Giao thức SSH( Secure Shell)

SSH ( Secure Shell) là một giao thức mạng dùng để thiết lập kết nối mạng một cách bảo mật. SSH hoạt động ở lớp trên trong mô hình phân lớp TCP/IP. Các công cụ SSH cung cấp cho người dùng cách thức để thiết lập kết nôi mạng
Nội dung trích xuất từ tài liệu:
Giao thức SSH( Secure Shell)I.5.1.Giao thức SSH( Secure Shell)I.5.1.1.Khái niệm SSH ( Secure Shell) là một giao thức mạng dùng để thiết lập kết nối mạngmột cách bảo mật. SSH hoạt động ở lớp trên trong mô hình phân lớp TCP/IP. Cáccông cụ SSH (như là OpenSSH, PuTTy,…) cung cấp cho người dùng cách thứcđể thiết lập kết nối mạng được mã hoá để tạo một kênh kết nối riêng tư. Mỗi khi dữ liệu được gửi bởi một máy tính vào mạng, SSH tự động mã hoánó. Khi dữ liệu được nhận vào, SSH tự động giải mã nó. Kết quả là việc mã hoáđược thực hiện trong suốt: người dùng có thể làm việc bình thường, không biếtrằng việc truyền thông của họ đã được mã hoá an toàn trên mạng.I.5.2.2.Lịch sử phát triển SSH1 và giao thức SSH-1 được trình bày năm 1995 bởi Tatu Ylõnen, mộtnhà nghiên cứu ở trường đại học kĩ thuật của Phần Lan (Hesninki). Sau khimạng trường đại học của ông ta là nạn nhân của một cuộc tấn công đánh c ắppassword vào đầu năm đó. Tháng 7 năm 1995, SSH1 được phát hành rộng rãi dưới dạng một phầnmềm miễn phí có source code, cho phép mọi người sao chép và sử dụng màkhông thu phí. Cũng trong năm 1995, Ylõnen soạn thảo giao thức SSH-1 còn gọi là InternetEngineering Task Force (IETF). Nó là một giao thức có phần quảng cáo nhưngcòn một số lỗi và giới hạn nhưng rất phổ biến.I.5.2.3.Đặc điểm của SSH Tính bí mật có nghĩa là bảo vệ dữ liệu không bị phơi bày. Mạng máy tínhbình thường không bảo đảm tính bí mật, bất cứ ai truy cập đến phần cứng củamạng hoặc đến những host kết nối với mạng đều có thể sẽ đọc được tất cả dữliệu đi qua mạng. SSH cung cấp tính bí mật bằng việc mã hoá dữ liệu đi quamạng. SSH hỗ trợ nhiều thuật toán mã hoá đối với phiên dữ liệu, đó là nhữngthuật toán mã hoá chuẩn như: AES, IDEA, DES và triple-DES (3DES) Tính toàn vẹn nghĩa là bảo đảm dữ liệu được truyền từ một đầu này đếnđầu kia của mạng không bị thay đổi. Giao thức SSH sử dụng phương pháp kiểmtra toàn vẹn mật mã, phương pháp này kiểm tra cả việc dữ liệu có bị biến đổihay không và dữ liệu đến có đúng là do đầu kia gửi hay không. Nó sử dụng thuậttoán băm khoá là MD5 và SHA-1. Chứng minh xác thực là kiểm tra định danh của ai đó để xác định chính xácđúng là người đó hay không. Mỗi kết nối SSH bao gồm hai việc xác thực: clientkiểm tra định danh của SSH server (server authentication) và server kiểm tra địnhdanh của người sử dụng yêu cầu truy cập (user authentication). SSH hỗ trợ xác thực bằng mật khẩu, mã hoá mật khẩu khi nó truyền đi trênmạng. Đây là sự cải thiện rất lớn so với những giao thức truy cập từ xa thôngthường khác (Telnet, FTP) mà chúng gửi mật khẩu qua mạng dưới dạng cleartext. Tuy nhiên, việc chứng thực như thế vẫn chỉ là chứng thực mật khẩu đ ơngiản vì thế SSH cung cấp cơ chế mạnh hơn và dễ sử dụng hơn: mỗi user cónhiều chữ kí khoá công cộng (per-user public-key signature) và một cải tiếnrlogin-style xác thực với định danh host được kiểm tra bằng khoá công khai. Việc cấp giấy phép có tác dụng quyết định ai đó có thể hoặc không thểlàm gì đó. Nó diễn ra sau khi xác thực, bởi vì bạn không thể chấp nhận một ai đócó quyền gì khi chưa biết đó là ai. SSH server có nhiều cách khác nhau để giớihạn hành động của client. Chuyển tiếp hoặc tạo đường hầm là tóm lược dịch vụ dựa trên TCPkhác như là Telnet hoặc IMAP trong một phiên SSH mang lại hiệu quả bảo mậtcủa SSH đến với các dịch vụ dựa trên TCP khác.I.5.2.4.Cách thức làm việc của SSHSSH làm việc thông qua 3 bước đơn giản: Việc định danh host được thực hiện qua việc trao đổi khoá. Mỗi máy tínhcó hỗ trợ kiểu truyền thông SSH có một khoá định danh duy nhất. Khoá này gồmhai thành phần: khoá riêng và khoá công cộng. Khoá công cộng được sử dụng khicần trao đổi giữa các máy chủ với nhau trong phiên làm việc SSH, dữ liệu sẽđược mã hoá bằng khoá công khai và chỉ có thể giải mã bằng khoá riêng. Khi cósự thay đổi về cấu hình trên máy chủ: thay đổi chương trình SSH, thay đổi c ơbản trong hệ điều hành, khoá định danh cũng sẽ thay đổi. Khi đó mọi người sửdụng SSH để đăng nhập vào máy chủ này đều được cảnh báo về sự thay đổinày. Khi hai hệ thống bắt đầu một phiên làm việc SSH, máy chủ sẽ gửi khoácông cộng của nó cho máy khách. Máy khách sinh ra một khoá phiên ngẫu nhiênvà mã hoá khoá này bằng khoá công cộng của máy chủ, sau đó gửi lại cho máychủ. Máy chủ sẽ giải mã khoá phiên này bằng khoá riêng của mình và nhậnđược khoá phiên. Khoá phiên này sẽ là khoá sử dụng để trao đổi dữ liệu giữa haimáy. Quá trình này được xem như các bước nhận diện máy chủ và máy khách. Mã hóa : sau khi hoàn tất việc thiết lập phiên làm việc bảo mật (trao đổikhoá, định danh), quá trình trao đổi dữ liệu diễn ra thông qua một bước trung gianđó là mã hoá/giải mã. Điều đó có nghĩa là dữ liệu gửi/nhận trên đ ường truy ềnđều được mã hoá và giải mã theo cơ chế đã thoả thuận trước giữa máy chủ vàmáy khách. Việc lựa chọn cơ chế mã hoá thường do máy khách quyết định. Cáccơ chế mã hoá thường được chọn bao gồm: 3DES, IDEA, và Blowfish. Khi cơchế mã hoá được lựa chọn, máy chủ và máy khách trao đổi khoá mã hoá chonhau. Việc trao đổi này cũng được bảo mật dựa trên đinh danh bí mật c ủa cácmáy. Kẻ tấn công khó có thể nghe trộm thông tin trao đổi trên đường truyền vìkhông biết được khoá mã hoá. Các thuật toán mã hoá khác nhau và các ưu, nhượcđiểm của từng loại: - 3DES (như triple-DES) phương pháp mã hoá mặc định cho SSH. - IDEA : Nhanh hơn 3DES, nhưng chậm hơn Arcfour và Blowfish. - Arcfour : Nhanh, nhưng các vấn đề bảo mật đã được phát hiện. - Blowfish : Nhanh và bảo mật, nhưng các phương pháp mã hoá đang đ ượccải tiến. Chứng thực là bước cuối cùng trong ba bước, và là bước đa dạng nhất. Tạithời điểm này, kênh trao đổi bản thân nó đã được bảo mật. Mỗi định danh và truynhập của người sử dụng có thể được cung cấp theo rất nhiều cách khác nhau.Chẳng hạn, kiểu chứng thực rhosts có thể được sử dụng, nhưng không phải làmặc định; nó đơn giản chỉ kiểm tra định danh ...