Gebruik van ssh Marcel Nijenhof 2 december 2007.

Slides:



Advertisements
Verwante presentaties
Cloud computing voor PZ VERA ondersteunt Stefan Wuyts ICT Coördinator VERA.
Advertisements

Tevens elke bedrijfsPC direct op het internet niet erg veilig
EEN INTRODUCTIE. Wat is een firewall?  Een firewall is een systeem of een groep van systemen dat zorgt voor de beveiliging van je intranet (of intern.
Vliegen via een netwerk. Dit heeft de volgende deelnemers •Éen Host: Dit kan zijn een bestaand netwerk via internet(IVAO, VATSIM) of de flightsimulator.
Blok 7: netwerken Les 7 Christian Bokhove.
Internet College 1 Architecturen.
Beveiligd berichtenverkeer Lust of Last ?
Labnet & PTSchemes : Installatie van de toepassingen
ADS Verborgen bestanden (stromen) Cum 13 juli 2008 Rudiger.
Deel XIV Eerste echte e-commerce applicatie Implementatie (vervolg) 1 Internetapplicaties Deel 14: Eerste echte e-commerce applicatie: Implementatie (vervolg)
Windows Server 2012 Optimaliseer uw IT. Ready for the Future.
SSL, HTTPS en SSH Johnny Schaap.
... M A K E Y O U R N E T W O R K S M A R T E R IP-Adres instellen ppt_aa1_p10_ip_addressing_v4.1_nl_0508.
Blok 7: netwerken Les 8 Christian Bokhove.
Computernetwerken Deel 2
VPN Technologieën en oplossingen. VPN en IP VPN Leased line netwerk Echt ‘privaat’ netwerk: eigen lijnen met gegarandeerde capaciteit Per connectie een.
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 29 maart 2006 nieuwe technische ontwikkelingen m.b.t. eduroam eduroam voorwaarts! Paul.
Via het startmenu naar control panel. Kies ‘network connections’
K. U. L E U V E N - L U D I T Agenda LinSam 16/12/ u u00 : Centrale LDAP-Authenticatie LinSam(Wim M. – Werner M.) 15u u15 : KickstartServer.
Jo David. programma’s Microsoft: Outlook Netscape: Messenger andere.
Linux FTP Server.
Designing Knowledge Systems b Hoofdstuk 11 van Knowledge Engineering and Management. The CommonKADS Methodology. b A.Th. Schreiber, J.M. Akkermans, A.A.Anjewierder,
Bestanden delen. Linux als NFS server  Traditionele manier van delen  Server zorgt voor exporteren van directories  Hierdoor worden directories “mountable”
SSH Cursus informatiebeveiliging Eric Laermans – Tom Dhaene.
Netwerken / Internet ICT Infrastructuren David N. Jansen.
Eduroam BELnet bezoek, 18 juli 2005
SURFnet en IEEE 802.1X Amsterdam, 8&9 Mei 2003.
Hoogwaardig internet voor hoger onderwijs en onderzoek eduroam BELNET, Brussel, 29 September 2005
EduRoam SEC seminar, 22 februari 2005
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 27 oktober 2005 Wireless LAN beveiliging Paul Dekkers.
Microsoft Windows Vista vanuit gebruikersperspectief.
Windows Applicaties Bouwen met Visual Studio.NET Sijmen Koffeman Development Consultant Microsoft.
hcc!pc Werkgroep netwerken
N-Pass2Go Data veilig over straat en overal doen of je thuis bent.
Websites publiceren Niko Witvrouwen. Inhoud Publiceren… Wat & Hoe? Wat is FTP? Welke FTP Client? Hoe werkt een FTP Client?  FTP Client starten  Opties.
Les 2: Zaterdag 1 maart 2014 Wim Peeters
Patrick Huysmans. IEEE a IEEE b IEEE g IEEE n IEEE ac.
Virtual Private Network
Peter Van Poyer - 3BO Firewall ICT – 4 november 2003.
Les 1: Zaterdag 22 februari 2014 Wim Peeters
Overzicht na implementatie Nieuw Hardware Software voor het gebruik van Quickbooks 2011 intern en extern.
NedSecure Consulting Secure Leon Kuunders Principal Security Consultant Woensdag.
PCNHCB PRESENTS : PC & Netwerk Help center Brabant VirtualBox Server 2003.
Windows niet meer naar huis laten bellen Hoe kunnen we beletten dat windows10 alles gaat verklikken aan grote broer thuis.
INFITT01 - Internettechnologie WEEK 3. Programma Sessies JSP.
Automatische builds vanuit ClearCase UCM 1 Visual & Integrated Build Engine Automatische builds vanuit ClearCase en UCM Download ClearVibe Light Download.
30 sept 2011 MCS Kennissessie Remote Beheer Remote Beheer Met Conel Routers.
©2016 Avanade Inc. All Rights Reserved. RAI Community Technische Implementatie Rob Bakkers
Kansen voor ICT Reseller Vast/mobiel SMS Gateways Remote beheer van de PBX Machine-to-Machine.
Netwerken 5 Enigma Netwerken paragraaf 8. Transportlaag Netwerklaag (IP-protocol) Best-effort pakketcommunicatie Transportlaag (UDP- en TCP-protocol)
SharePoint Alles over versiebeheer In de Private en Public cloud.
Fletransport via sshd en fliezilla HCC Linuxwerkgroep Breda.
J.J. Keijser Nikhef Amsterdam Grid Group Nikhef Jan Just Keijser 4 December 2013.
SSH Veilige vervanger van TELNET, FTP en de r-serie. -o- Toepassen van symmetrische en asymmetrische encrytpie -o- Ontwikkeling van een protocol met vrije,
Router Gerco Brandwijk. Router - Inleiding Router Bedrijfsnetwerk klantEigen bedrijfsnetwerk Probleem: Poorten openzetten in firewall/router van klant.
Wat is het Hoe stel ik het in Hoe kan ik het gebruiken
TOR NETWERK.
SharePoint Versiebeheer
End-to-end vercijfering
OpenVPN(-NL) Performance
Het postkantoor van windows
Onze Opdracht netwerken opzoeken en uit leren wat ze doen en hoe ze werken we moeten ook kijken wat de voordelen en nadelen zijn van deze 3 netwerken  
Versturen van data naar meerdere mensen
Kerberos Authenticatie
… een poging tot verheldering …
M5 Datacommunicatie Applicatielaag
M5 Datacommunicatie Transportlaag
MicroStation Workspace V8i naar CONNECT
Netwerken & Internet 1.
Transcript van de presentatie:

Gebruik van ssh Marcel Nijenhof 2 december 2007

Waarom ssh

Inleiding ● Wat is ssh – Vervanging berkley r-tools (rsh, rlogin, rcp) – Vervanging telnet – ftp ● Verschillen – Verbindingen gecrypt – Public key signing authorisatie – Poort forwarding

Het protocol ● Het ssh protocol wordt onderhouden door ietf – ● Versies – 1.5 – 1.99 (Zowel 1.5 als 2.0) – 2.0 ● Geen standaard voor scp (wel sftp)

Protocol gebruik

De architectuur ● Server – Draait op de server waarna je connect – Wacht totdat er een verbinding wordt opgebouwd – Verzorgt authorisatie, connectie, poort forwarding ● Client – Draait op de werkplek/Start de verbinding – Meerdere type clients (commandline, putty, winscp)

Server implementaties ● OpenSSH (4.7) ● ssh.com ● F-Secure ssh (nu bij wrq) ● SunSSH (OpenSSH 2.5.1p1) ● Dropbear (0.50) ● Diverse andere implementaties (Zie freshmeat)

Server gebruik

Client implementaties ● OpenSSH (Ook cygwin) ● ssh.com ● Putty ● WinSCP (Putty clone) ● Teraterm & TSSH ● pssh (PalmOS) ● mindterm (Java implementatie)

Ssh en remote commando's ● Je kunt via ssh inloggen – ssh ● Een remote commando opstarten – ssh hostname – ssh -t vi # Wel terminal controls – ssh -f xterm # Background ssh

Redirectie en pipes ● Makkelijk voor data transport ● Redirectie – ssh server1 tar cf -. > /tmp/server1.tar # Geen '' – ssh server2 tar xf - < /tmp/server2.tar # Geen '' ● Pipes – ssh server1 tar cf -. | ssh server2 tar xf - # 2 keer over net

Vpn via ssh en ppp ● Makkelijk op te zetten via: – Creëer een “seriële lijn” via ssh – Start pppd aan beide kanten op ● Niet uniek voor ssh (kan ook via telnet) ● Zie: ● Langzaam door het dubbele ack probleem ● Onder linux ook via tun driver (zie forwarding)

Scp & Sftp ● scp – Methode om files en directories te kopiëren (alla rcp) – Mogelijk recursief (-r) en behoud van permissies (-p) – Niet portable (OpenSSH scp -> ssh.com werkt niet) ● sftp – Interactief files op halen – Ftp commandline achtige programma – Server extensie – Geen chroot/commando selectie mogelijkheden

File transport en gui ● winscp3 – Standaard windows explorer achtig programma – Transporteert files via ssh,scp of sftp ● kde (konqueror) -> fish – fish://server/tmp ● gnome (nautulis) -> ssh – ssh://server/tmp

Portforwarding Algemeen ● Opzetten tcp verbinding door de ssh verbinding – Tcp verbinding wordt encrypt – Gaat automatisch mee door de firewall – Werkt als een soort proxy (3 tcp sessies) ● Tekening

Local portforwarding ● Voorbeeld: ser1$ ssh -gL 1111:ser3:23 ser2 # -g = Globaal dus ook van andere host ws$ telnet ser # Login vanaf ws via de ser1,ser2 op de ser3 ● Tekening ws ser1 ser2 ser3 telnet groen 1111 tunnel in ssh telnet vanuit sshd

Remote Portforwarding ● Voorbeeld ser1$ ssh -R 1111:ws:23 ser2 # Denk aan GatewayPorts sshd_config(4) ser3$ telnet ser # Login van de ser3 via ser1 op ws ● Tekening ws ser1 ser2 ser3 telnet vanuit ssh tunnel in ssh telnet ser2 1111

Ip forwarding (vpn via tun) ● Ip forwarding via 2 tun interfaces (openssh 4.3+) ● Verkeer tussen tun interfaces via “ssh” – Beide systemen worden multihome – Verkeer kan via ip forwarding gerouteerd worden ● ssh -f -w 0:1 server true – Denk aan PermitTunnel (config_sshd(4)) – Daarna ifconfig tun0....

X-Forwarding ● Voorbeeld ssh -X server # Zet x-forwarding op (evtentueel ook -Y voor trusted x-forwarding) ● Bijzondere remote forwarinding – DISPLAY wordt automatisch opgezet – Maakt automatisch gebruik van magic cookies – De tcp poort 6000 hoeft niet eens open te staan – Transparant door firewalls

Sudo & Xauthority ● Magic cookie staat in “~/.Xauthority” – Magic cookie is een passwoord – Nodig om X applicatie te gebruiken ● Gebruik na sudo – root: export XAUTHORITY=~ /.Xauthority – Andere gebruiker: ● eigen account: xauth list $DISPLAY ● ander account: xauth add....

Portforwarding & Putty ● Configuration -> Connection -> SSH -> Tunnels

Exceed 10 ● Vanaf Exceed 10 is ssh volledig geïntegreerd ● Gewoon bruikbaar vanuit “xstart.exe” – Vul “ssh” als connectie methode in – Vul de host in (evt. als ip nummer) – Vul een commando in (b.v. “/usr/bin/X11/xterm”) ● Op deze manier is er geen volledige sessie support (xdm)

Encryptie ● A-Symetrisch (rsa1, rsa, dsa) – Werkt met public key encryptie (public/private keys) – Kan gebruikt worden voor authorisatie – Gebruikt voor uitwisselen van de sessie key ● Symetrisch (aes, 3des, blowfish) – Data wordt symetrisch verstuurd (sneller) – Integriteit wordt gecontroleerd (md5, sha1)

Public key ● Public key encryptie – De publieke sleutel mag overal bekend zijn – De prive sleutel is geheim – Crypten ● Decrypten kan alleen via prive sleutel ● Signen bericht via private sleutel – Ondertekenen ● Via private key ● Controleren via public key

Fingerprint ● Samenvatting publieke sleutel – Publieke sleutel wordt gebruikt door de host om aan te tonen dat hij is wie hij is – Bij eerste inlog poging krijg je de fingerprint te zien $ ssh localhost The authenticity of host 'localhost ( )' can't be established. RSA key fingerprint is d0:6e:57:55:21:39:31:32:34:7b:d0:df:f4:92:af:07. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added 'localhost' (RSA) to the list of known hosts. Last login: Fri Feb 18 17:31: from localhost.localdomain

Public key authorisatie ● Authorisatie via de prive sleutel van de gebruiker – De server moet beschikken over de public key ● ~/.ssh/authorized_keys ● Permissies moeten goed zijn ● Bij ssh.com ssh anders ● Alternatief voor “.rhost” files – De private key is dan paswoord equivalent ● ssh-keygen -t dsa -b 1024

Public key agent ● Je kunt een paswoord zetten op de prive sleutel – Alleen bruikbaar na intypen van sleutel passwoord – Prive sleutel file is niet meer passwoord equivelent ● Er is een daemon die de decrypte keys onthoudt – Wel inloggen zonder paswoord – Zodra de daemon niet loopt is de key veilig – De sleutel files zelf zijn ook veilig

Configuratie sshd ● Veel opties (zie sshd_config(5)) – X11Forwarding yes – AllowTcpForwarding yes – RSAAuthentication yes – PasswordAuthentication yes – PermitEmptyPasswords no – Subsystem sftp /opt/OpenSource/openssh/libexec/sftp-server – UseLogin no ● Beïnvloed veiligheid en mogelijkheden

Ssh & firewalls ● Alleen tcp poort 22 van client na server ● Relatief veilige X koppeling – Geen poort 6000 terug open – Gebruik magic cookies ● Stroom is encrypt – Niemand kan paswoorden sniffen

Firewall problemen ● Al het verkeer is encrypt – Verkeersstroom is niet zichtbaar te maken – IDS kan er weinig mee ● Portforwarding – Niet te voorkomen/filteren op firewall – Verkeer komt van ander ip adres dan oorspronkelijk

Ssh en bruteforce aanvallen ● Veel bruteforce aanvallen op ssh – sshd: Invalid user guest4 from sshd: (pam_unix) check pass; user unknown sshd: (pam_unix) authentication failure;... rhost= ● Diverse oplossingen – Denyhosts (voegt ip nummers toe in host-deny) – Diverse andere

Documentatie ● ● openssh faq ● O'REILLY The Secure Shell

Conclusies ● Problemen met – Logging/ids op het netwerk – Portforwaring is niet altijd wenselijk ● Met ssh is een hoop mogelijk – Vereenvoudigd het werk – Maakt het werk veiliger – Gaat goed door firewalls heen

Vragen ?