Проблемы сетевого взаимодействия

При сетевом взаимодействии передаваемые данные могут быть перехвачены злоумышленником на всем пути следования. При этом существуют сетевые сервисы, особо критичные к нарушению конфиденциальности. Например, управление удаленной системой с использованием протокола TELNET никак не защищено от перехвата, хотя вначале сеанса взаимодействия происходит аутентификация с передачей пароля в открытом виде. Компрометация пароля, особенно пользователя с высокими полномочиями, может дать злоумышленнику частичный или полный контроль над удаленной системой. Одним из способов решения данной проблемы является использование протокола SSH.

SSH является протоколом для удаленного безопасного входа и других сетевых сервисов безопасности в недостаточно надежно защищенной сети. SSH состоит из трех компонентов.

1. Протокол транспортного уровня (SSH-TRANS) обеспечивает аутентификацию сервера, конфиденциальность и целостность соединения. Также может дополнительно обеспечивать сжатие данных. Протокол транспортного уровня обычно выполняется поверх соединения TCP, но может использоваться и поверх любого другого надежного соединения.

2. Протокол аутентификации пользователя (SSH-USERAUTH) аутентифицирует клиента для сервера. Он выполняется поверх протокола транспортного уровня.

3. Протокол соединения (SSH-CONN), мультиплексирует несколько логических каналов в один зашифрованный туннель. Протокол выполняется поверх протокола аутентификации пользователя.

Клиент посылает запрос на сервис всякий раз, когда устанавливается безопасное соединение на транспортном уровне. Второй запрос сервиса посылается после выполнения аутентификации пользователя.

Протокол соединения создает каналы, которые могут использоваться для различных целей. Существуют стандартные методы установки безопасных сессий интерактивного shell и перенаправления ("туннелирования") произвольных портов TCP/IP и соединений Х11.

Клиент SSH

Для операционных систем семейства Windows существует свободнораспространяемый клиент SSH – PuTTY. Эта программа позволяет подключаться к удаленной машине используя протоколы TELNET, RLOGIN и SSH.

При запуске программы появляется окно, приведенное на рисунке 9. В этом окне необходимо выбрать переключателем «Protocol» один из поддерживаемых протоколов и имя или сетевой адрес удаленной машины в поле «Host Name (or IP address)». В поле номера порта автоматически устанавливается значение по умолчанию для данного протокола и изменять его необходимо, если на удаленной машине этот протокол использует нестандартный номер порта. После настройки, для установления соединения необходимо нажать кнопку «Open». Для установления соединения на удаленной машине должен быть запущен соответствующий сервис, например sshd для протокола SSH или telnetd для протокола TELNET.

Рисунок 9 – Окно конфигурации программы PuTTY

После установления соединения пользователь должен зарегистрироваться в системе, введя имя и пароль. Пример окна терминальной сессии при использовании протокола SSH приведен на рисунке 10, а при использовании протокола TELNET – на рисунке 11. В терминальной сессии можно выполнять различные команды на удаленной системе. Для завершения сессии используется команда exit.

При использовании протокола TELNET все взаимодействие по сети идет в открытом виде. Поэтому злоумышленник может перехватить имя пользователя и пароль, и в дальнейшем взаимодействовать с удаленной системой от имени атакованного пользователя. При использовании протокола SSH весь сеанс взаимодействия шифруется, однако приводит к увеличению трафика.

Рисунок 10 – Окно терминальной сессии при использовании протокола SSH.

Рисунок 11 – Окно терминальной сессии при использовании протокола Telnet

Просмотреть содержание сеанса взаимодействия пользователя с удаленной позволяет программа TCPViewr, рассматриваемая в лабораторной работе №1. При этом в настройках TCPViewr необходимо указать адрес удаленной машины. В полях «Remote Port» и «Local Port» указать порт 23 для протокола TELNET или порт 22 для протокола SSH. В настройках PuTTY в качестве имени удаленной машины необходимо использовать имя localhost или адрес 127.0.0.1.