Linux - статьи



              

Версии протокола


С момента создания протокола SSH в 1995 году, было выпущено несколько различных его версий, главными из которых являются версия 1.5 (также называемая SSH1) и версия 2 (SSH2). OpenSSH 2.0, выпущенный в июне 2000 года изначально поддерживает оба протокола. (Коммерческие реализации SSH также могут поддерживать обе версии, но только путем запуска при необходимости демона sshd для версии 1, что сильно снижает производительность.)

Эти два протокола SSH не совместимы между собой, и следует определиться с тем, какой вариант вы предпочтете. В протоколе SSH1 временами возникают проблемы с безопасностью. Даже сейчас остается теоретическая возможность «атаки включением» (insertion attack) против этого протокола, но этот риск сводится к минимуму специальной заплаткой (patch) выпущенной CORE-SDI еще в 1998 году. Протокол SSH1 дольше использовался и для него существует обширная база поддержки. В SSH1 поддерживается только ассиметричное шифрование RSA, запатентованное в США в 2000 году. Однако, поскольку срок действия этого патента уже истек, это больше не проблема.

SSH2 – более новый и богатый возможностями протокол, который пока успешно выдерживает все проверки. Хотя установление соединения по протоколу SSH2 требует намного больше времени, в последних версиях OpenSSH этот процесс существенно ускорен. SSH2 поддерживает ассиметричные алгоритмы RSA и DSA.

Независимо от того, какую версию протокола вы выберете, убедитесь в том, что вы используете самую последнюю версию OpenSSH. Время от времени в OpenSSH обнаруживались слабые места, такие, например, как две отдельные прорехи «UseLogin» или ошибка переполнения целого числа в анти-хакерской заплатке которая могла привести к вскрытию пользователя root. Однако разработчики OpenSSH сделали намного больше для безопасности, чем их коллеги, разработавшие SSH. OpenSSH включает в себя контрмеры даже на случай таких эзотерических атак, как определение времени нажатия клавиш (keystroke timing), когда атакующий анализирует интервалы между пакетами, определяя, таким образом, насколько близко расположены нажимаемые вами клавиши и пытается по этому показателю понять, что вы печатаете.

Мы будем использовать идентификаторы (identities) SSH (ассиметричные криптографические ключи, используемые при аутентификации и подробно описываемые ниже) для обеспечения разрешения на соединение VPN-клиента с VPN-сервером. К сожалению, формат этих идентификаторов в протоколе SSH1 отличается от SSH2. Поэтому, хотя OpenSSH и поддерживает обе версии протоколов, нам придется решить, какой из них мы хотим использовать для нашей VPN. Если у вас есть самая последняя версия OpenSSH (а у вас она должна быть), мы предлагаем использовать SSH2. Мы подробно опишем создание SSH-идентификаторов для обоих протоколов, так что выбор остается за вами.




Содержание  Назад  Вперед