Клиент-серверный "тандем" Secure Shell (SSH) 2 позволяет организовать защищенное удаленное администрирование Unix-систем
Как и большинство сетевых администраторов, скорее всего вы уверены, что по крайней мере одна из Unix-систем на вашем предприятии выполняет критически важную функцию. Вне зависимости от того, идет ли речь о центральном сервере приложений или хранилище данных, ОС Unix остается популярной платформой для организации удаленного администрирования. С помощью r-утилит или Telnet вы можете управлять любым Unix-компьютером удаленно, причем точно так же, как если бы сидели за его консолью. Но ни один из этих стандартных инструментов не является защищенным, в силу чего управляющий трафик (и в первую очередь пароль администратора) оказывается исключительно уязвимым для подслушивания.

Чтобы гарантировать защищенную передачу информации при удаленном управлении Unix-системами, сетевые администраторы используют Secure Shell (SSH) - пакетный протокол, обеспечивающий защиту потока данных путем аутентификации пользователей, обмена ключами, шифрования и контроля целостности. Некоммерческие версии SSH появились еще в 1996 году, а последняя версия - SSH 2 недавно была представлена IETF для одобрения в качестве стандарта Internet (см. http://www.ssh.fi). Версия SSH 2 поддерживает шифрование с использованием открытого ключа по алгоритму Диффи - Хелмана или Digital Signature Algorithm (DSA) и защищенный вариант FTP.

Data Fellows, одна из немногих компаний, предлагающих коммерческие варианты продуктов на основе SSH, недавно выпустила программное обеспечение F-Secure SSH Server and SSH Tunnel & Terminal Client 2.0.12. В этой версии ПО существенно расширены базовые функции SSH 2; добавлена поддержка аутентификации RSA с использованием открытого ключа; предложен простой графический пользовательский Windows-интерфейс с утилитами scp (command-line secure copy) и sftp (secure FTP); реализован прокси-агент Windows для перенаправления произвольных удаленных служб на базе TCP/IP через каналы, защищенные с помощью SSH.

Data Fellows удалось обеспечить межплатформенную совместимость и возможность без каких-либо заметных проблем модернизировать предыдущие версии SSH. Благодаря этому сетевому администратору теперь попросту нет оснований жаловаться на отсутствие инструментов, позволяющих защитить управляющий трафик Unix-систем. Возможность перенаправлять трафик TCP/IP (в том числе и сеансов X Window) по безопасным каналам позволяет обеспечить его полноценную защиту.

Новая версия SSH поддерживает аутентификацию DSA и RSA. После завершения аутентификации для шифрования больших объемов данных можно выбрать один из пяти популярных симметричных алгоритмов шифрования - DES, 3DES, Blowfish, Arcfour и Twofish. Поскольку SSH в реализации финской компании Data Fellows не попадает под принятые в США экспортные ограничения на системы шифрования, этот программный продукт может использовать любая многонациональная корпорация, ведущая операции за пределами Соединенных Штатов.

Защищенный удаленный терминал полезен сам по себе, но самое важное, что без защищенной передачи файлов невозможно реализовать действительно мощное удаленное управление, которое позволяет осуществлять F-Secure. Однако утилиты scp и sftp из пакета F-Secure, предлагаемые для Windows-клиентов, оставляют желать лучшего. Эти утилиты следует интегрировать в графический пользовательский интерфейс клиента SSH. Кроме того, обе утилиты передают имя, под которым зарегистрирован пользователь Windows, при выполнении аутентификации на сервере SSH, если в качестве одного из параметров командной строки указано иное имя пользователя. Это означает, что в рамках стандартного синтаксиса выполнить аутентификацию на сервере SSH нельзя.

К другим заметным недостаткам нового ПО F-Secure SSH следует отнести отсутствие поддержки длинных имен файлов Windows, отсутствие в stfp поддержки определенных стандартных команд FTP (таких как mget и mput) и тот факт, что scp по умолчанию копирует все маршрутное имя в Windows как имя удаленного файла, если не указано иное. Однако при отсутствии других приемлемых решений защиты передачи файлов вполне можно обойтись утилитами scp и sftp.

Поделитесь материалом с коллегами и друзьями