GIAO THỨC SSH SSH—Secure Shell • Thay telnet, rlogin,… • Được khởi đầu từ dự án trường Đại học phần lan • SSH1 ngừng sử dụng vào 1995 lỗi bảo mật • SSH2 sử dụng Chức dịch vụ SSH • Dịch vụ cung cấp – Bí mật – Toàn vẹn – Xác thực • Chức – Đảm bảo thực lệnh từ xa an toàn (Secure command shell, remote execution of commands) – Đảm bảo truyền file an toàn – Tạo tunnel truyền liệu cho ứng dụng dựa TCP/IP Kiến trúc giao thức SSH • Phía Server: Giao thức SSH transport layer protocol (TLP) – Đảm bảo tính xác thực, bí mật toàn vẹn • Phía Client: Giao thức xác thực người dùng UAP- user authentication protocol • Giao thức kết nối: CP (SSH connection protocol ) – Thiết lập phiên đăng nhập, thực lệnh từ xa, chuyển hướng kết nối TCP/IP • Chạy hai giao thức dành cho Server client Connection User Authentication Transport Layer Giao thức SSH Transport Layer Giao thức tầng vận tải (SSH transport layer protocol) • • • • Client khởi tạo kết nối đến Server Thực trao đổi chuỗi định danh Trao đổi thuật toán mã hoá Trao đổi khoá Thiết lập kết nối • Client khởi tạo kết nối tới cổng 22 Server • Khi kết nối thiết lập Client Server gửi cho thông tin phiên chuỗi ID dạng SSH-protoversion-softwareversion comments” Trao đổi khoá • Cả Client Server có danh sách thuật toán mã hoá sử dụng Mỗi phía thực chọn thuật toán sử dụng gửi khoá khởi tạo tương ứng cho phía bên • Nếu lựa chọn trùng thuật toán sử dụng • Nếu thuật toán lựa chọn khác thủ tục lặp lại phía Client Giao thức phương pháp xác thực người dùng Giao thức phương pháp xác thực • Giao thức xác thực • Phương pháp xác thực – Dựa khoá công khai – Dựa mật – Dựa định danh máy (host based) Phương pháp xác thực Phương pháp sử dụng mật khẩu: Người dùng gửi gói sau: SSH_MSG_USERAUTH_REQUEST Mật truyền gói dạng rõ toàn gói tin mã hoá tầng vận tải Phương pháp xác thực Phương pháp xác thực dựa định danh máy (host) Được thực qua việc client gửi chữ ký tạo với khóa bí mật máy client, Server kiểm tra cách sử dụng khóa công khai host Một định danh máy client thiết lập, xác thực dựa tên người dùng Giao thức kết nối Giao thức kết nối (SSH connection protocol) • Cung cấp phiên đăng nhập, thực lệnh từ xa, chuyển hướng kết nối TCP/IP • Tất kênh ghép vào tunnel mã hóa • Được thiết kế để chạy tầng vận tải SSH giao thức xác thực người dùng Giao thức kết nối • • • • Kênh (Channel) Mở kênh (Open channel) Truyền liệu Đóng kết nối Cơ cấu kênh truyền • Tất phiên làm việc dạng terminal, chuyển hướng kết nối kênh (channels) • Mở kênh, truyền liệu, đóng kênh • Cũng mở kênh kênh ghép vào kết nối • Những kênh định danh số • Các yêu cầu mở kênh chứa số kênh người gửi Mở kênh • Khi bên muốn mở kênh mới, gán số cục cho kênh, sau gửi thông điệp đến bên kia, bao gồm số kênh cục khởi tạo cửa sổ byte SSH_MSG_CHANNEL_OPEN • Dạng kênh: string channel type • Kênh người gửi: uint32 sender channel • Khởi tạo cửa sổ: uint32 initial window size • Gói tin lớn nhất: uint32 maximum packet size Mở kênh • Phía nhận định mở kênh không trả lời theo hai cách sau byte SSH_MSG_CHANNEL_OPEN_CONFIRMATION uint32 recipient channel uint32 sender channel uint32 initial window size uint32 maximum packet size byte SSH_MSG_CHANNEL_OPEN_FAILURE uint32 recipient channel uint32 reason code string additional textual information Hoặc Truyền liệu • Truyền liệu thực với định dạng thông điệp sau: byte SSH_MSG_CHANNEL_DATA uint32 recipient channel string data Đóng kênh • Khi không bên muốn gửi liệu gửi thông điệp byte SSH_MSG_CHANNEL_EOF uint32 recipient_channel • Khi bên muốn đóng kênh gửi thông điệp SSH_MSG_CHANNEL_CLOSE • Cấu trúc thông điệp byte SSH_MSG_CHANNEL_CLOSE uint32 recipient_channel Phiên làm việc • Một phiên làm việc thực thi chương trình từ xa • Chương trình shell, ứng dụng, lệnh hệ thống, vv • Nhiều phiên thực đồng thời Hết Mở phiên làm việc • Phiên khởi tạo cách gửi thông điệp sau byte SSH_MSG_CHANNEL_OPEN string "session" uint32 sender channel uint32 initial window size uint32 maximum packet size Khởi tạo shell • Khi phiên thiết lập, chương trình khởi tạo chương trình shell ứng dụng byte SSH_MSG_CHANNEL_REQUEST uint32 recipient channel string "shell" boolean want reply Thực lệnh • Cấu trúc sử dụng để thực lệnh máy từ xa sau byte SSH_MSG_CHANNEL_REQUEST uint32 recipient channel string "exec" boolean want reply string command .. .SSH Secure Shell • Thay telnet, rlogin,… • Được khởi đầu từ dự án trường Đại học phần lan • SSH1 ngừng sử dụng vào 1995 lỗi bảo mật • SSH2 sử dụng Chức dịch vụ SSH • Dịch vụ cung... file an toàn – Tạo tunnel truyền liệu cho ứng dụng dựa TCP/IP Kiến trúc giao thức SSH • Phía Server: Giao thức SSH transport layer protocol (TLP) – Đảm bảo tính xác thực, bí mật toàn vẹn • Phía... cho Server client Connection User Authentication Transport Layer Giao thức SSH Transport Layer Giao thức tầng vận tải (SSH transport layer protocol) • • • • Client khởi tạo kết nối đến Server Thực