Basic Primer voor het beveiligen van SSH

(Super Secure) Secure Shell vereenvoudigd

Sleuteluitwisseling is belangrijk voor veilige SSH
Sleuteluitwisseling is belangrijk voor veilige SSH

Laten we eerlijk zijn, beveiligen Secure Shell (of SSH) kan ongeveer net zo verwarrend zijn als de plot van de film Primer. Maar net als de film is het de moeite waard. Hoewel je een volledige gids over veilige beveiligde shell online gaan we u een overzicht geven van enkele van de best practices die u moet volgen als u echt veilig wilt zijn bij het gebruik van SSH. Het zal je misschien verbazen hoe gemakkelijk het is om mee te luisteren als het niet correct is ingesteld.

Best practices voor het beveiligen van SSH

Hier is een samenvatting van de belangrijkste dingen die u zorgvuldig wilt overwegen als u SSH gebruikt en veilig wilt blijven.

  • Sleuteluitwisseling - In principe wil je Diffie-Hellman of Elliptic Curve Diffie-Hellman gebruiken om een ​​sleutel uit te wisselen. Dit komt omdat ze allebei voorwaartse geheimhouding bieden, waardoor het moeilijker wordt voor mensen om rond te snuffelen. Zoals u waarschijnlijk weet, ondersteunt OpenSSH momenteel 8 sleuteluitwisselingsprotocollen. Degenen die u wilt gebruiken, zijn kromme25519-sha256: ECDH voorbij Curve 25519 met SHA2 OR diffie-hellman-groepsuitwisseling-sha256: Custom DH met SHA2.
  • Serververificatie - U kunt vier algoritmen voor openbare sleutels gebruiken voor serververificatie. Van deze vier is uw beste gok (om veilig te zijn) om RSA met SHA1 te gebruiken voor uw serververificatiebehoeften. De truc is om ervoor te zorgen dat u de algoritmen voor openbare sleutels die u NIET gaat gebruiken, uitschakelt. Dit is gemakkelijk af te handelen met een paar opdrachten. Zorg ervoor dat u init-bestanden niet herlaadt de sleutels die u niet wilt gebruiken.
  • Clientverificatie - Nadat u iets veiliger heeft ingesteld, wilt u zeker weten dat u wachtwoordverificatie uitschakelt, die kwetsbaar is voor brute force-aanvallen. Het is veel beter om openbare sleutelverificatie te gebruiken, net als aan de serverzijde. Een andere optie is om OTP (eenmalige wachtwoorden) te gebruiken om het voor de slechteriken moeilijker te maken om naar uw beveiligde gegevensverbinding te snuffelen om te proberen meer over u te weten te komen.
  • Gebruikersverificatie - Dit is een belangrijk aspect bij het opzetten van een server om echt veilige SSH-verbindingen te accepteren. Kortom, u wilt een witte lijst met toegestane gebruikers maken. Als u dit doet, kan iedereen die niet op de lijst staat, zelfs maar proberen in te loggen. Als je een groot aantal gebruikers hebt die via SSH verbinding maken met de server, wil je AllowGroups gebruiken in plaats van AllowUser, maar dit is nog steeds relatief eenvoudig in te stellen.
  • Symmetrische cijfers - Als het om symmetrische cijfers gaat, heb je een paar algoritmen tot je beschikking. Nogmaals, het is aan jou om de beste te kiezen voor beveiliging. In dit geval wilt u chacha20-poly1305@openssh.com, aes256-gcm@openssh.com, aes128-gcm@openssh.com, aes256-ctr, aes192-ctr en aes128-ctr gebruiken.
  • Berichtverificatiecodes - Als u een AE-coderingsmodus gebruikt, hoeft u zich geen zorgen te maken over MAC's omdat deze al zijn opgenomen. Aan de andere kant, als je de CTR-route hebt gevolgd, wil je MAC gebruiken om elk bericht te taggen. Encrypt-then-MAC is de enige methode die moet worden gebruikt als u zeker wilt zijn dat u zo veilig mogelijk bent wanneer u SSH gebruikt.
  • Verkeersanalyse - Last but not least, je wilt gebruiken Tor verborgen diensten voor uw SSH-servers. Door dit te gebruiken, ga je het de slechteriken nog moeilijker maken door nog een extra beschermingslaag toe te voegen. Als u geen LAN gebruikt, moet u dit uitschakelen.

Als je klaar bent met het controleren en wijzigen van al het bovenstaande, wil je gaan hardlopen ssh-v om de wijzigingen die u in uw systeem heeft aangebracht te controleren. Die eenvoudige opdracht geeft een lijst van alle algoritmen die u hebt besloten te gebruiken, zodat u uw werk gemakkelijk kunt controleren.

Verhard ook uw systeem!

Dit zijn goede tips voor elke server verbonden met internet, maar ze zijn ook erg handig om ervoor te zorgen dat uw SSH-verbindingen zo veilig mogelijk zijn.

  • Installeer alleen de noodzakelijke software. Meer code betekent meer mogelijkheden voor bugs en exploits die kunnen worden gebruikt door kwaadwillende hackers.
  • Te gebruiken FOSS (Gratis / open source software) om ervoor te zorgen dat u toegang heeft tot de broncode. Hierdoor kunt u de code zelf controleren.
  • Update uw software zo vaak mogelijk. Dit zal je helpen bekende problemen te vermijden die kunnen worden uitgebuit door de slechteriken.

Zoals vermeld, zijn de bovenstaande tips dingen die u zou moeten doen, ongeacht of u uw SSH-verbindingen met de server probeert te beveiligen.

De SSL-afhaalmaaltijd

Het voordeel van SSL is dat zelfs als iets het woord 'veilig' of 'beveiliging' in de naam heeft, dit niet betekent dat het zo goed mogelijk zal zijn tegen aanvallen als je het niet correct instelt. Als je de leiding hebt over een server en regelmatig SSH gebruikt om er verbinding mee te maken (of anderen dit toestaat), wil je de tijd nemen om deze correct in te stellen om ervoor te zorgen dat je maximale beveiliging hebt.

Bij SSL.com geloven we in het maken van de Praktische tips voor SSL zo eenvoudig mogelijk te begrijpen en te implementeren.

Chris Kemmerer

Alle berichten

Gerelateerde artikelen

Bekijk alle artikelen
Facebook YouTube Twitter GitHub

Abonneer u op de nieuwsbrief van SSL.com

Wat is SSL /TLS?

Video afspelen

Abonneer u op de nieuwsbrief van SSL.com

Mis geen nieuwe artikelen en updates van SSL.com

Blijf geïnformeerd en veilig

SSL.com is een wereldleider op het gebied van cyberbeveiliging, PKI en digitale certificaten. Meld u aan om het laatste branchenieuws, tips en productaankondigingen te ontvangen van SSL.com.

We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.

Enquête invullen