Chuyên đề SSH, phần 3: Bên trong giao thức SSH
3.1. Tổng quan về các đặc điểm của SSH
Các đặc điểm chính của giao thức SSH là:
- Tính bí mật (Privacy) của dữ liệu thông qua việc mã hoá mạnh mẽ
- Tính toàn vẹn (integrity) của thông tin truyền, đảm bảo chúng không bị biến đổi.
- Chứng minh xác thực (authentication) nghĩa là bằng chứng để nhận dạng bên gửi và bên nhận
- Giấy phép (authorization) :dùng để điều khiển truy cập đến tài khoản.
- Chuyển tiếp (forwarding) hoặc tạo đường hầm (tunneling) để mã hoá những phiên khác dựa
trên giao thức TCP/IP
3.1.1. Tính bí mật (Privacy)
Tính bí mật có nghĩa là bảo vệ dữ liệu không bị phơi bày. Mạng máy tính bình thường không
bảo đảm tính bí mật, bất cứ ai truy cập đến phần cứng của mạng hoặc đến những host kết nối
với mạng đều có thể sẽ đọc được tất cả dữ liệu đi qua mạng. Mặc dù mạng chuyển mạch hiện
đại đã giảm những vấn đề này trong mạng vùng cục bộ nhưng nó vẫn còn một vấn đề nghiêm
trọng đó là mật khẩu dễ bị những kẻ xấu đánh cắp.
SSH cung cấp tính bí mật bằng việc mã hoá dữ liệu đi qua mạng. Đó là việc mã hoá hai đầu
dựa trên khoá ngẫu nhiên (sinh ra để phục vụ cho một phiên kết nối và được huỷ đi khi phiên
kết nối thành công). SSH hỗ trợ nhiều thuật toán mã hoá đối với phiên dữ liệu, đó là những
thuật toán mã hoá chuẩn như: AES, ARCFOUR, Blowfish, Twofish, IDEA, DES và triple-DES
(3DES)
3.1.2. Tính toàn vẹn (Integrity)
Tính toàn vẹn nghĩa là bảo đảm dữ liệu được truyền từ một đầu này đến đầu kia của mạng
không bị thay đổi. Giao thức SSH sử dụng phương pháp kiểm tra toàn vẹn mật mã, phương
pháp này kiểm tra cả việc dữ liệu có bị biến đổi hay không và dữ liệu đến có đúng là do đầu kia
gửi hay không. Nó sử dụng thuật toán băm khoá là MD5 và SHA-1.
3.1.3. Chứng minh xác thực (authentication)
Chứng minh xác thực là kiểm tra định danh của ai đó để xác định chính xác đúng là người đó
hay không. Mỗi kết nối SSH bao gồm hai việc xác thực: client kiểm tra định danh của SSH
server (server authentication) và server kiểm tra định danh của người sr dụng yêu cầu truy cập
(user authentication). Server authentication chắc chắn rằng SSH server là chính xác và không
phải là kẻ lừa đảo để đề phòng kẻ tấn công lại gửi kết nối mạng đến một máy khác. Server
authentication cũng bảo vệ việc bị kẻ xấu ngồi ở giữa hai bên, lừa gạt cả hai bên nghĩa là kẻ
xấu sẽ nói với server nó là client và nói với client nó là server để đọc được dữ liệu trao đổi giữa
hai bên.
User authentication theo truyền thống là làm việc với mật khẩu. Để xác thực định danh của
bạn, bạn phải đưa ra mật khẩu, và dễ bị lấy cắp. Thêm nữa, để dễ nhớ một mật khẩu, người ta
thường đặt nó ngắn và có ý nghĩa nào đó nên dễ bị kẻ xấu đoán ra. Đối với mật khẩu dài hơn
thì người ta thường chọn những từ hoặc câu trong ngôn ngữ bẩm sinh nên cũng dễ bị bẻ khoá.
SSH hỗ trợ xác thực bằng mật khẩu, mã hoá mật khẩu khi nó truyền đi trên mạng. Đây là sự
cải thiện rất lớn so với những giao thức truy cập từ xa thông thường khác (Telnet, FTP) mà
chúng gửi mật khẩu qua mạng dưới dạng clear text. Tuy nhiên, việc chứng thực như thế vẫn chỉ
là chứng thực mật khẩu đơn giản vì thế SSH cung cấp cơ chế mạnh hơn và dễ sử dụng hơn:
mỗi user có nhiều chữ kí khoá công cộng (per-user public-key signature) và một cải tiến rlogin-
style xác thực với định danh host được kiểm tra bằng khoá công khai. Hơn nữa, những bản bổ
sung khác nhau của SSH hỗ trợ vài hệ thống khác bao gồm Kerberos, RSA, mật khẩu S/Key
one-time và PAM. Một SSH client và SSH server đàm phán với nhau để xác định cơ chế xác
thực sẽ sử dụng dựa trên cấu hình của chúng và một server thậm chí có thể yêu cầu nhiều kiểu
xác thực.
3.1.4. Việc cấp giấy phép
Việc cấp giấy phép có tác dụng quyết định ai đó có thể hoặc không thể làm gì đó. Nó diễn ra
sau khi xác thực, bởi vì bạn không thể chấp nhận một ai đó có quyền gì khi chưa biết đó là ai.
SSH server có nhiều cách khác nhau để giới hạn hành động của client. Truy cập đến phiên
đăng nhập tác động lẫn nhau như TCP port và X Window forwarding, key agent forwarding, …
có thể tất cả đều được điều khiển mặc dù không phải tất các đặc điểm đều có sẵn trên tất cả các
bản bổ sung SSH,và chúng không luôn luôn tống quát hoặc linh hoạt như bạn ý muốn. Giấy
phép có thể được điều khiển tại một mức server rộng (ví dụ: /etc/ssh/sshd_config file đối với
OpenSH) hoặc theo tài khoản phụ thuộc vào phương thức xác thực sử dụng.
3.1.5. Chuyển tiếp (forwarding) hoặc tạo đường hầm (tunneling)
Chuyển tiếp hoặc tạo đường hầm là đóng gói dịch vụ dựa trên TCP khác như là Telnet hoặc
IMAP trong một phiên SSH mang lại hiệu quả bảo mật của SSH đến với các dịch vụ dựa trên
TCP khác. Ví dụ, một kết nối Telnet bình thường truyền username, password của bạn và phiên
đăng nhập của bạn ở dạng clear text. Bằng cách chuyển tiếp telnet thông qua SSH, tất cả dữ
liệu sẽ tự động được mã hoá và kiểm tra định danh và bạn có thể xác nhận dùng SSH tin cậy.
SSH hỗ trợ 3 kiểu chuyển tiếp:
ϖ TCP port forwarding:
SSH dùng TCP/IP làm cơ chế truyền, thường dùng port 22 trên máy server khi nó mã hoá và
giải mã lưu lượng đi trên mạng. Ở đây chúng ta nói đến một đặc điểm mã hoá và giải mã lưu
lựong TCP/IP thuộc về ứng dụng khác, trên cổng TCP khác dùng SSH. Tiến trình này gọi là
port forwarding, nó có tính trong suốt cao va khá mạnh. Telnet, SMTP, NNTP, IMAP và những
giao thức không an toàn khác chạy TCP có thể được bảo đảm bằng việc chuyển tiếp kết nối
thông qua SSH. Port forwarding đôi khi được gọi là tunneling bởi vì kết nối SSH cung cấp một
“đường hầm” xuyên qua để kết nối TCP khác có thể đi qua.
Giả sử bạn có một máy H ở nhà đang chạy IMAP và bạn muốn kết nối đến một IMAP server
trên máy S để đọc và gửi mail. Bình thường thì việc kết nối này không đảm bảo an toàn, tài
khoản và mật khẩu mail của bạn được truyền đi dưới dạng clear text giữa chương trình mail
của bạn và server. Đối với SSH port forwarding, bạn có thể định tuyến lại trong suốt kết nối
IMAP ( tìm cổng TCP 143 trên server S) để truyền đi thông qua SSH, mã hoá bảo đảm dữ liệu
truyền đi trên kết nối. Máy IMAP server phải chạy một SSH server cho port forwarding để
cung cấp việc bảo đảm đó.
Tuy nhiên, SSH port forwarding chỉ hoạt động trên giao thức TCP và không làm việc được trên
các giao thức khác như UDP hay AppleTalk
ϖ X forwarding
X là một hệ thống window phổ biến đối với các trạm làm việc Unix, một trong những đặc điểm
tốt nhất của nó là tính trong suốt. Sử dụng X bạn có thể chạy ứng dụng X từ xa để mở các cửa
sổ của chúng trên màn hình hiển thị cục bộ của bạn
ϖ Agent forwarding
SSH client có thể làm việc với một SSH agent trên cùng một máy. Sử dụng mọt đặc trưng gọi
là agent forwarding, client cũng có thể liên lạc với các agent trên những máy từ xa. Điều thuận
lợi là nó cho phép client trên nhiều máy làm việc với một agent và có thể tránh vấn đề liên
quan đến tường lửa.