SSH: Bezpečné přihlášení na vzdálený počítač

V následujícím textu vás seznámíme s testem produktu Tectia 4.0 od společnosti SSH Communications Security, který komb...


V následujícím textu vás seznámíme s testem produktu Tectia 4.0 od společnosti
SSH Communications Security, který kombinuje SSH klienta a server. Zjistili
jsme přitom, že jeho používání je snadné, nabízí obnovitelné přenosy souborů a
více funkcí z grafického prostředí než konkurenční komerční či open source
implementace SSH. Tectia 4.0 podporuje také řadu schémat pro mapování portů,
jež umožňují ke spravovaným strojům nastavit tunel obdobný VPN.
Kód SSH, vytvořený firmou SSH Communications v roce 1995, nabízí konzolovou
(shell) komunikaci mezi síťovým zařízením a lokálním počítačem prostřednictvím
internetu, která využívá kryptografické techniky k zabezpečení autorizace
uživatele a toku dat mezi počítači. Tectia 4.0, představená v říjnu a uvolněná
v prosinci loňského roku, podporuje jak současnou verzi protokolu SSH 2, tak
starší variantu SSH 1. My jsme testovali její klientské a serverové verze pro
Windows i Linux. Výrobce dále nabízí také produkt Tectia Connector, který
podporuje tunelování aplikací, a Tectia Manager, což je software pro zprávu
distribuovaných instalací Tectia klientů a serverů.
Instalace Tectia 4.0 do Windows byla přímočará. Na Red Hat Advanced Serveru
bylo zprovoznění obtížnější, protože bylo nutné nejdříve odinstalovat OpenSSH
(open source obdoba SSH).
Dokumentace byla přesná a podrobná, přičemž poskytovala souhrnné informace o
klíčových funkcích, ale bohužel ta část věnovaná novým funkcím byla poněkud
povrchní. Například zatímco dokumentace tvrdí, že produkt podporuje protokol
IPv6, výrobce jej nedoporučuje pro produkční prostředí.

Mnohá vylepšení
Správa Tectia serverů je obdobná jako u jakýchkoliv unixových/linuxových
programů běžících na pozadí (démonů) nebo služeb operačního systému Windows. Na
Unixu vytváří Tectia syslog zprávy, s jejichž pomocí lze sledovat takové
procedury, jako je úspěšné či neúspěšné přihlášení uživatelů. Pod Windows jsou
tyto zprávy zaznamenávány do event logu.
Tectia 4.0 pro přenos souborů ve Windows používá grafický nástroj, není zde tak
zapotřebí aplikace s příkazovou řádkou, což představuje oproti dřívějším verzím
produktu zlepšení.
Předchozí verze umožňovaly vytváření SSH tunelů jakožto alternativy IPsec VPN
sítí. U Tectie 4.0 je celý proces mnohem jednodušší. Klienta lze nastavit v
režimu "port forward only", takže jej lze nasazovat na desktop jen s minimem
nutné konfigurace na straně uživatele. Podporuje také SOCKS, mechanismus proxy
připojení, využívaný prohlížeči a e-mailovými klienty, který velmi ulehčuje
nastavení dalšího softwaru na klientském systému pro podporu SSH mapování portů.
Tectia 4.0 dále podporuje pokročilé šifrovací algoritmy včetně AES (Advanced
Encryption Standard), který je současnou jedničkou v šifrování dat, TripleDES,
Arcfour (RC-4) a dalších. Firma SSH Communications také řeší současnou snahu
organizace IETF (Internet Engineering Task Force) směřující ke standardizaci
SSH protokolu, implementaci podpory pro interaktivní přihlašování pomocí
klávesnice (nový mechanismus navržený pro budoucí implementace interaktivní
autorizace uživatelů), GSS--API (Generic Security Services API) využívané pro
ověřování totožnosti přes Active Directory a digitálním certifikátům X.509.

Tectia naostro
Server jsme nastavili tak, aby využíval nejnovějších RSA (Rivest Shamir
Adelman) klíčů namísto DSA (Digital Signature Algorithm) klíčů (výchozí
nastavení). Proces byl jednoduchý, ale objevily se potíže s interoperabilitou.
Celá procedura nastavení nového SSH serveru zahrnuje nutnost ověření nového
veřejného klíče serveru na straně klienta. Standardní metoda, která je
podporována jak open source komunitou, tak mnoha komerčními dodavateli SSH, je
zobrazení MD5 hashe klíče daného hostitelského počítače. Tectia tuto proceduru
nepodporuje. Hash zobrazuje v proprietárním Bubble Babble (MD5) formátu. Byli
jsme tak nuceni k ověření vlastních klíčů při spolupráci s jinými
implementacemi SSH využít jiných nástrojů.
Výrobce nabízí celou škálu možností ověřování, od jednoduchého uživatelského
jména a hesla až po podporu smart karet obsahujících digitální certifikáty.
Tyto pokročilejší možnosti jsou využívány zejména u lékařských systémů,
přístupu k citlivým síťovým zařízením, vzdáleného přístupu pro vedení firmy
nebo vojenských aplikací. My jsme vyzkoušeli pouze ověřování totožnosti pomocí
uživatelského jména a hesla, mechanismu SSH klíčů a X.509 certifikátů.
Při našich testech jsme rovněž vyzkoušeli interoperabilitu s OpenSSH a Putty
(dvě open source implementace SSH), když jsme připojení realizovali kombinací
Tectia klientů a serverů. Při použití uživatelského jména a hesla vše fungovalo
dle očekávání.
Nastavení podpory X.509 však již bylo obtížnější. Po několika telefonátech a
e-mailech s technickou podporou dodavatele jsme ale i ověřování totožnosti
pomocí X.509 certifikátů zprovoznili. Jedná se však o velmi složitý a ne zcela
zdokumentovaný proces.
Celkově lze říci, že Tectia jako komerční implementace SSH nabízí silné
bezpečnostní funkce SSH protokolu spolu s rozsáhlými možnostmi autorizace.
Aplikace je ideální pro prostředí, kde je vyžadován přístup pomocí SSH napříč
jednotlivými platformami (Windows, Unix a síťová zařízení).

Tectia Client a Server 4.0
+snadno použitelné grafické rozhraní, zabezpečení, obnovitelné přenosy souborů
-složitý proces konfigurace pro určité možnosti ověřování uživatelů
Prodejce: SWS, www.sws.cz
Cena (bez DPH): 116 dolarů klient, 657 dolarů server (Windows), 559 dolarů
server pro Unix









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.