qua phương thức người dùng
xác thực. Phương pháp password hiển nhiên là dễ bị tấn công,
nhưng khóa public và sự xác thực dựa trên máy chủ sẽ chống lại
kiểu các tấn công MITM.
VIET HAN