home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2003 April / Chip_2003-04_cd1.bin / tema / krypta / articles.php@ID=167

< prev

next >

Wrap

Text File  |  2003-02-02  |  27KB  |  494 lines

---

1. <!doctype html public "-//W3C//DTD HTML 4.0 Transitional//EN">
2. <html>
3. <head>
4.  <title>Krypta.cz - Pou₧φvßme SSH III.</title>
5.  <link rel="StyleSheet" href="server/main.css" type="text/css">
6.  <link rel="SHORTCUT ICON" href="server/favicon.ico">
7.  <meta http-equiv="Content-Type" content="text/html; charset=windows-1250">
8.  <meta http-equiv="Cache-control" content="no-cache">
9.  <meta http-equiv="Pragma" content="no-cache">
10.  <meta http-equiv="Expires" content="0">
11.  <meta name="robots" content="ALL,FOLLOW">
12.  <meta http-equiv="Content-language" content="cs">
13.  <meta name="description" content="Internetov² bezpeΦnostnφ portßl, zab²vajφcφ se kryptografiφ (Üifrovßnφm), ochranou dat, internetovou bezepeΦnostφ a poΦφtaΦov²mi viry">
14.  <meta name="keywords" content="Üifrovßnφ cryptography pgp des aes rsa dss digital signatures pki linux free bezpeΦnost ochrana hacking cracking virus worm">
15.  <meta name="copyright" content="Copyright (C) 2000-2002 Krypta.cz - <a href=mailto:michal.till@krypta.cz>Michal Till</a> a <a href=mailto:jan.kulveit@krypta.cz>Jan Kulveit</a>.">
16.  <!-- No caching for this document.Trying to write to art167.html. ?> -->
17.  
18.  <!-- output.php -->
19.  
20.   <script language="JavaScript">
21.   <!-- 
22. //    if(top != self) { window.top.location.href=document.location; }  -->
23.   </script>
24.  
25.  
26. <!-- NAVRCHOLU.cz -->
27. <script language="JavaScript" type="text/javascript">
28. <!--
29. pxDepth = screen.pixelDepth;
30. if (!(pxDepth > 0))
31.     pxDepth = screen.colorDepth;
32. if (!(pxDepth > 0))
33.     pxDepth = 0; 
34. document.write("<img style=\"position:absolute; top:0px; left: 0px;\" src=\"../hit.navrcholu.cz/hit@id=00039669;n=1;screenx=" + screen.width + ";screeny=" + screen.height + ";cdepth=" + pxDepth + ";ref=" + escape(top.document.referrer) + "\" width=\"1\" height=\"1\" alt=\"\">");
35. // -->
36. </script>
37. <noscript>
38. <img style="position:absolute; top:0px; left: 0px;" src="../hit.navrcholu.cz/hit@id=00039669;n=1" width="1" height="1" alt="" border="0">
39. </noscript>
40. <!-- NAVRCHOLU.cz - konec -->
41.  
42. <STYLE Type=text/css>
43.     BODY                { font-size:110%; background-color: #ffffff; color: #000000; margin: 0px;   background-image: url(images/backgr.gif); }
44.  
45.  
46.  
47.     .Copyright        { color: #000000; }
48.     .Copyright A    { color: #000000; }
49. </STYLE>
50. </head>
51. <SCRIPT>
52. </SCRIPT><SCRIPT Src=charts.php@version=1621></SCRIPT><SCRIPT>
53.  // Nalezeno  1 polozek. 
54. var SectionTitles=new Array( "Dφl 1.,Pou₧φvame SSH - vzdßlen² p°φstup" , "    Trocha historie" , "    Trocha techniky" , "    Jak pou₧φvat RSA" , "      Ov∞°enφ protistrany - autentizace ser" , "      SSH na tak trochu jin²ch systΘmech" , "    Update" , "Dφl 1.,Pou₧φvßme SSH - p°enos soubor∙, " , "    scp" , "    sftp" , "    ssh samo o sob∞" , "    Klienti" , "Dφl 3., Pou₧φvßme SSH III. (tento)" , "    P°esm∞rovßnφ naopak (p°esm∞rovßnφ vzdßl" , "    P°ekonßvßnφ maÜkarßd" , "    DalÜφ perspektivy tunelovßnφ" , "      P°φkazy na klφΦ" , "      Budovßnφ potrubφ" , "      Chyby v implementacφch" , "      Slabß mφsta protokolu" , "    Zßdrhele" );
55. var SectionURLs=new Array( "132" , "132#Title1" , "132#Title2" , "132#Title3" , "132#Title4" , "132#Title5" , "132#Title6" , "145" , "145#Title1" , "145#Title2" , "145#Title3" , "145#Title4" , "167" , "167#Title1" , "167#Title2" , "167#Title3" , "167#Title4" , "167#Title5" , "167#Title6" , "167#Title7" , "167#Title8" );
56.  
57. var BrothersNames = new Array("Zajφmav² ·tok na SSH","Pou₧φvame SSH - vzdßlen² p°φstup, historie ,klienti","Pou₧φvßme SSH - p°enos soubor∙, scp","Secure shell  (ssh) - technick² popis protokolu","Chyba v OpenSSH","Pou₧φvßme SSH III.","");
58. var BrothersIDs = new Array("40","132","145","148","157","167","");
59. //=====INFO======
60. ItemName='Article167';
61.  
62. InIFrame='No';
63. TableNum=2; 
64. ItemID=167; 
65. ArticleType='1'; 
66. Action='articles'
67. ItemTitle='Pou₧φvßme SSH III.';
68. ItemComment='Pou₧φvßme SSH III.';
69. TabName='Articles'
70. Parent1Title='Secure SHell' ;
71. Parent2Title='BezpeΦnost internetu' ;
72. Parent1ID='32' ;
73. Parent2ID='22' ;
74. ParentTitle='Secure SHell' ;
75. AuthorName='Jan Kulveit' ;
76. AuthorDesc='' ;
77. AuthorEMail='jan.kulveit_40krypta.cz' ;
78. AuthorID='6' ;
79. ItemDate='8.4.2002';
80. Views='551' ;
81. Average='2.33' ;
82. Grade='2.33' ;
83. NumVotes='3' ;
84. SourceName='' ;
85. SourceURL='' ;
86. SourceLink='' ;
87. Ref1URL='../www.pp.clinet.fi/~vph/files/ssh-dos.html' ;
88. Ref2URL='' ;
89. Ref3URL='' ;
90. Ref4URL='' ;
91. Ref5URL='' ;
92. Ref1Link='http:<SPAN Style=font-size:1px> </SPAN>_3CSPAN Style=font-size_3A1px> </SPAN><SPAN Style=font-size:1px> </SPAN>_3CSPAN Style=font-size_3A1px> </SPAN>www.pp.clinet.fi<SPAN Style=font-size:1px> </SPAN>_3CSPAN Style=font-size_3A1px> </SPAN>~vph<SPAN Style=font-size:1px> </SPAN>_3CSPAN Style=font-size_3A1px> </SPAN>files<SPAN Style=font-size:1px> </SPAN>_3CSPAN Style=font-size_3A1px> </SPAN>ssh-dos.html' ;
93. Ref2Link='' ;
94. Ref3Link='' ;
95. Ref4Link='' ;
96. Ref5Link='' ;
97. Ref1Desc='SSH DOS a dobr² p°ehled p°edchozφch chyb a ·tok∙' ;
98. Ref2Desc='' ;
99. Ref3Desc='' ;
100. Ref4Desc='' ;
101. Ref5Desc='' ;
102. Possible=1 ;
103. Answer1='' ;
104. Answer2='' ;
105. Answer3='' ;
106. Answer4='' ;
107. Answer5='' ;
108. Num1='';
109. Num2='';
110. Num3='';
111. Num4='';
112. Num5='';
113. Type= ''; //def
114. WebName='Krypta.cz';
115. //====ENDINFO======
116.  
117. </SCRIPT>
118.  
119. <BODY>
120. </SCRIPT>
121. <SCRIPT Language=JavaScript Src="server/startfeatures.php@Rand=ddd "> </SCRIPT><SCRIPT Language=JavaScript Src="server/features.php"> </SCRIPT><!-- Rozdeleni na sloupce -->
122.  
123. <TABLE cellspacing="0" cellpadding="0" border="0" width="100%">
124. <tr>
125.  
126. <!-- Levy sloupec -->
127.  
128.  
129.  
130. <td  width="161" align="center" valign="top">
131.  
132. <img src=space.gif height=1 width=161>
133. <SCRIPT SRC=server/left_js.php@version=1621></SCRIPT></td>
134.  
135. <!-- /Levy sloupec -->
136.  
137. <!-- Mezera 1-->
138. <td width=13 bgcolor="#006792" ><img src="images/spacer.gif" width="13" height="1" border="0" alt=""></td>
139. <!-- /Mezera 1-->
140.  
141. <!-- Mezera 2 -->
142. <td width=1 bgcolor=#1063A5><img src="images/spacer.gif" width="1" height="1" border="0" alt=""></td>
143. <!-- /Mezera 2-->
144.  
145. <!-- Mezera 3 -->
146. <td width=10><img src="images/spacer.gif" width="10" height="1" border="0" alt=""></td>
147. <!-- /Mezera 3-->
148.  
149.  
150. <!-- Prostredni sloupec -->
151. <td align="center" valign="top">
152.  
153. <!-- Hlavicka -->
154. <!-- Horni lista s reklamou -->
155.  
156. <TABLE cellspacing="0" cellpadding="0" border="0" width="100%" class="hrlista">
157. <tr>
158.  
159. <!-- Logo-->
160. <td VAlign=Top>
161. <a href="default.htm"><img src="images/logo.gif"  style="z-index:100;" vspace=0 cwidth="222" cheight="48" border="0" alt="Krypta.cz - Magazφn o informaΦnφ bezpeΦnosti"></a>
162. </td>
163. <!-- /Logo -->
164.  
165. <td align=center>
166. </td></tr></table>
167. <!-- /Horni lista s reklamou-->
168. <!-- /Hlavicka -->
169.  
170. <TABLE Width=100% Border=0><TD><SCRIPT>
171. </SCRIPT><SCRIPT>
172. ArticleHead('Pou₧φvßme SSH III.', 'Jan Kulveit', 'jan.kulveit_40krypta.cz', '8.4.2002', '19:02:54', '╚lßnek');
173. Intro('Ssh je asi nesnßze pou₧iteln²m prost°edkem pro budovßnφ n∞Φeho, co bychom mohli vzneÜen∞ nazvat virtußlnφ privßtnφ sφtφ (VPN). ');
174. ArticleBanner_smallres('margin-bottom:10px;margin-top:-3px;');
175. </SCRIPT>
176. <DIV Class=Article><SCRIPT>
177. AuthorData();
178. if (Type != 'Pure') if ((ArticleType!=19) && (ArticleType!=20)) ShowSections();
179. ArticleBanner_bigres('margin-top:12px;margin-bottom:-3px;');
180. </SCRIPT><FONT Size=2><DIV Align=Justify Class=Paragraph>
181.     P°φklad prvnφ: 
182. </DIV></FONT></b></i>
183. <FONT Size=2><DIV Align=Justify Class=Paragraph>
184.     ┌pln∞ nejobecn∞jÜφ p°esm∞rovßnφ lokßlnφho portu na jin² poΦφtaΦ vypadß p°ibli₧n∞ takto (p°φkazy spouÜtφme na poΦφtaΦi jmΘnem Tuna, p°ipojujeme se k ssh dΘmonu b∞₧φcφm na ssh serveru Tam).
185. </DIV></FONT></b></i>
186. <FONT Size=2><DIV Align=Justify Class=Paragraph>
187.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  Ssh se p°ipojφ na Tam a autentizuje (viz p°edhozφ dφly)</UL>
188. </DIV></FONT></b></i>
189. <FONT Size=2><DIV Align=Justify Class=Paragraph>
190.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  Ssh zaΦne poslouchat na lokßlnφm portu Tuna, Φekß na spojenφ</UL>
191. </DIV></FONT></b></i>
192. <FONT Size=2><DIV Align=Justify Class=Paragraph>
193.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  Kdy₧ n∞jak² dalÜφ poΦφtaΦ otev°e spojenφ na p°esm∞rovan² port Tuna, ssh klient °ekne ssh dΘmonu Tam, ₧e ma otev°φt spojenφ na cφlov² poΦφtaΦ</UL>
194. </DIV></FONT></b></i>
195. <FONT Size=2><DIV Align=Justify Class=Paragraph>
196.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  DalÜφ p°φchozφ pakety Tuna Üifruje a posφlß ssh tunelem (kanßlem)</UL>
197. </DIV></FONT></b></i>
198. <FONT Size=2><DIV Align=Justify Class=Paragraph>
199.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  Tam je op∞t rozbalφ, a posφlß otev°en²m otev°e spojenφm na cφlov² poΦφtaΦ</UL>
200. </DIV></FONT></b></i>
201. <FONT Size=2><DIV Align=Justify Class=Paragraph>
202.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  UkonΦenφ tcp spojenφ ze strany cφlovΘho nebo zdrojovΘho poΦφtaΦe na ssh spojenφ nemß vliv. ssh spojenφ m∙₧e slou₧it k p°esm∞rovßnφ mnoha spojenφ najednou a po sob∞</UL>
203. </DIV></FONT></b></i>
204. <FONT Size=2><DIV Align=Justify Class=Paragraph>
205.     V²sledkem tedy je, ₧e se poΦφtaΦe z okolφ Tady (nap°. 10.0.0.10) p°ipojujφ bezpeΦn∞ k Tady. NebezpeΦn²m internetem putujφ data v ssh tunelu. Na Tam op∞t vystoupφ a skonΦφ na a.pop.cz.
206. </DIV></FONT></b></i>
207. <FONT Size=2><DIV Align=Justify Class=Paragraph>
208.     <p><center>
209. <img src="../atiks.krypta.cz/~jk/sshfwdloc.gif" width=526 height=475 border=0 align=><br>
210. <h6><i>Slo₧itΘ p°esm∞rovßnφ s vφce poΦφtaΦi</i></h6>.
211. </center>
212. </DIV></FONT></b></i>
213. <FONT Size=2><DIV Align=Justify Class=Paragraph>
214.     ╚φsla port∙ na obrßzku jsou jen p°φklad. 1110 je port, kter² u₧ivatel volφ pro poslouchßnφ. 110 je port slu₧by POP3, na kterou se chce u₧ivatel v naÜem p°φkladu bezpeΦn∞ protunelovat. 22 je obvykl² port ssh. Vysokß Φφsla port∙ jsou "nßhodn∞" p°id∞lena systΘmem, ilustrujφ jen to, ₧e se nezachovßvajφ.
215. </DIV></FONT></b></i>
216. <FONT Size=2><DIV Align=Justify Class=Paragraph>
217.     Cel² popsan² tunel vytvo°φ p°φkaz, spuÜt∞n² na Tuna
218. </DIV></FONT></b></i>
219. <FONT Size=2><DIV Align=Justify Class=Paragraph>
220.     <SPAN Class=CODE>ssh -L 1110:a.pop.cz:110 -g -n -N jk@Tam
221. /C-<p>
222. </DIV></FONT></b></i>
223. <FONT Size=2><DIV Align=Justify Class=Paragraph>
224.     Parametr <SPAN Class=CODE>-L</SPAN> udßvß, ₧e se mß p°esm∞rovat lokßlnφ port 1110, cφlem je spojenφ na a.pop.cz port 110/C+. Parametr <SPAN Class=CODE>-g</SPAN> povoluje, aby se k p°esm∞rovanΘmu portu Tuna mohli p°ipojovat i cizφ poΦφtaΦe, nap°. 10.0.0.10 (tedy ne jen localhhost-Tuna).  Parametr <SPAN Class=CODE>-n</SPAN> uzavφrß vstup ssh.  Parametr <SPAN Class=CODE>-N</SPAN> °φkß, ₧e se na Tam nemß nic spouÜt∞t a budou se pouze p°esm∞rovßvat porty, co₧ je bohu₧el vymo₧enost teprve SSH 2. V jedniΦce je mo₧nΘ po₧φt spuÜt∞nφ n∞jakΘho p°φkazu, kter² nic ned∞lß a Φekß (nap°φklad sleep).
225. </DIV></FONT></b></i>
226. <FONT Size=2><DIV Align=Justify Class=Paragraph>
227.     Za pozornost jeÜt∞ pßr detail∙
228. </DIV></FONT></b></i>
229. <FONT Size=2><DIV Align=Justify Class=Paragraph>
230.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  V po₧adavku na spojenφ Tuna posφlß Tamu adresu v jmennΘ podob∞. Dns resolving tedy provßdφ Tam.</UL>
231. </DIV></FONT></b></i>
232. <FONT Size=2><DIV Align=Justify Class=Paragraph>
233.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  Tuna sice posφlß Tamu ·daje o p°ipojujφcφm se poΦφtaΦi, tedy nap°. 10.0.0.10, port 26488, ale a.pop.cz se tyto ·daje nemß jak dozv∞d∞t, vidφ jen spojenφ, p°ichßzejφcφ z Tam. </UL>
234. </DIV></FONT></b></i>
235. <FONT Size=2><DIV Align=Justify Class=Paragraph>
236.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  P°esm∞rovßnφ privilegovan²ch port∙ m∙₧e zpravidla provΘst pouze superu₧ivatel. </UL>
237. </DIV></FONT></b></i>
238. <FONT Size=2><DIV Align=Justify Class=Paragraph>
239.     
240. ╚astΘ pou₧itφ p°esm∞rovßnφ port∙: 
241. </DIV></FONT></b></i>
242. <FONT Size=2><DIV Align=Justify Class=Paragraph>
243.     Popsan² p°φklad ukazuje veÜkerΘ mo₧nosti, ale nenφ p°φliÜ obvzkl². P°esm∞rovßnφ se v²hodn∞ pou₧φvß k zabezpeΦenφ lokßlnφch spojenφ lokßlnφch aplikacφ. 
244. </DIV></FONT></b></i>
245. <FONT Size=2><DIV Align=Justify Class=Paragraph>
246.     <SPAN Class=CODE>ssh -L 1110:127.0.0.1:110 -n -N jk@Tam
247. </SPAN> 
248. </DIV></FONT></b></i>
249. <FONT Size=2><DIV Align=Justify Class=Paragraph>
250.     <br>
251. Vytvo°φ tunel mezi Tady a Tam. Na Tady pak lze spustit nap°φklad poÜtovnφ program, kter² se p°ipojφ prokolem POP3 k localhost:1110. Spojenφ se protuneluje a sshd Tam se jen lokßln∞ p°ipojφ k mφstnφmu POP3 Tamu.
252. </DIV></FONT></b></i>
253. <A Name="Title1"><FONT Size=3><DIV Class=Headline>P°esm∞rovßnφ naopak (p°esm∞rovßnφ vzdßlen²ch port∙)</DIV></font>
254. <FONT Size=2><DIV Align=Justify Class=Paragraph>
255.     Dalo by se °φci, ₧e v²sledek p°esm∞rovßnφ "vzdßlenΘho" portu je p°esn∞ symetrick², opaΦn² ne₧ u lokßlnφho, a₧ na to, ₧e vytvo°enφ tunelu vyvolßvß a ssh spojenφ navazuje po°ßd lokßlnφ poΦφtaΦ. Tedy
256. </DIV></FONT></b></i>
257. <FONT Size=2><DIV Align=Justify Class=Paragraph>
258.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  Ssh se p°ipojφ na Tam a autentizuje (viz p°edhozφ dφly)</UL>
259. </DIV></FONT></b></i>
260. <FONT Size=2><DIV Align=Justify Class=Paragraph>
261.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  ssh poÜle Tamu po₧adavek, na p°Φesm∞rovßnφ portu</UL>
262. </DIV></FONT></b></i>
263. <FONT Size=2><DIV Align=Justify Class=Paragraph>
264.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  Tam otve°e port a Φekß</UL>
265. </DIV></FONT></b></i>
266. <FONT Size=2><DIV Align=Justify Class=Paragraph>
267.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  Kdy₧ n∞jak² poΦφtaΦ otev°e spojenφ na p°esm∞rovan² port Tamu, Tam to sd∞lφ Tuna</UL>
268. </DIV></FONT></b></i>
269. <FONT Size=2><DIV Align=Justify Class=Paragraph>
270.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  Tuna oteve°e spojenφ na cφlov² poΦφtaΦ, tentokrßt 10.5.0.1</UL>
271. </DIV></FONT></b></i>
272. <FONT Size=2><DIV Align=Justify Class=Paragraph>
273.     <p><center>
274. <img src="../atiks.krypta.cz/~jk/sshfwdrem.gif" width=526 height=516 border=0 align=><br>
275. <h6></i>P°esm∞rovßnφ vzdßlenΘho portu.</i></h6>
276. </center>
277. </DIV></FONT></b></i>
278. <FONT Size=2><DIV Align=Justify Class=Paragraph>
279.     Pat°iΦn² p°φkaz je
280. </DIV></FONT></b></i>
281. <FONT Size=2><DIV Align=Justify Class=Paragraph>
282.     <SPAN Class=CODE>ssh -R 1110:10.0.0.10:110 -g -n -N jk@Tam
283. </SPAN>
284. <p>
285. </DIV></FONT></b></i>
286. <A Name="Title2"><FONT Size=3><DIV Class=Headline>P°ekonßvßnφ maÜkarßd</DIV></font>
287. <FONT Size=2><DIV Align=Justify Class=Paragraph>
288.     P°esm∞rovßnφ vzdßlen²ch port∙ lze v²hodn∞ vyu₧φt k p°ekonßvßnφ r∙zn²ch maÜkarßd (NAT router∙ skr²vajφcφch sφ¥ s neve°ejn²m adresnφm prostorem), p°ekß₧ejφcφch firewall∙ a v∙bec r∙zn²ch obstrukcφ, zabra≥ujφcφch otev°φt z internetu spojenφ na mφstnφ poΦφtaΦ. (Principy maÜkßrßd a vniklΘ problΘmy popisovat zde nebudu.) Z°ejm∞ staΦφ ·Φet na "sp°ßtelenΘm" poΦφtaΦi, provozujφcφm sshd a p°ipojenΘm k svobodnΘmu ve°ejnΘmu internetu. P°φkaz 
289. </DIV></FONT></b></i>
290. <FONT Size=2><DIV Align=Justify Class=Paragraph>
291.     <SPAN Class=CODE>ssh -R 8080:127.0.0.1:80 -g -n -N jk@Tam
292. </SPAN>
293. <br>
294. spuÜt∞n² z poΦφtaΦe za maÜkarßdou, nap°φklad s adresou 10.1.1.10, zp°φstupnφ ÜirΘmu internetu lokßlnφ webserver.
295. Kdokoli z internetu se na n∞j bude moci dostat, s adresou http://cele.jmeno.Tam:8080/.
296. </DIV></FONT></b></i>
297. <FONT Size=2><DIV Align=Justify Class=Paragraph>
298.     Oblφben² p°φkaz
299. </DIV></FONT></b></i>
300. <FONT Size=2><DIV Align=Justify Class=Paragraph>
301.     <SPAN Class=CODE>ssh -R 1022:127.0.0.1:22 -g -n -N jk@Tam
302. </SPAN>
303. <br>zp°φstupnφ sv∞tu lokßlnφ ssh - ssh lze skrz ssh tunelovat jako cokoli jinΘho.
304. </DIV></FONT></b></i>
305. <FONT Size=2><DIV Align=Justify Class=Paragraph>
306.     M∙₧ete namφtnout, ₧e tahle mo₧nost, jak snadno p°ekonßvat firemnφ bezpeΦnostnφ politiku a drah² firewall nenφ obecn∞ prosp∞Ünß. Ale jsou naprosto oprßvn∞nß pou₧itφ, nap°φklad n∞kte°φ provide°i po₧adujφ nehorßznΘ p°φplatky za p°id∞lenφ ve°ejnΘ IP adresy.
307. </DIV></FONT></b></i>
308. <A Name="Title3"><FONT Size=3><DIV Class=Headline>DalÜφ perspektivy tunelovßnφ</DIV></font>
309. <FONT Size=2><DIV Align=Justify Class=Paragraph>
310.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  Nejnov∞jÜφ verze ssh klienta od ssh.com se umφ chovat jako SOCKS4 proxy. Nemo₧nost dynamickΘho p°esm∞rovßnφ byla znaΦn²m omezenφm, ale ze strany protokolu jφ ve sm∞ru od klienta nic nebrßnφ. </UL>
311. </DIV></FONT></b></i>
312. <FONT Size=2><DIV Align=Justify Class=Paragraph>
313.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  Tzv. p°edßvßnφ spojenφ autentizaΦnφho agenta umo₧≥uje efektivn∞ °et∞zit ssh spojenφ. StruΦn∞ - °ekn∞me, ₧e mßm ve°ejnou Φßst klφΦe ulo₧enou jako oprßvn∞n² klφΦ na serverech A a B, soukromou Φßst klφΦe mßm na pracovnφ stanici C. P°ipojenφ C-A,C-B se realizujφ snadno. P°edßvßnφ autentizace umo₧≥uje provΘst snadno i spojenφ C-A-B, agent na A p°edß BΦku autentizaci z C. </UL>
314. </DIV></FONT></b></i>
315. <FONT Size=2><DIV Align=Justify Class=Paragraph>
316.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  Tunelovßnφ X session by si zaslou₧ilo samostatn² Φlßnek, kter² snad Φasem takΘ vznikne.</UL>
317. </DIV></FONT></b></i>
318. <A Name="Title4"><FONT Size=3><DIV Class=Headline>
319. P°φkazy na klφΦ</DIV></font>
320. <FONT Size=2><DIV Align=Justify Class=Paragraph>
321.     Ssh umo₧≥uje svßzat s pou₧itφm konkrΘtnφho klφΦe p°i autentizaci p°φkaz, kter² se po autentizaci vykonß. Co se mß spustit a s jak²m prost°edφm se uvede v souboru <SPAN Class=CODE>authorized_keys</SPAN> u p°φluÜnΘho klφΦe. Je tak mo₧nΘ mφt specielnφ klφΦe, zp∙sobujφcφ nap°φklad restart poΦφtaΦe, spuÜt∞nφ modemovΘho spojenφ, zav∞Üenφ modemovΘho spojenφ a podobn∞. V²hodou je, ₧e takto omezen² klφΦ nem∙₧e b²t zneu₧it k niΦemu jinΘmu. Nev²hodou absolutnφ zßvislost na ochran∞ souboru souboru <SPAN Class=CODE>authorized_keys</SPAN>.
322. </DIV></FONT></b></i>
323. <A Name="Title5"><FONT Size=3><DIV Class=Headline>
324. Budovßnφ potrubφ</DIV></font>
325. <FONT Size=2><DIV Align=Justify Class=Paragraph>
326.     Je to prostΘ, ssh m∙₧ete vΦlenit do oblφben²ch unixov²ch shellov²ch konstrukcφ. Nap°φklad vzdßlenΘ zßlohovßnφ a obnova m∙₧e vypadat takto
327. </DIV></FONT></b></i>
328. <FONT Size=2><DIV Align=Justify Class=Paragraph>
329.     <SPAN Class=CODE>
330. dump -0 -a -f - /usr | ssh jk@Tam "gzip > usr.dump.gz"<br>
331. ...<br>
332. cd /usr<br>
333. ssh jk@Tam "cat /dump.usr.gz | gunzip" | restore -f - -r <br>
334. </SPAN>
335. </DIV></FONT></b></i>
336. <FONT Size=2><DIV Align=Justify Class=Paragraph>
337.     S ssh jsou vzdßlenΘ poΦφtaΦe dostupnΘ stejn∞ snadno, jako blφzkΘ. StaΦφ pßr znak∙ a z p°φkazu, zapsanΘho na jednom °ßdku vstupu shellu se Φßst provede na jednom poΦφaΦi, Φßst na druhΘm. SnadnΘ, pohodlnΘ, elegantnφ a sluÜn∞ bezpeΦnΘ, ssh je prost∞ bßjeΦnΘ. ╚φm₧ obsah, je₧ by si zaslou₧φ nßzev "Pou₧φvßme SSH", prozatφm konΦφ. 
338. </DIV></FONT></b></i>
339. <A Name="Title6"><FONT Size=3><DIV Class=Headline>
340. Chyby v implementacφch</DIV></font>
341. <FONT Size=2><DIV Align=Justify Class=Paragraph>
342.     DΘmon, b∞₧φcφ se superu₧ivatelsk²mi prßvy, a komunikujφcφ po sφti, obvykle p°inßÜφ problΘmy. Bohu₧el, platφ to i pro sshd a proto se takΘ uplatnφ obecnß rada slu₧by, kterΘ nejsou pot°eba, vypnout. Na desktpu, ke kterΘmu nikdo vzdßlen∞ nep°istupuje, namß ssh b∞₧et. 
343. V p°φpad∞ OpenSSH by se Φetnost zßva₧n²ch problΘmu dala odhadnout na o trochu vφc ne₧ jeden za rok, alespo≥ poslendφ dobou. Nap°φklad loni se "CRC-32 Compensation Attack Detector Vulnerability" (BID 2347) stala jednou z nejΦast∞ji zneu₧φvan²ch d∞r. Ssh od SSH se je na tom podobn∞, t°eba chyba "SSH Short Password Login Vulnerability" (BID 3078) p∙sobφ opravdu trapn∞ (u u₧ivatele s p°φliÜ krßtk²m heslem ssh dΘmon autentizuje prost∞ kohokoli). Provoz ssh dΘmona tedy vede k nutnosti obΦas lepit zßplaty. Preventivn∞ je vhodnΘ nepou₧φvanΘ vlastnosti z ssh dΘmona vylouΦit u₧ p°i kompilaci.
344. </DIV></FONT></b></i>
345. <FONT Size=2><DIV Align=Justify Class=Paragraph>
346.     N∞kterΘ dφry v klientech jsou naopak zneu₧itelnΘ ·toΦφcφm serverem, tak₧e se uplat≥uje i obecnΘ doporuΦenφ nespouÜt∞t pod superu₧ivatelsk²m ·Φtem nic, u Φeho to nenφ nezbytn∞ nutnΘ.
347. </DIV></FONT></b></i>
348. <A Name="Title7"><FONT Size=3><DIV Class=Headline>
349. Slabß mφsta protokolu</DIV></font>
350. <FONT Size=2><DIV Align=Justify Class=Paragraph>
351.     V SSH 1
352. </DIV></FONT></b></i>
353. <FONT Size=2><DIV Align=Justify Class=Paragraph>
354.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  Z odposlechnutΘ komunikace lze p°φmo urΦit dΘlku hesla</UL>
355. </DIV></FONT></b></i>
356. <FONT Size=2><DIV Align=Justify Class=Paragraph>
357.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  èifra RC4 byla v ssh pou₧ita Üpatn∞. ╪eÜenφm je RC4 v ssh nepou₧φvat.</UL>
358. </DIV></FONT></b></i>
359. <FONT Size=2><DIV Align=Justify Class=Paragraph>
360.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  Dφky vadnΘmu zp∙sobu tvorby seesion id za urΦit²ch podmφnek SSH1 nechrßnφ dostateΦn∞ p°ed man-in-the-middle ·tokem. </UL>
361. </DIV></FONT></b></i>
362. <FONT Size=2><DIV Align=Justify Class=Paragraph>
363.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  Za urΦit²ch podmφnek m∙₧e ·toΦnφk vlo₧it do ssh spojenφ vlastnφ data. (insertion attack) </UL>
364. </DIV></FONT></b></i>
365. <FONT Size=2><DIV Align=Justify Class=Paragraph>
366.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  Za urΦit²ch podmφnek pou₧itφ p°esm∞rovßnφ X Win spojenφ ohro₧uje bezpeΦnost klienta.</UL>
367. </DIV></FONT></b></i>
368. <FONT Size=2><DIV Align=Justify Class=Paragraph>
369.     NaÜt∞stφ zneu₧itφ uveden²ch problΘm∙, vedoucφ k zßva₧n∞jÜφmu naruÜenφ bezpeΦnosti, nenφ snadnΘ. Protokol SSH 2 byl nav₧en po letech zkuÜenostφ s SSH 1, tak₧e uvedenΘ chyby neobsahuje a ₧ßdnß podobn∞ zßva₧nß zatφm nebyla nalezena. 
370. </DIV></FONT></b></i>
371. <A Name="Title8"><FONT Size=3><DIV Class=Headline>Zßdrhele</DIV></font>
372. <FONT Size=2><DIV Align=Justify Class=Paragraph>
373.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  ProblΘm distribuce klφΦ∙. Server se autentizuje sv²m ve°ejn²m klφΦem, kter² pak v∞tÜina klient∙ uklßdß v lokßlnφ databßzi a p°i dalÜφch spojenφch kontroluje. Jednoduch² zp∙sob, jak ov∞°it identitu serveru a spolehliv∞ zabrßnit man in the middle ·toku p°i prvnφm spojenφ, neexistuje. Paranoidnφ sprßvci server∙ si proto s sebou mohou nosit ve°ejn² klφΦ svΘho serveru a p°φpadn∞ jeho fingerprint vytiÜt∞n² na kartiΦce. </UL>
374. </DIV></FONT></b></i>
375. <FONT Size=2><DIV Align=Justify Class=Paragraph>
376.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  Konfigurace ssh, kdy by se m∞lo najednou uplatnit spojovßnφ klφΦ∙ s konkrΘtnφmi p°φkazy, omezovßnφ u₧ivatel∙ specielnφmi shelly a chroot prost°edφm, omezovßnφ p°φstupu u₧ivatel∙ na p°enos soubor∙ do jejich domovskΘho adresß°e je slo₧itß a snadno se v nφ nad∞lajφ chyby.</UL>
377. </DIV></FONT></b></i>
378. <FONT Size=2><DIV Align=Justify Class=Paragraph>
379.     <UL STYLE="margin-right:50px;" Class=LinkItem><LI>  Asi nejv∞tÜφ problΘm - d∙v∞ryhodnost ssh klient∙, p°ipojovßnφ se z ned∙v∞ryhodn²ch poΦφtaΦ∙. Nenφ t∞₧kΘ upravit putty tak, aby uklßdala u₧ivatelskß jmΘna, hesla a jmΘna poΦφtaΦ∙ "bokem" do n∞jakΘho soboru a nainstalovat je na nezabezpeΦen² Win 98 poΦφtaΦ v internetovΘ kavßrn∞ nebo poΦφtaΦovΘ pracovn∞. P°i p°ipojovßnφ ze zcela neznßmΘho poΦφtaΦe je vhodnΘ alespo≥ si stßhnout a spustit "ΦistΘho" klienta z internetu. A samoz°ejm∞, nepou₧φvat hesla. UpravenΘ ssh klietskΘ programy (pro unix) se vyskytujφ v rootkitech a pat°φ do standardnφ v²bavy hacker∙ a takyhacker∙. Na podcen∞nφ bezpeΦnosti poΦφtaΦe, odkud se administrßtor p°ipojoval, doplatilo p°i ·sp∞ÜnΘm pr∙niku nap°φklad ΦeskΘ SuSE. </UL>
380. </DIV></FONT></b></i>
381. <FONT Size=2><DIV Align=Justify Class=Paragraph>
382.     <p><center>
383. <img src="../atiks.krypta.cz/~jk/sshg.jpg" width=223 height=350 border=0 align=><br>
384. <h6></i>Zßv∞rem pohlednice z USA<i></h6>
385. </center>
386. </DIV></FONT></b></i>
387. <FONT Size=2><DIV Align=Justify Class=Paragraph>
388.      
389. </DIV></FONT></b></i>
390. </DIV>
391. <SCRIPT>
392. TextEnd('')
393. </SCRIPT><SCRIPT>
394. o('<br>');
395. hr('');
396. o('<TABLE '+CP+' '+CS+' style=\'position:relative;top:-'+sw('7','9')+'px;z-index:5\' xAlign=left '+B+'><TR><TD width=10><img HEIGHT=18 WIDTH=14 src=images/downgreyleft.gif hspace=0 vspace=0 '+B+' align=right><TD bgcolor=#E0E0E0><SPAN Style="font-size:12px;color:#000000;font-family:Verdana, Arial, Sans-Serif;position:relative;top:-2px;">Souvisejφcφ člßnky</SPAN><TD width=10><img src=images/downgreyright.gif width=17 height=18  hspace=0 vspace=0 '+B+' '+AL+'></TABLE>');
397. </SCRIPT><OL Class=None Type=Disc><LI style='margin-left:20px;' class=LinkItem><a href=articles.php@ID=148><SPAN Class=SeeAlso>Secure shell  (ssh) - technick² popis protokolu</SPAN></a><LI style='margin-left:20px;' class=LinkItem><a href=articles.php@ID=132><SPAN Class=SeeAlso>Pou₧φvame SSH - vzdßlen² p°φstup, historie ,klienti</SPAN></a><LI style='margin-left:20px;' class=LinkItem><a href=articles.php@ID=88><SPAN Class=SeeAlso>OTP neboli jednorßzovß hesla, p°evß₧n∞ pro UNIX</SPAN></a><LI style='margin-left:20px;' class=LinkItem><a href=articles.php@ID=145><SPAN Class=SeeAlso>Pou₧φvßme SSH - p°enos soubor∙, scp</SPAN></a></OL><SCRIPT>
398. nie('<br>');AdditionalTablesBegin();
399.  
400. CommentsBegin('Pou₧φvßme SSH III.',0);
401. NoComments()
402. CommentsEnd();
403. </SCRIPT><SCRIPT>
404. ArticleEnd()
405. </SCRIPT></TABLE>
406. <!-- /Prostredni sloupec -->
407.  
408.  
409. <!-- Mezera 3 -->
410.  
411. <td width=5><img src="images/spacer.gif" width="5" height="1" border="0" alt=""></td>
412. <!-- /Mezera 3-->
413.  
414. <!-- Mezera 2 -->
415. <td width=1 bgcolor=#1063A5><img src="images/spacer.gif" width="1" height="1" border="0" alt=""></td>
416. <!-- /Mezera 2-->
417.  
418. <!-- Mezera 1-->
419. <td width=13 bgcolor="#006792" ><img src="images/spacer.gif" width="13" height="1" border="0" alt=""></td>
420. <!-- /Mezera 1-->
421.  
422. <!-- Pravy sloupec -->
423. <td bgcolor=#006792 width="0" align="center" valign="top">
424. <SCRIPT SRC=server/right_js.php@version=1621></SCRIPT><br>
425. </td>
426. <!-- /Pravy sloupec -->
427.  
428.  
429. </tr>
430.  
431. <!-- Bilo -->
432. <tr>
433. <td bgcolor=#000000><img src=space.gif height=1 width=1></td>
434. <td bgcolor=#000000></td>
435. <td bgcolor=#000000></td>
436. <td bgcolor=#FFFFFF></td>
437. <td bgcolor=#FFFFFF></td>
438. <td bgcolor=#FFFFFF></td>
439. <td colspan=5 bgcolor=#000000></td>
440. </tr>
441. <tr  bgcolor=#FFFFFF>
442. <td><img src=space.gif height=20 width=1></td>
443. <td></td>
444. <td></td>
445. <td></td>
446. <td></td>
447. <td></td>
448. <td colspan=5></td>
449. </tr>
450. <!-- /Bilo-->
451.  
452.  
453.  
454. </table>
455. <!-- /Rozdeleni na sloupce -->
456.  
457. <SCRIPT>
458.     Exec(ToExecute);
459.     ToExecute="";
460. </SCRIPT>
461.  
462. <!-- Dolni lista -->
463.  
464.  
465. <!-- Paticka -->
466. <TABLE cellspacing="0" cellpadding="0" border="0" width="100%" bgcolor=#ffffff>
467. <TR><td colspan=5 align="center" bgcolor=#000000><img src=space.gif height=1 width=1></td></TR>
468. <TR bgcolor=#f0f0f0>
469. <td align="center">
470. <IMG Src=images/logo2.gif hspace=10 vspace=5>
471. </td>
472. <td>
473. <DIV Style="margin-top:4px;margin-bottom:4px;" Class=Copyright><FONT Face=Arial Size=1>
474.  
475. <b><u>Krypta.cz</u></b> -  Magazφn o informaΦnφ bezpeΦnosti.<br>
476. Copyright (C) 2000-2002 Krypta.cz - <a href=mailto:michal.till@krypta.cz>Michal Till</a> a <a href=mailto:jan.kulveit@krypta.cz>Jan Kulveit</a>. VÜechna prßva vyhrazena. <br>
477. Tento server dodr₧uje prßvnφ p°edpisy o ochran∞ osobnφch ·daj∙, vΦetn∞ standardu P3P (<a href=server/policy.xml>policy</a>). </FONT></DIV>
478. </td>
479. <td>
480. <IMG Src=geronimo.gif hspace=10 vspace=5>
481. </td>
482. <td>
483. <DIV Style="margin-top:4px;margin-bottom:4px;" Class=Copyright><FONT Face=Arial Size=1>
484. RedakΦnφ systΘm Geronimo<br>
485. Copyright (C) 2001-2002 <a href=mailto:michal.till@krypta.cz>Michal Till</a>
486. </FONT></DIV>
487. </td>
488. </td></tr></table>
489. <!-- Paticka -->
490.  
491. <!-- /Dolni lista -->
492.  
493. </body>
494. </html>