Tài liệu Cấu hình open ssh

VIET-HAN BỘ THÔNG TIN VÀ TRUYỀN THÔNG Trường cao đẳng công nghệ thông tin hữu nghị Việt - Hàn Tên đề tài: OpenSSH GVHD: Đặng Quang Hiển Nhóm thực hiện: nhóm 4 THÀNH VIÊN NHÓM 4 • Lê Long Bảo • Phạm Nguyễn Thanh Hưng • Phan Bình Minh • Đinh Tuấn Nghĩa • Tôn Thất Tư • Nguyễn Sơn VIET HAN NỘI DUNG Phần 1: Tìm hiểu về OpenSSH Phần 2: Thế mạnh của OpenSSH Phần 3: Bảo vệ trong SSH Phần 4: Mô hình Phần 5: Demo OpenSSH trên Ubuntu Kết luận VIET HAN I.Tìm hiểu về OpenSSH  OpenSSH là một chương trình mã nguồn mở (Open Source) được sử dụng để mã hoá (encrypt) các giao dịch giữa các host với nhau bằng cách sử dụng Secure Shell (SSH). Nó là một sự thay thế an toàn cho những chương trình được sử dụng để kết nối như: Telnet, rlogin, rsh… VIET HAN OpenSSH được phát triển dựa trên nền tảng của dự án Open BSD (một OS thuộc họ Unix). Nó được thiết kế để sử dụng những thuật toán mã hoá mạnh để nâng cao tính an toàn và ngăn chặn sự phá hoại của các hacker. Mặc dù được xây dựng và phát triển bởi nền tảng OpenBSD, nó cũng có khả năng tương thích và có thể hoạt động trên hầu hết các OS thuộc dòng họ Unix: Linux, HP-UX, AIX, Irix, SCO, MacOS X, Cygwin, Digital Unix/Tru64/OSF, SNI/Reliant Unix, NeXT, Solaris... VIET HAN . OpenSSH không phải là một chương trình. Nó là một bộ các chương trình kết nối an toàn: - OpenSSH Client (ssh): Chương trình được sử dụng cho các đăng nhập từ xa. Với sự an toàn và mã hoá (encrypt) trong mỗi phiên đăng nhập ở mức độ cao. Nó là sự thay thế an toàn cho: login và telnet đã tỏ ra lỗi thời và kém an toàn. VIET HAN - Secure Copy Program (scp): Được sử dụng cho việc copy file từ xa, copy các file từ các host khác nhau trên Internet. Nó hỗ trợ username và password. VIET HAN - Secure File Transfer Program (sftp): Được sử dụng để phục vụ các yêu cầu FTP một cách an toàn. - OpenSSH Daemon (shhd): Đặt OpenSSH chạy ở chế độ daemon trên các hệ thống Unix. VIET HAN II.Thế mạnh của OpenSSH: 1) Khả năng mã hoá mạnh bởi việc sử dụng chuẩn mã hoá 3 DES và Blowfish Cả 2 chuẩn mã hoá trên đều đuợc cung cấp miễn phí và sử dụng rộng rãi ở nhiều nước trên thế giới: - 3DES cung cấp khả năng mã hoá chứng thực thời gian. - Blowfish cung cấp khả năng mã hoá nhanh hơn. VIET HAN 2) Khả năng chứng thực mạnh bởi việc sử dụng các cơ chế Public Key, OPTs (One Time Password), Kerberos Có tác dụng bảo vệ chống lại tính dễ tổn thương trong quá trình chứng thực bởi việc khai thác và sử dụng các kỹ thuật như: IP Spoof, DNS Spoof, Fake Router…Có 4 phương pháp chứng thực được Open SSH sử dụng : - Chỉ chứng thực Public Key. VIET HAN - Sự chứng thực host bởi việc sử dụng Public Key kết hợp với .rhost. - Sự chứng thực dựa trên OPTs kết hợp với Private Key. - Sự chứng thực dựa trên cơ chế Kerberos. VIET HAN 3) Mã hoá giao thức X11 cho việc sử dụng X Window Mã hoá dữ liệu trong quá trình sử dụng X Window giữa 2 host. Được sử dụng để chống lại những cuộc tấn công từ xa nhằm vào xterm như Snooping, Hjacking… VIET HAN 4) Mã hoá cho quá trình chuyển đổi cổng (Port Forwarding): Cho phép quá trình chuyển đổi các port TCP/IP tới một hệ thống khác thông qua một kênh được mã hoá. Nó được sử dụng cho những giao thức Internet chuẩn không cung cấp khả năng mã hoá dữ liệu trên đường truyền như: SMTP, POP, FTP, Telnet… VIET HAN 5) Đại diện chuyển tiếp cho những đăng nhập vào các mạng đơn: Một Key chứng thực của người dùng có thể và thường được lưu giữ trên PC của họ, nó có thể trở thành một trạm đại diện chứng thực. Khi người sử dụng hệ thống truy cập từ một hệ thống mạng khác. Kết nối của họ sẽ được chuyển tới cho trạm đại diện chứng thực này. Nó có tác dụng cho phép người sử dụng truy cập đến hệ thống của bạn một cách an toàn từ bất kỳ hệ thống nào. VIET HAN 6) Nén dữ liệu: Cung cấp khả năng nén dữ liệu một cách an toàn. Nó rất có ý nghĩa trên những hệ thống mạng không được nhanh. 7) Chứng thực chung cho Kerberos và Andrew File System bằng cách sử dụng Ticket: Những người sử dụng Kerberos và AFS sẽ được cung cấp một password chung để sử dụng và truy cập 2 dịch vụ trên trong một thời gian nhất định. VIET HAN III. Bảo vệ trong giao thức SSH 1. Các loại tấn công mà SSH có thể ngăn cản: - Eavesdropping: Một eavesdropper là một người rình mò trên mạng, có thể biết được giao thông mạng mà không làm ảnh hưởng đến đường truyền. Hình thức mã hóa của SSH chống lại eavesdropping. Nội dung của một session SSH , ngay cả khi bị chặn, cũng không thể bị giải mã bởi một “kẻ rình mò”. VIET HAN - Dịch vụ đặt tên và giả mạo IP: Nếu một kẻ tấn công phá hoại dịch vụ đặt tên (DNS, NIS, …), các chương trình liên quan đến mạng có thể bị ép buộc kết nối đến máy tính khác. Cũng tương tự, một kẻ tấn công có thể giả mạo một host bằng cách đánh cắp địa chỉ IP đang dùng. Trình bảo vệ SSH chống lại kiểu tấn công này bằng cách kiểm tra mã hóa và nhận dạng máy chủ. VIET HAN - Chiếm đoạt kết nối: Một kẻ tấn công lanh lợi không chỉ có thể theo dõi được giao thông mạng, mà còn có thể xen vào, chiếm đoạt một kết nối TCP, đánh cắp nó theo nghĩa đen từ một điểm cuối hợp pháp. Tuy nhiên, SSH đáp trả không hiệu quả (trừ kiểu tấn công từ chối dịch vụ). Trình kiểm tra tính toàn vẹn của SSH phát hiện một session có bị sửa đổi hay không, và ngắt kết nối ngay lập tức mà không sử dụng bất kỳ dữ liệu bị sửa đổi nào. VIET HAN - Các kiểu tấn công Man-in-the-Middle: Kiểu tấn công người dùng ở giữa là kiểu tấn công chủ động đặc biệt không dễ bị phát hiện và được mô tả trong phần 3-5. Một đối thủ ngồi giữa bạn và người ngang hàng thực sự (ví dụ giữa máy khách SSH và máy chủ), chặn tất cả sự qua lại và thay đổi hoặc xóa những thông báo. VIET HAN SSH chống lại kiểu tấn công này theo 2 cách: Đầu tiên là xác nhận máy chủ. Nếu hacker không chặn bên trong máy chủ, nó không thể mạo nhận, bởi vì nó không có khóa riêng của máy chủ. Lưu ý rằng, để sự bảo vệ này hoạt động, trên thực tế máy khách phải kiểm tra khóa public mà máy chủ cung cấp dựa vào danh sách host mà máy chủ biết, nếu không thì sẽ không có bảo đảm rằng máy chủ là thật Khả năng bảo vệ SSH thứ 2 là qua phương thức người dùng xác thực. Phương pháp password hiển nhiên là dễ bị tấn công, nhưng khóa public và sự xác thực dựa trên máy chủ sẽ chống lại kiểu các tấn công MITM. VIET HAN