Internet

So greifen Sie mit SSH remote auf pfSense zu

Autor: Laura McKinney
Erstelldatum: 10 April 2021
Aktualisierungsdatum: 20 November 2024
Anonim
SSH unter Linux einrichten
Video: SSH unter Linux einrichten

Inhalt

Sam arbeitet als Netzwerkanalyst für eine algorithmische Handelsfirma. Er erhielt seinen Bachelor-Abschluss in Informationstechnologie von UMKC.

SSH, auch als Secure Shell bezeichnet, bietet eine effektive Methode für den Remotezugriff auf einen pfSense-Router. Der Hauptvorteil der Verwendung von SSH anstelle eines anderen Protokolls wie Telnet ist die Sicherheit. Der SSH-Verkehr ist vollständig verschlüsselt, sodass andere Benutzer den Verkehr nicht durch Sniffer oder Man-in-the-Middle-Angriffe sehen können.

SSH kann auch mehr als eine einfache Remote-Shell bereitstellen. Sie können auch Dateien sicher übertragen und Forward-Ports zum entfernten Netzwerk.

So aktivieren Sie den SSH-Dienst

Standardmäßig ist der SSH-Dienst aus Sicherheitsgründen deaktiviert. Melden Sie sich bei der Weboberfläche des pfSense-Routers an, um den Dienst zu aktivieren.

  1. Rufen Sie die Seite mit den erweiterten Einstellungen im Systemmenü auf.
  2. Aktivieren Sie das Kontrollkästchen "Sichere Shell aktivieren".
  3. Ändern Sie den Standardport, indem Sie eine neue Portnummer in das Feld "SSH-Port" eingeben. Dieser Schritt ist optional, wird jedoch empfohlen.
  4. Klicken Sie unten auf der Seite auf Speichern, um die Änderungen zu übernehmen und den Dienst zu starten.

Ich empfehle dringend, den Standardport für den Dienst zu ändern. Es gibt Tausende von Bots im Internet, die nach aktiven SSH-Servern suchen und versuchen, das Root-Passwort brutal zu erzwingen. Sie können vermeiden, ein einfaches Ziel zu sein, indem Sie eine zufällige Portnummer über 1024 auswählen.


Eine weitere Methode, um zusätzliche Sicherheit gegen Brute-Force-Angriffe zu bieten, besteht darin, den Denyhosts-Dienst einzurichten.

Testen des Dienstes vor Ort

Zu diesem Zeitpunkt sollte der Dienst ausgeführt werden. Zum Testen können Sie versuchen, eine Verbindung mit einem Client wie Putty herzustellen.

Putty ist ein sehr beliebter (und kostenloser) SSH-Client, der einfach zu bedienen ist. Das Programm besteht nur aus einer einzigen Datei, Putty.exe.

Nachdem Sie Putty ausgeführt haben, geben Sie die LAN-IP oder den Hostnamen des pfSense-Routers in das Hostfeld oben ein. Wenn Sie den Dienst so konfiguriert haben, dass er auf einem anderen Port ausgeführt wird, ändern Sie den Port in den Port, den Sie in den Einstellungen eingegeben haben.

Klicken Sie unten im Programm auf "Öffnen", um eine Verbindung zum Server herzustellen.

Das Konsolenmenü

Wenn die Verbindung erfolgreich war, werden Sie aufgefordert, einen Benutzernamen einzugeben. Geben Sie root ein. Der Server fordert Sie außerdem zur Eingabe eines Kennworts auf. Das Kennwort ist das gleiche, mit dem Sie als Administrator auf die Weboberfläche zugreifen.


Um auf die Shell zuzugreifen, wählen Sie Option 8.

Ändern des Admin / Root-Passworts

Öffnen Sie den Benutzermanager im Systemmenü, um das Root-Passwort für das System zu ändern. Klicken Sie auf die Schaltfläche Bearbeiten neben dem Administrator, um ein neues Kennwort zuzuweisen.

Wenn Sie möchten, können Sie hier auch zusätzliche Benutzerkonten einrichten.

Aktivieren des Zugriffs aus dem Internet

Um von außerhalb des lokalen Netzwerks auf den SSH-Dienst zugreifen zu können, müssen Sie eine Firewall-Regel erstellen, damit der Datenverkehr weitergeleitet werden kann. Ohne eine Firewall-Regel, die den Datenverkehr zulässt, würden die Pakete einfach von der Firewall verworfen.


Um den Datenverkehr zuzulassen, klicken Sie im Firewall-Menü auf "Regeln".

Erstellen einer Firewall-Regel

Erstellen Sie eine neue Firewall-Regel, indem Sie unten rechts auf der Seite mit den Firewall-Regeln auf das Pluszeichen klicken. Dadurch wird die Seite mit dem Firewall-Regeleditor geöffnet.

Die Standardaktion für eine neue Regel ist "Bestanden", wodurch der Datenverkehr zugelassen wird.

  1. Stellen Sie die Schnittstelle auf WAN ein.
  2. Stellen Sie sicher, dass das Protokoll auf TCP eingestellt ist. Dies ist das Protokoll, auf dem SSH ausgeführt wird.
  3. Wählen Sie in den Zieleinstellungen einen Typ von 'WAN-Adresse' aus.
  4. Geben Sie im Zielportbereich 22 oder den Port, für den Sie SSH konfiguriert haben, in das Feld von ein. Sie können den Port 'to' leer lassen.
  5. Geben Sie eine Beschreibung für die Regel ein, z. B. "SSH WAN zulassen".
  6. Klicken Sie auf Speichern, um die Erstellung der Firewall-Regel abzuschließen.

Übernehmen der Änderungen

Die neue Firewall-Regel wird erst aktiviert, wenn die Änderungen übernommen wurden. Klicken Sie auf die Schaltfläche 'Änderungen übernehmen', um die neue Regel im System zu aktivieren.

Nach dem Anwenden der neuen Regel sollten Sie auf den SSH-Dienst zugreifen können, indem Sie den Client auf die WAN-IP-Adresse der pfSense-Box verweisen. ich mache gerne Richten Sie dynamisches DNS ein anstatt IP-Adressen verfolgen zu müssen.

Einrichten der schlüsselbasierten Authentifizierung

Selbst wenn Sie den Überwachungsport für SSH geändert haben, kann der Dienst dennoch durch Port-Scannen erkannt werden. Einmal entdeckt, können Bots Brute-Force-Angriffe gegen den Server starten, um zu versuchen, Konten mit schwachen Passwörtern zu finden.

Um den Dienst wesentlich sicherer zu machen, können Sie die schlüsselbasierte Authentifizierung aktivieren. Wenn die Schlüsselauthentifizierung aktiviert ist, können Hacker den ganzen Tag über versuchen, Kennwörter zu erraten. Ohne den privaten Schlüssel wird ihnen jedoch niemals Zugriff gewährt.

Um die Kennwortauthentifizierung zu deaktivieren und einen sicheren RSA-Schlüssel zu benötigen, aktivieren Sie das Kontrollkästchen "Kennwortanmeldung für sichere Shell deaktivieren". Diese Einstellung finden Sie auf der Seite "Erweiterte Systemeinstellungen" im Abschnitt "Sichere Shell".

Generieren eines öffentlichen / privaten Schlüsselpaars

Um schlüsselbasierte Anmeldungen nutzen zu können, müssen wir ein Schlüsselpaar erstellen. Der öffentliche Schlüssel wird in pfSense eingegeben und der private Schlüssel wird auf dem Client gespeichert.

Der einfachste Weg, ein Schlüsselpaar zu generieren, ist die Verwendung des Puttygen-Programms. Klicken Sie auf die Schaltfläche "Generieren" und bewegen Sie die Maus, um eine Zufälligkeit für den Schlüssel zu erzeugen.

Hinzufügen des öffentlichen Schlüssels zum Server

Nach dem Generieren des Schlüsselpaars muss der öffentliche Schlüssel dem Benutzerkonto auf pfSense hinzugefügt werden.

  1. Öffnen Sie den Benutzermanager im Systemmenü.
  2. Klicken Sie auf die Schaltfläche 'E' neben dem Benutzer, für den Sie den Schlüssel hinzufügen möchten. Der Root-Benutzer wird im Benutzermanager als admin bezeichnet.
  3. Aktivieren Sie das Kontrollkästchen Im Abschnitt "Autorisierte Schlüssel" mit der Bezeichnung "Klicken, um einen autorisierten Schlüssel einzufügen".
  4. Fügen Sie den aus Puttygen generierten öffentlichen Schlüssel in das Feld ein.
  5. Klicken Sie auf Speichern.

Speichern des privaten Schlüssels

Der letzte Schritt besteht darin, den entsprechenden privaten Schlüssel zu speichern und den Putty-Client für die Verwendung zu konfigurieren. Für noch mehr zusätzliche Sicherheit empfehle ich, eine Passphrase für den privaten Schlüssel festzulegen.

Ohne eine Passphrase kann jeder mit einer Kopie der privaten Schlüsseldatei eine Verbindung zum Server herstellen. Durch Hinzufügen einer Passphrase kann der Schlüssel nicht verwendet werden, ohne vorher zu wissen, um welche Phrase es sich handelt.

Um den privaten Schlüssel auf dem lokalen Computer zu speichern, klicken Sie in Puttygen auf die Schaltfläche Privaten Schlüssel speichern.

Um den Schlüssel in Putty zu laden, rufen Sie die Seite Auth-Einstellungen unter Verbindung SSH auf. Klicken Sie auf die Schaltfläche Durchsuchen und suchen Sie, wo Sie die private Schlüsseldatei gespeichert haben.

Schlüssel testen

Nachdem der Schlüssel in den Client geladen wurde, können Sie versuchen, eine Verbindung zum SSH-Server herzustellen. Sie sollten eine Meldung wie die im folgenden Screenshot sehen, die angibt, dass der öffentliche Schlüssel für die Authentifizierung verwendet wird.

Wenn Sie dem privaten Schlüssel eine Passphrase zugewiesen haben, werden Sie zu diesem Zeitpunkt aufgefordert, diese einzugeben.

Übertragen von Dateien über SSH mit WinSCP

SSH kann auch zum Übertragen von Dateien zu oder von pfSense mithilfe von SCP (Secure Copy Protocol) verwendet werden. Mit SCP können Sie Dateien sicher zum oder vom Remote-System übertragen, während Sie das vorhandene SSH-Authentifizierungssystem verwenden.

Für Windows-Benutzer gibt es einen großartigen SCP-Client namens WinSCP. Das WinSCP-Programm bietet eine benutzerfreundliche Oberfläche zum Übertragen von Dateien über SSH.

Beim Start von WinSCP wird der Anmeldebildschirm angezeigt. Geben Sie die IP-Adresse des PfSense-Felds in das Feld Hostname ein. Wenn Sie SSH nicht auf dem Standardport (22) ausführen, ändern Sie die Portnummer entsprechend.

Melden Sie sich mit denselben Anmeldeinformationen an, die Sie bei der Verbindung mit SSH verwenden.

Nachdem die Verbindung hergestellt wurde, wird auf der rechten Seite eine direkte Liste des Remote-Systems angezeigt. Auf der linken Seite des Bildschirms wird das lokale Dateisystem angezeigt.

Die WinSCP-Oberfläche ist im Wesentlichen identisch mit Windows Explorer. Sie können Dateien und Verzeichnisse zwischen dem Remote- und dem lokalen Computer ziehen und ablegen.

Die vielen Verwendungen von SSH

Wie Sie sehen können, ist SSH unglaublich vielseitig! Mit dem Protokoll können Sie noch viel mehr tun, um die Systemadministration zu vereinfachen. Sie können sogar Skripts einrichten, um Befehle auf Remote-Systemen zu festgelegten Zeiten auszuführen. Das Beste ist, dass alles, was über SSH erledigt wird, dank der verwendeten Verschlüsselung völlig sicher ist.

Wenn Sie weitere großartige Verwendungsmöglichkeiten für sichere Shell kennen, hinterlassen Sie bitte unten einen Kommentar.

Dieser Artikel ist genau und nach bestem Wissen des Autors. Der Inhalt dient nur zu Informations- oder Unterhaltungszwecken und ersetzt nicht die persönliche Beratung oder professionelle Beratung in geschäftlichen, finanziellen, rechtlichen oder technischen Angelegenheiten.

Vorheriger Artikel

5 atemberaubende Instagram-Modelle, denen Sie folgen sollten

Nächster Artikel

Bester DDR3 Gaming RAM und PC Memory 2019

Teilen

Ihnen Empfohlen

Überprüfung der Artifit Ultra Hybrid iPhone 6 / 6s / 7/8 Hülle
 Telefone

Überprüfung der Artifit Ultra Hybrid iPhone 6 / 6s / 7/8 Hülle

Krzy ztof i t ein leben langer zukünftiger Tech-Junkie, der die neue ten Ge chichten von Unternehmen wie Apple, am ung, Google und Amazon unter ucht.Die Ultra Hybrid iPhone 6 / 6 / 7/8 Hülle...
Über 200 kurze Bildunterschriften für Profilbilder
 Internet

Über 200 kurze Bildunterschriften für Profilbilder

Cheeky Kid i t ein Cybernaut, der viel Zeit damit verbringt, im Internet zu urfen, unendliche Informationen zu erfa en und ich an Unterhaltung und paß zu erfreuen. ie agen, da ein Bild mehr agt a...