Настройка безопасного сетевого соединения ОС Linux и Windows с помощью протокола SSH (Secure Shell)

Комитет по образованию Правительства Санкт-Петербурга

Государственное образовательное учреждение

начального профессионального образования

ПРОФЕССИОНАЛЬНЫЙ ЛИЦЕЙ «ПЕТРОГРАДСКИЙ» САНКТ-ПЕТЕРБУРГА

Направление и профессия подготовки квалифицированных рабочих:

НПО № 1.9 «Оператор электроннно-вычислительных машин»

Профессия (ОКПР) 16199 - «Оператор электронно-вычислительных

машин и вычислительных машин»

ПОЯСНИТЕЛЬНАЯ ЗАПИСКА

К ПИСЬМЕННОЙ ЭКЗАМЕНАЦИОННОЙ РАБОТЕ

на тему: «Настройка безопасного сетевого соединения ОС Linux и Windows с помощью протокола SSH (Secure Shell)»

Руководитель работы         __________________         (______________)

Допустить к защите

Мастер П/О                     __________________        (______________)

Учащийся                        __________________        (______________)

Выпускная письменная экзаменационная работа выполнена

с оценкой______________________

Группа________________________

Дата защиты___________________

Документов хранения___________

Содержание

Введение        3

2 Теоретическая часть        4

2.1 История протокола Secure Shell        4

2.2 Описание протокола Secure Shell        5

2.4 Способы аутентификации средствами SSH        7

2.4.1 Аутентификация по принципу доверия        7

2.4.2 Усиленная аутентификация по принципу доверия        7

2.4.3 Аутентификация самого пользователя с использованием шифрования с открытым ключом        7

2.4.4 Аутентификация с помощью пароля        7

3 Практическая часть        9

3.1 Установка и настройка серверной часть Secure Shell        9

3.1.1 Установка Ubuntu server 9.10        9

3.1.2 Настройка сетевых интерфейсов         10

3.1.3 Установка и настройка DHCP-сервера        11

3.1.4 Установка и настройка proxy-сервера Squid        11

3.1.5 Установка и настройка SSH-сервера        12

3.2 Установка и настройка клиентской части Secure Shell        12

3.2.1 Установка Xubuntu 9.10, установка SSH-клиента на рабочую станцию        12

3.3 Установка соединения по протоколу Secure Shell        15

3.3.1 Установка соединения по протоколу SSH в пределах локальной сети        15

3.3.2 Установка соединения по протоколу  SSH в глобальной сети        15

3.3.3 Установка соединеия по протолоку SSH в системе Windows        15

4 Охрана труда при работе на персональном компьютере        18

Заключение        20

Литература        21

Введение

В данной работе рассматривается создание защищенного соединения между операционными системами Linux и Windows.

Защита информации является на сегодня самой актуальной проблемой в информационной сфере.

Обеспечить информацию на уровне системы довольно просто, но как передать ее с одного компьютера на другой даже в пределах одной сети? Можно использовать экранированный кабель, что исключает возможность дистанционного сканирования электро-магнитного поля кабеля, но не защищает от прямого проникновения. Можно использовать оптоволоконный кабель, который обеспечивает как защиту от сканирования электро-магнитного сканирования в силу отсутствия в нем электрических колебаний, так и защиту от подключения в силу большой сложности его монтажа и некоторых принципиальных физических законов. Однако стоимость прокладки сети на оптоволоконном кабеле высока как раз из-за сложности монтажа.

Если не получается сохранить факт передачи информации, то можно скрыть саму информацию. Для этого используются различные системы шифрования.

Системы шифрования делятся на системы симметричного и несимметричного шифрования. Системы симметричного шифрования очень разнообразны, но они используют один и тот же ключ для шифрования и дешифровки, что создает проблему передачи ключа. Системы симметричного шифрования используют разные ключи для шифрования и дешифровки, что решает проблему передачи ключа, но самих систем симметричного шифрования очень мало.

2 Теоретическая часть

2.1 История протокола Secure Shell

Первая версия протокола SSH была разработана для UNIX-систем и была платной. В связи с невысокой степенью защиты SSH1, была разработана следующая версия протокола SSH2.

Из-за того, что протокол SSH является платным, была разработана бесплатная версия протокола SSH для Linux. Она стала называться OpenSSH.

Первая редакция OpenSSH вышла еще в декабре 2001 года. В настоящее время используется версия 4.0 OpenSSH. Этот продукт создан на основе обоих протоколов SSH (SSH1 и SSH2). К тому же в него добавлены некоторые дополнительные возможности и исправлены некоторые ошибки. Компьютеры, на которых установлена OpenSSH, прекрасно взаимодействуют с компьютерами, на которых установлены классические SSH1 и SSH2. То есть здесь совместимость имеется. Могут существовать некоторые расхождения, но программы всегда смогут друг с другом договориться и использовать те возможности, которые присутствуют в них обоих.

OpenSSH основан на бесплатной версии SSH 1.2.12 от Tatu Ylönen. Эта версия была достаточно свободной, для её использования. Некоторые части OpenSSH все ещё находится под лицензией Tatu.

2.2 Описание протокола Secure Shell

Протокол транспортного уровня обеспечивает аутентификацию сервера, конфиденциальность и целостность. Протокол аутентификации обеспечивает аутентификацию клиента для сервера. Наконец, протокол соединения ssh мультиплексирует безопасный (шифруемый) канал, представляя его в виде нескольких логических каналов, которые используются для различных целей (различных видов служб).

Протокол транспортного уровня предусматривает возможность сжатия данных. Этот протокол работает поверх соединения TCP/IP. Протокол аутентификации работает поверх протокола транспортного уровня, а протокол соединения поверх протокола аутентификации.

С целью повышения безопасности осуществляется не только аутентификация клиента для сервера, к которому обращается клиент, но и аутентификация сервера клиентом - другими словами, происходит аутентификация обеих сторон.

Клиент шлет запрос на обслуживание в первый раз, когда устанавливается безопасное соединение транспортного уровня SSH. Второй запрос направляется уже после завершения аутентификации пользователя (клиента).

Прежде чем анализировать протоколы SSH подробнее, следует определить понятие ключ хоста. Каждый работающий с SSH хост, на котором может выполняться как клиент, так и сервер, может иметь не менее одного ключа, причем для шифрования допускаются различные криптографические алгоритмы. Несколько хостов могут иметь общий ключ хоста. Однако каждый хост должен иметь хотя бы один ключ, с которым работает каждый из требуемых алгоритмов работы с открытыми ключами. В проекте стандарта в настоящее время требуемый алгоритм только один DSS (Digital Signature Standard).

Ключ хоста-сервера используется при обмене открытыми ключами с целью проверки того, что клиент действительно общается с настоящим (а не подмененным) сервером. Для этого клиент должен знать открытый ключ хоста-сервера. Это знание реализуется в рамках одной из двух моделей.

В первой клиент просто имеет некий локальный файл, в котором каждому имени хоста ставится в соответствие его открытый ключ. Во второй модели вводится понятие сертификационного агента, который и отвечает за проверку соответствия имени хоста его открытому ключу. При этом клиент знает только открытый ключ самого сертификационного агента. В последнем случае упрощается поддержка клиента (ему нужно знать всего один открытый ключ), но появляются высокие требования к сертификационному агенту, который должен иметь открытые ключи всех хостов, к которым обращаются клиенты.

Протоколом предусмотрена возможность отказа от проверки ключа хоста-сервера при самом первом обращении клиента к этому серверу. При этом соединение клиент-сервер будет защищено от пассивного прослушивания сети, но возникает опасность атаки типа человек в середине (man-in-the-middle), т. е. попытки временной подмены сервера. Если эта возможность используется, ключ хоста-сервера будет автоматически передан клиенту и сохранен в его локальном файле.

Разработчики проекта протокола SSH особенно заботились о его долголетии. Протокол будет расширяемым; планируется возможность дополнения криптографических алгоритмов, используемых при работе ssh. C этой целью проектом предусмотрено, что между клиентом и сервером происходят переговоры, в результате которых выбираются методы шифрования, форматы открытых ключей и т. п., которые будут использованы в данном сеансе. При этом с целью обеспечения совместимости с региональными  системами должен поддерживаться некоторый минимальный набор национальных криптографических стандартов.

2.4 Способы аутентификации средствами SSH

2.4.1 Аутентификация по принципу доверия

При таком способе проверяется, внесено ли имя компьютера (его IP-адрес), с которого производится доступ, в список доверенных компьютеров, после чего происходит соединение. Это очень уязвимый способ для множества атак (подмена IP-адреса и т. д.), так что использовать его категорически не рекомендуется.

2.4.2 Усиленная аутентификация по принципу доверия

Этот способ, в принципе повторяет предыдущий способ, за тем лишь исключением, что проверка имени компьютера (IP-адреса) производиться в защищенном режиме. При этом используется шифрование с открытым ключом. Несмотря на некоторые усовершенствования, этот способ по-прежнему является небезопасным.

2.4.3 Аутентификация самого пользователя с использованием шифрования с открытым ключом

На момент регистрации у пользователя должен быть доступ к файлу своего секретного ключа и он должен предоставить пароль для его дешифровки. Этот способ аутентификации является самым надежным, но и самым неудобным: он вынуждает пользователей постоянно иметь под рукой файл с ключом.

2.4.4 Аутентификация с помощью пароля

Этот способ является оптимальным: удобным в использовании и в то же время достаточно защищённым. Именно он используется в большинстве случаев. При этом у пользователя, как и в случае с telnet, запрашивается пароль. Но только в отличие от telnet пароль передается в зашифрованном виде. Основной недостаток данного метода заключается в относительной слабости паролей ( их длина зачастую составляет менее 8-ми символов). Это позволяет осуществить их подбор с помощью специальных программ. Тем не менее этот способ является оптимальным для повседневного использования и применяется очень широко.

3 Практическая часть

3.1 Установка и настройка серверной часть Secure Shell

Для серверной части выбрана ЭВМ со следующими характеристиками:

1. процессор Intel Pentium Pro 200 MHz;
2. оперативная память 128 Mb SIMM;
3. жесткий диск 6 Гбайт;

В качестве операционной системы выбрана последняя версия Ubuntu Server 9.10.

3.1.1 Установка Ubuntu server 9.10

В связи с отсутствием драйвера CD-дисковода в BIOS, загрузка производиться с дискеты, с последующим запуском CD-дисковода. В ходе установки:

- выбираем страну — Российская Федерация;

- выбираем раскладку клавиатуры — русская;

- назначаем сочетания клавиш для переключения языка;

- вводим имя компьютера — ilya;

- выбираем часовой пояс;

- вручную размечаем диск: выделяем на раздел подкачки — 192 Мбайта, под системный раздел — все оставшееся место на жестком диске;

- вводим полное имя нового пользователя;

- вводим имя новой учетной записи;

- вводим пароль этой учетной записи;

- на предложение зашифровать домашний каталог отвечаем НЕТ;

- на предложение ввести информацию о HTTP-сервере ничего не пишем;

- настройки обновления — выбираем: без автоматического обновления;

- при выборе дополнительного программного обеспечения выбираем нужные пункты, в данной работе ничего отмечать не требуется — позже вручную установим последние версии нужных программ из репозиториев.

После установки настоятельно рекомендуется обновить список пакетов при помощи команды: apt-get update, после чего производим обновление самих пакетов до последних версий командой: apt-get upgrade.

После этого можно устанавливать другое программной обеспечение командой: apt-get install ______ (имя пакета).

Для удобства удобства администрирования рекомендую поставить Midnight commander — простой файловый менеджер, доступный в консоли, работающий в псевдографическом режиме.

Для выключения компьютера из консоли используется команда HALT, для перезагрузки — REBOOT, однако для их исполнения требуются права суперпользователя. В этом случае можно авторизоваться под суперпользователем командой SU, или выполнить команду от имени суперпользователя командой SUDO.

3.1.2 Настройка сетевых интерфейсов

Поскольку в построенной локальной сети предполагается выход в глобальную сеть интернет, на сервере установлены 2 сетевых интерфейса — интерфейс под номеров 0 используется для соединения с сетью интернет, интерфейс под номером 2 - для подключения к локальной сети.

Для корректной работы сетевых интерфейсов потребовалось ручное конфигурирование файла /etc/network/interfaces:

Сначала идет введение:

auto lo

iface lo inet loopback

На данном этапе производится настройка интерфейса под номером 0: этот интерфейс будет получать IP-адрес от вышестоящего DHCP-сервера:

auto eth0

iface eth0 inet dhcp

Теперь производится настройка интерфейса под номером 1: для него назначен адрес 192.168.5.1, маска сети — 255.255.255.0, адрес шлюза — 192.168.5.1 и широковещательный адрес в сети — 192.168.5.255:

auto eth1

iface eth1 inet static

address 192.168.5.1

netmask 255.255.255.0

gateway.192.168.5.1

broadcast 192.168.5.255

3.1.3 Установка и настройка DHCP-сервера

DHCP-сервер используется для автоматического назначения IP-адресов в локальной сети. В данном случае он был сконфигурирован для статического назначение IP-адресов, т. е. назначенный IP-адрес навсегда привязывается к MAC-адресу сетевого интерфейса рабочей станции. IP-адреса присваиваются в диапазоне от 192.168.5.10 до 192.168.5.50. DHCP-сервер был настроен следующим образом:

subnet 192.168.5.0 netmask 255.255.255.0 {

option routers 192.168.5.1;

option subnet-mask 255.255.255.0;

range 192.168.5.10 192.168.5.50;

}

3.1.4 Установка и настройка proxy-сервера Squid

Установка производится командой:

apt-get install squid

произведем минимальную настройку Squid: заблокируем некоторые сайты, заблокируем загрузку опередленных типов файлов в определенное время.

Для этого сначала требуется найти раздел, отвечающий за контроль доступа (ACL). Отконфигурируем его в соответствии с образцом:

acl all src all

acl manager photo cache-object

acl localhost src 127.0.0.1/32

acl to_localhost dst 127.0.0.0/8

acl rule_time time MTWHFA 08:00-21:00

в данном фрагменте определяем для списка Rule_time формат — время и назначаем: понедельник (M), вторник (T), среду (W), четверг (H), пятницу (F) и субботу (A). также можно назначить и воскресенье, добавив S.

acl MAIL url_regex mail.ru

создаем список, в котором, в данном случае записан URL-адрес mail.ru

acl deny_down_class urlpath_regex -i \ .exe$ .mp3$

создаем список, содержащий расширения файлов .exe и.mp3

http_access deny deny_down_class all rule_time

запрещаем всему, входящему в список deny_down_class доступ ко всей сети во время, обозначенной в списке rule_time

http_access deny MAIL

запрещаем доступ ко всему, находящемуся в спивке MAIL

3.1.5 Установка и настройка SSH-сервера

SSH-сервер устанавливается из репозиториев самой операционной системы при помощи команды:

apt-get install ssh-server

В большинстве случаев достаточно стандартной конфигурации, однако опытный программист может поменять настройки. В данной работе конфигурирование SSH-сервера не производилось.

3.2 Установка и настройка клиентской части Secure Shell

Для рабочей станции выбран компьютер со следующими характеристиками:

Для рабочей станции выбрана операционная система Xubuntu 9.10

Установка клиентской части для рабочей станции производиться из консоли посредством команды:

apt-get install ssh-client

Для клиентской части конфигурирование не производилось.

3.2.1 Установка Xubuntu 9.10, установка SSH-клиента на рабочую станцию

При загрузки с CD/DVD требуется выбрать язык, который будет использоватьсяв программе установки. Следующим пунктом требуется выбрать тип загрузки:

- запуск без установки на жесткий диск (например для того, чтобы опробовать операционную систему;

- установка на жесткий диск компьютера в графическом режиме (требуется осторожность, так как на маломощных компьютерах программа установки в данном режиме может «подвисать»);

- установка операционной системы с текстовом режиме (используется псевдографический интерфейс, гораздо быстрее, чем при установке в графическом режиме);

- проверка CD диска н аналичие ошибок;

- проверка памяти компьютера;

- загрузка с первого жесткого диска (на случай, если диск при перезагруке остался в дисководе);

- восстановить систему (на случай, если, например, стерлась загрузочная область с жесткого диска).

В данном случае расмотрим установку в графическом режиме:

- в начале выберем язык, используемый при установке операционной системы — русский;

- затем проверяем правильность выбранного часового пояса, а также времени и даты;

- следующим шагом выбираем раскладку клавиатуры (имеется огромный выбор различных раскладок даже в пределах одного языка);

- следующий этап очень важен: разметка диска. Рекомендуется не использовать установку по умолчанию и разметить диск вручную:

Желательно в начале диска поместить раздел, отмеченный как раздел подкачки и имеющий объем, равный 1,5 объема оперативной памяти. Для раздела подкачки точку монтирования указывать не нужно.

Для системного раздела желательно выбрать журналируемую файловую систему Ext4. В качестве точки монтирования нужно выбрать корневую папку (/). Если планируется установка нескольких операционных систем, то под устанавливаемую операционную систему выделяем только часть диска, а для остальных операционных систем выбираем точку монтирования, отличную от /, например, /Windows.

- После разметки диска вводим сведения о пользователе... (В большинстве случаев не требуется зашифровывать домашний каталог, поэтому выбираем: «требовать пароль только для входа»;

На этом подготовка к установке завершена, вам предложат проверить правильность выбранных настроек, после чего начнется собственно установка системы.

При использовании операционной системы семейства Ubuntu, при установке вас не просят ввести пароль для учетной записи Root, однако только root, как суперпользователь, имеет право на установку программного обеспечения, настройку операционной ситсемы и так далее.

Для того, чтобы установить пароль на суперпользователя в консольном режиме (для того, чтобы перейти в консольный режим из графического используется сочетание клавиш Alt+Cntr+F1 … F6, для возвращения в графическую среду используется сочетание Alt+F7) вводим команду SU, после чего вам прежложат ввести пароль на учетную запись root. Эта же команда используется для смены обычного пользователя на пользователя root, однако необязательно сменять пользователя. Можно исполнять команды от имени администратора, не меняя пользователя, для этого используется команда SUDO, после которой требуется ввод пароля суперпользователя.

3.3 Установка соединения по протоколу Secure Shell

3.3.1 Установка соединения по протоколу SSH в пределах локальной сети

Для соединения по протоколу Secure Shell требуется команда ssh после которой вводится имя учетной записи, расположенной на сервере, через которую произведем авторизацию, затем символ @, после чего IP-адрес хоста:

SSH ilya@192.168.5.1

После нажатия Enter будет произведен запрос на соединение, для продолжения следует ответить YES, после чего вводится пароль на учетную запись, через которую производиться авторизация (в данной работе это ilya).

Впоследствии можно, с помощью команды SU, авторизироватся как суперпользователь (root).

Следует заметить, что авторизация по протоколу Secure Shell безопасна, поскольку никакие данные (в том числе и пароли) не передаются в открытом (незашифрованном) виде. Однако даже Secure Shell не защитит от проникновения.

После авторизации строка заголовка изменится на:

(имя учетной записи, под которой произведен вход)@(имя компьютера)

3.3.2 Установка соединения по протоколу  SSH в глобальной сети

Для соединения в глобальной сети тоже используется команда ssh, однако вместо IP-адреса можно использовать доменное имя для авторизации, например:

SSH 1e4er6@fjhh.ru

После подключения также требуется ввод пароля для авторизации.

3.3.3 Установка соединеия по протолоку SSH в системе Windows

Поскольку в операционной системе Windows по умолчанию нет клиента для протокола secure shell, придется его получить.

Существует довольно много вариантов клиента для ОС семейства Windows, из которых была выбрана программа Putty.

Среди ее достоинств стоит отметить бесплатность и малый размер.

Так выглядит ее интерфейс:

Как видно из снимка программа имеет множество настроек и может устанавливать соединение с использованием нескольких различных протоколов. Для этой выпускной работы требуется установить соединения по протоколу SSH. Для этого надо вписать имя хоста (или его IP-адрес в сети) и порт, по которому будет устанавливаться соединения в соотвествующие поля в интерфейсе программы, например:

После чего нажать на кнопку Open.

Появится окно, напоминающее терминал в Linux:

4 Охрана труда при работе на персональном компьютере

Профессиональные пользователи ПЭВМ должны проходить обязательные предварительные (при поступлении на работу) и периодические медосмотры в порядке и установленные сроки. К непосредственной работе с ПЭВМ допускаются лица, не имеющие медицинских противопоказаний. Женщины со времени установления беременности и в период кормления грудью ребенка к выполнению всех видов работ не допускаются.

Профессиональные пользователи ПЭВМ допускаются к работе при достижении 18 лет, имеющие группу допуска к работе с электрооборудованием, прошедшие все виды инструктажей.

Помещения для работы на ПЭВМ должны быть оборудованы аптечкой для оказания первой медицинской помощи и углекислотными огнетушителями.

Основные правила эксплуатации пользователем средств вычислительной техники

Перед началом работы необходимо:

   слегка влажной тряпочкой удалить пыль с экрана и поверхности монитора, принтера и процессорного блока, при этом выключатель и разъем электропитания должны быть выключены;

- произвести внешний осмотр устройств, шнуров питания и интерфейса.

При обнаружении механических повреждений корпусов, экрана монитора, шнуров питания и интерфейса пользователь должен незамедлительно обратится в ремонтную службу.

Включение питания техники производится соответствующим переключателем на корпусе при подключенном к сети разъемом питания.

Запрещается подключать или отключать разъем питания к сети при включенном переключателе на корпусе устройства. При выключении питания устройства его повторное включение производится не ранее чем через 1 мин.

Подключение и выключение интерфейсных кабелей между устройствами производится при выключенном питании обеих устройств.

Во время работы необходимо следить за правильной ориентацией дискеты при установки в дисковод. Дискета не должна иметь видимых механических повреждений корпуса и рабочей поверхности. При застревании дискеты в корпусе дисковода необходимо вызвать инженера ЦИ.

При эксплуатации принтера необходимо следить за состоянием красящей ленты и качеством печати. При снижении насыщенности печати, искажении изображения символов, появления посторонних шумов при работе принтера необходимо вызвать инженера ЦИ.

По окончании работы следует отключить монитор, блок питания компьютера, принтер и др. оргтехнику, отключить разъем питания.

Запрещается эксплуатировать технику:

- признанную специалистом Центра неисправной или непригодной к эксплуатации;

- не подключенную к контуру заземления;

- имеющую механические повреждения корпусов и floppi-дисководов;

- имеющую нарушение пломб;

- имеющую неисправное электропитание.

Заключение

Протокол Secure Shell оптимально подходит для удаленного администрирования компьютеров из-за своей защищенности, простоты в обращении и доступности. Открытый прогаммный код обеспечивает защиту от закладок, возможность для модернизации и так далее...

Также данный протокол допускает возможность использования нестандарных криптоалгоритмов.

В данной работе была рассмотрена установка и настройка протокола Secure Shell в пределах локальной сети, а также установка операционной системы Ubuntu Server 9.10, используемой в качестве серверной операционной системы, настройка сетевых интерфейсов, настройка Proxy-сервера, установка и настройка клиентской ПЭВМ.

Однако следует помнить, что в большистве случаев использовались настройки по-умолчанию. Опытный польователь может и должен использовать натсройки, отличные от настроек по умолчанию для обеспечения безопасности.

Литература

1. Колесниченко Д.Н., Ален Питер В. LINUX: полное руководство. 2-е изд. - СПб: Наука и техника, 2007. - 784 с.: ил.
2. Колесниченко Д.Н. Linux-сервер своими руками. Полное руководство. С-Пб.:Наука и техника, 2008. - 620 с.
3. Негус, Кристофер. LINUX. Библия пользователя, 5-е издание.: пер. с англ. - М.:ООО «И.Д. Вильямс», 2007 — 704 стр.:ил. - парал. тит. Англ.
4. http://www.openbsd.org/openssh/ru/history.html
5. http://www.alexhost.ru/info/?p=1&idarticles=51
6. http://www.opennet.ru/base/sec/ssh_intro.txt.html
7. http://www.delphisources.ru/pages/faq/base/ssh_protocol_description.html
8. http://ohrana-bgd.narod.ru/comp1.html