Giao thức SSH( Secure Shell) docx
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (97.09 KB, 4 trang )
I.5.1.Giao thức SSH( Secure Shell)
I.5.1.1.Khái niệm
SSH ( Secure Shell) là một giao thức mạng dùng để thiết lập kết nối mạng
một cách bảo mật. SSH hoạt động ở lớp trên trong mô hình phân lớp TCP/IP. Các
công cụ SSH (như là OpenSSH, PuTTy,…) cung cấp cho người dùng cách thức để
thiết lập kết nối mạng được mã hoá để tạo một kênh kết nối riêng tư.
Mỗi khi dữ liệu được gửi bởi một máy tính vào mạng, SSH tự động mã hoá
nó. Khi dữ liệu được nhận vào, SSH tự động giải mã nó. Kết quả là việc mã hoá
được thực hiện trong suốt: người dùng có thể làm việc bình thường, không biết
rằng việc truyền thông của họ đã được mã hoá an toàn trên mạng.
I.5.2.2.Lịch sử phát triển
SSH1 và giao thức SSH-1 được trình bày năm 1995 bởi Tatu Ylõnen, một
nhà nghiên cứu ở trường đại học kĩ thuật của Phần Lan (Hesninki). Sau khi mạng
trường đại học của ông ta là nạn nhân của một cuộc tấn công đánh cắp password
vào đầu năm đó.
Tháng 7 năm 1995, SSH1 được phát hành rộng rãi dưới dạng một phần mềm
miễn phí có source code, cho phép mọi người sao chép và sử dụng mà không thu
phí.
Cũng trong năm 1995, Ylõnen soạn thảo giao thức SSH-1 còn gọi là Internet
Engineering Task Force (IETF). Nó là một giao thức có phần quảng cáo nhưng
còn một số lỗi và giới hạn nhưng rất phổ biến.
I.5.2.3.Đặc điểm của SSH
Tính bí mật có nghĩa là bảo vệ dữ liệu không bị phơi bày. Mạng máy tính
bình thường không bảo đảm tính bí mật, bất cứ ai truy cập đến phần cứng của
mạng hoặc đến những host kết nối với mạng đều có thể sẽ đọc được tất cả dữ liệu
đi qua mạng. SSH cung cấp tính bí mật bằng việc mã hoá dữ liệu đi qua mạng.
SSH hỗ trợ nhiều thuật toán mã hoá đối với phiên dữ liệu, đó là những thuật toán
mã hoá chuẩn như: AES, IDEA, DES và triple-DES (3DES)
Tính toàn vẹn nghĩa là bảo đảm dữ liệu được truyền từ một đầu này đến đầu
kia của mạng không bị thay đổi. Giao thức SSH sử dụng phương pháp kiểm tra
toàn vẹn mật mã, phương pháp này kiểm tra cả việc dữ liệu có bị biến đổi hay
không và dữ liệu đến có đúng là do đầu kia gửi hay không. Nó sử dụng thuật toán
băm khoá là MD5 và SHA-1.
Chứng minh xác thực là kiểm tra định danh của ai đó để xác định chính xác
đúng là người đó hay không. Mỗi kết nối SSH bao gồm hai việc xác thực: client
kiểm tra định danh của SSH server (server authentication) và server kiểm tra định
danh của người sử dụng yêu cầu truy cập (user authentication).
SSH hỗ trợ xác thực bằng mật khẩu, mã hoá mật khẩu khi nó truyền đi trên
mạng. Đây là sự cải thiện rất lớn so với những giao thức truy cập từ xa thông
thường khác (Telnet, FTP) mà chúng gửi mật khẩu qua mạng dưới dạng clear text.
Tuy nhiên, việc chứng thực như thế vẫn chỉ là chứng thực mật khẩu đơn giản vì
thế SSH cung cấp cơ chế mạnh hơn và dễ sử dụng hơn: mỗi user có nhiều chữ kí
khoá công cộng (per-user public-key signature) và một cải tiến rlogin-style xác
thực với định danh host được kiểm tra bằng khoá công khai.
Việc cấp giấy phép có tác dụng quyết định ai đó có thể hoặc không thể làm
gì đó. Nó diễn ra sau khi xác thực, bởi vì bạn không thể chấp nhận một ai đó có
quyền gì khi chưa biết đó là ai. SSH server có nhiều cách khác nhau để giới hạn
hành động của client.
Chuyển tiếp hoặc tạo đường hầm là tóm lược dịch vụ dựa trên TCP khác
như là Telnet hoặc IMAP trong một phiên SSH mang lại hiệu quả bảo mật của
SSH đến với các dịch vụ dựa trên TCP khác.
I.5.2.4.Cách thức làm việc của SSH
SSH làm việc thông qua 3 bước đơn giản:
Việc định danh host được thực hiện qua việc trao đổi khoá. Mỗi máy tính có
hỗ trợ kiểu truyền thông SSH có một khoá định danh duy nhất. Khoá này gồm hai
thành phần: khoá riêng và khoá công cộng. Khoá công cộng được sử dụng khi cần
trao đổi giữa các máy chủ với nhau trong phiên làm việc SSH, dữ liệu sẽ được mã
hoá bằng khoá công khai và chỉ có thể giải mã bằng khoá riêng. Khi có sự thay
đổi về cấu hình trên máy chủ: thay đổi chương trình SSH, thay đổi cơ bản trong hệ
điều hành, khoá định danh cũng sẽ thay đổi. Khi đó mọi người sử dụng SSH để
đăng nhập vào máy chủ này đều được cảnh báo về sự thay đổi này. Khi hai hệ
thống bắt đầu một phiên làm việc SSH, máy chủ sẽ gửi khoá công cộng của nó
cho máy khách. Máy khách sinh ra một khoá phiên ngẫu nhiên và mã hoá khoá
này bằng khoá công cộng của máy chủ, sau đó gửi lại cho máy chủ. Máy chủ sẽ
giải mã khoá phiên này bằng khoá riêng của mình và nhận được khoá phiên. Khoá
phiên này sẽ là khoá sử dụng để trao đổi dữ liệu giữa hai máy. Quá trình này được
xem như các bước nhận diện máy chủ và máy khách.
Mã hóa : sau khi hoàn tất việc thiết lập phiên làm việc bảo mật (trao đổi
khoá, định danh), quá trình trao đổi dữ liệu diễn ra thông qua một bước trung gian
đó là mã hoá/giải mã. Điều đó có nghĩa là dữ liệu gửi/nhận trên đường truyền đều
được mã hoá và giải mã theo cơ chế đã thoả thuận trước giữa máy chủ và máy
khách. Việc lựa chọn cơ chế mã hoá thường do máy khách quyết định. Các cơ chế
mã hoá thường được chọn bao gồm: 3DES, IDEA, và Blowfish. Khi cơ chế mã
hoá được lựa chọn, máy chủ và máy khách trao đổi khoá mã hoá cho nhau. Việc
trao đổi này cũng được bảo mật dựa trên đinh danh bí mật của các máy. Kẻ tấn
công khó có thể nghe trộm thông tin trao đổi trên đường truyền vì không biết được
khoá mã hoá. Các thuật toán mã hoá khác nhau và các ưu, nhược điểm của từng
loại:
- 3DES (như triple-DES) phương pháp mã hoá mặc định cho SSH.
- IDEA : Nhanh hơn 3DES, nhưng chậm hơn Arcfour và Blowfish.
- Arcfour : Nhanh, nhưng các vấn đề bảo mật đã được phát hiện.
- Blowfish : Nhanh và bảo mật, nhưng các phương pháp mã hoá đang được
cải tiến.
Chứng thực là bước cuối cùng trong ba bước, và là bước đa dạng nhất. Tại
thời điểm này, kênh trao đổi bản thân nó đã được bảo mật. Mỗi định danh và truy
nhập của người sử dụng có thể được cung cấp theo rất nhiều cách khác nhau.
Chẳng hạn, kiểu chứng thực rhosts có thể được sử dụng, nhưng không phải là mặc
định; nó đơn giản chỉ kiểm tra định danh của máy khách được liệt kê trong file
rhost (theo DNS và địa chỉ IP).
