Dark ITSec

SSH

• Mit SSH bzw. Secure Shell wird sowohl ein kryptographisches Protokoll als auch eine konkrete Implementierung dieses Protokolls bezeichnet. Ursprünglicher SSH-Protokoll-Designer und Software-Autor ist Tatu Ylönen aus Finnland, der die Secure Shell an der TU Helsinki entwickelte und später die Firma SSH Communications Security Ltd. gründete.
• Zum Funktionsumfang von Ylönens Secure Shell gehören:
  • Login auf einer entfernten Maschine,
  • interaktive oder nichtinteraktive Ausführung von Kommandos auf der entfernten Maschine,
  • Kopieren von Dateien zwischen verschiedenen Rechnern eines Netzes.
• SSH ermöglicht eine kryptographisch gesicherte Kommunikation über unsichere Netze und bietet ein hohes Sicherheitsniveau: zuverlässige gegenseitige Authentifizierung der Partner sowie Integrität und Vertraulichkeit der ausgetauschten Daten.
• Sie ist als kompletter Ersatz der r-Utilities rlogin, rsh und rcp gedacht, wobei es einige wenige, für die meisten Nutzer absolut irrelevante Fälle gibt, in denen rsh nicht unmittelbar durch ssh ersetzt werden kann.
  
  In den meisten Fällen deckt die Secure Shell nicht nur den Funktionsumfang der genannten r-Utilities, sondern auch den von Telnet und teilweise sogar von FTP ab.
• Gegenwärtig existieren zwei unterschiedliche und inkompatible Versionen des SSH-Protokolls: SSH 1.x und SSH 2.x.

  Das SSH-Protokoll 1.x ist nicht international standardisiert und mit einigen konzeptionellen Mängeln behaftet, die durch die Version 2.x behoben werden. SSH 2.x wird durch Internet Drafts der Secure Shell Working Group der IETF (Internet Engineering Task Force) beschrieben.

SSH Komponenten:

• Transportschicht-Protokoll
  beinhaltet Server Authentifizierung, Vertraulichkeit und Integrität mit Geheimhaltung in der Vorwärtsrichtung
• Benutzer Authentisierung-Protokoll
  Authentifiziert den Client gegenüber dem Server
• Verbindungsprotokoll:
  Multiplext den Verschlüsselten Tunnel in mehrere Logische Kanäle

SSH ist ein Ersatz für telnet, rlogin, rsh und ftp. Secure Shell bietet:

• Verschlüsselung aller übertragenen Daten
• Authentifizierung der beteiligten Rechner gegeneinander
• Authentifizierung des Users gegenüber dem Host durch Public Key oder auch Passwort als Fallback
• und Komprimieren der Daten.

Sie führen also mit einem auf Ihrem PC installierten SSH-Client Dialogsitzungen auf entfernten Rechnern durch, wie Sie es z.B. mit Telnet bisher gewöhnt waren. Ein hierfür geeignetes Programm wäre z.B. PuTTY.

Verbindungsaufbau

Die Anmeldung geht prinzipiell in folgenden Schritten vonstatten:

1. Das Client-Programm baut die TCP/IP-Verbindung zum Server auf. Standard-Port: 22
2. Aushandeln der Protokoll-Versionen.
3. Der Server sendet zwei öffentliche RSA-Schlüssel (Public Host Key und Public Server Key) und die unterstützten symmetrischen Verschlüsselungsverfahren.
4. Der Client verifiziert den Public Host Key des Servers.
5. Der Client generiert zufällig einen Session-Key, verschlüsselt ihn mit den beiden RSA-Keys und sendet ihn zusammen mit dem ausgewählten symmetrischen Verfahren an den Server.
   Ab jetzt läuft die Kommunikation verschlüsselt ab.
6. Der Client authentifiziert sich (s. nächste Liste!).
7. Die Benutzerumgebung wird bereitgestellt und der Austausch der Nutzerdaten beginnt, wobei eine symmetrische Verschlüsselung mit dem zuvor ausgetauschten Sitzungsschlüssel verwendet wird.

Die Authentifizierung des Client kann auf verschiedene Arten erfolgen. Die beiden wichtigsten sind:

• Authentifizierung über das Kennwort (Password) des Benutzers. Die Übermittlung erfolgt bereits verschlüsselt.
  Diese Methode ist für die PC-Benutzer am einfachsten zu realisieren und wird von mir empfohlen.
• Authentifizierung über RSA-Schlüssel. Hier weist der Client die Kenntnis des privaten Schlüssels nach. Dazu muss der öffentliche Schlüssel des Benutzers beim Server hinterlegt werden. Der private Schlüssel des Client muß gegen Zugriff anderer unbedingt geschützt werden. Dazu dient die Passphrase, die als Kennwort für die Verschlüsselung des RSA-Schlüsselpaares verwendet wird.

Ein wichtiger Begriff im Zusammenhang mit SSH-Anwendungen ist das Port Forwarding.

Man versteht darunter die Fähigkeit der SSH-Verbindung, die Daten anderer Internet-Dienste wie FTP, X11, POP oder HTTP durch die verschlüsselte Strecke zu "tunneln". Dadurch profitieren diese unsicheren Protokolle vom Verschlüsselungsmechanismus der SSH-Verbindung und können auch dann weiter verwendet werden, wenn die unverschlüsselten Zugänge geschlossen sind.
Diesen Vorteil erkauft man sich allerdings mit einer umständlicheren Handhabung: Bevor Sie die unverschlüsselte Verbindung eröffnen können, müssen Sie zuvor natürlich eine SSH-Verbindung zum entsprechenden Rechner aufgebaut haben. Außerdem müssen Sie Änderungen an der Konfiguration der nicht verschlüsselnden Clients vornehmen.
Bei FTP kommt noch hinzu, daß der Client in der Lage sein muß, die Sitzung im passiven Modus (PASV-Mode) zu betreiben.

Das unten angebotene Produkt SSH2 macht mit Hilfe seiner Komponente Secure FTP die Tunnelung eines üblichen FTP-Programmes überflüssig. Stattdessen wird über ein gesondertes, äußerst flexibles Datei-Explorer-Fenster die in SSL Version 2 enthaltene Dateiübertragungsmethode zur Verfügung gestellt.

Aktuelle Informationen zur OpenSSH findet man hier:
http://www.openssh.com
OSSH wird von Björn Grönvall entwickelt und steht für eine Vielzahl von UNIX-Systemen zur Verfügung. Die Software ist über den URL
ftp://ftp.pdc.kth.se/pub/krypto/ossh/ 
erreichbar