Portar

Port 22: SSH

Säker fjärrinloggning och grund för filöverföring. Används vanligtvis för administratörsåtkomst.

Var du ser detta: Du ser detta i skanningar, brandväggsregler, sårbarhetsrapporter och tjänstkonfigurationer. Behandla öppna portar som exponeringspunkter och verifiera att tjänsten är förväntad, härdad och begränsad.

Vad det är

TCP port 22 är standardporten för SSH. En port är ett transportlagernummer som används tillsammans med en IP-adress och ett protokoll som TCP eller UDP för att dirigera trafik till rätt tjänst på en värd.

En serverprocess binder en socket till en port och lyssnar, medan en klient vanligtvis väljer en tillfällig källport för utgående anslutningar. Kombinationen av käll- och destinations-IP-adresser, käll- och destinationsportar och transportprotokollet identifierar unikt ett flöde så att operativsystemet kan hålla många konversationer åtskilda.

Brandväggar, NAT och skannrar talar om portar eftersom destinationsporten är den stabila mötespunkten som exponerar en tjänst för nätverket. En SSH-server binder till port 22 och väntar i ett lyssningsläge.

När du ansluter öppnar din klient en TCP-session från en tillfällig källport till serverns IP-adress och destinationsport 22, slutför TCP-handskakningen och startar sedan protokollet SSH ovanpå den anslutningen. SSH förhandlar om kryptering, autentiserar användaren eller nyckeln och multiplexerar sedan en anslutning till kanaler för ett interaktivt skal, körning av ett enda kommando, filöverföring via SFTP eller vidarebefordran av port.

Det är därför att skanna efter 22 är ett vanligt sätt att hitta fjärradministrationsytor. Om du förstår portar kan du se varför flytta SSH till en annan port minskar bruset men tar inte bort risken: tjänsten är fortfarande tillgänglig, bara vid en annan mötesplats.

Hur det fungerar i stora drag

  1. Klienten ansluter och förhandlar algoritmer för nyckelutbyte, kryptering och integritet.
  2. Servern bevisar sin identitet med en värdnyckel, sedan autentiserar användaren med en nyckel eller lösenord.
  3. Efter autentisering öppnar SSH en eller flera kanaler för skal, kommandon, portvidarebefordran eller SFTP.

Konkret exempel

En utvecklare kör git-operationer mot en server. Under huven autentiseras en SSH-session med en nyckel, sedan öppnar servern en kanal för git-kommandot och returnerar resultaten över den krypterade strömmen.

Varför det är viktigt

SSH är en av de mest säkerhetskänsliga tjänsterna i de flesta miljöer. Den är kraftfull till sin design, så en exponerad eller svagt skyddad SSH-tjänst är en vanlig ingångspunkt. Det dyker också upp överallt inom automatisering, säkerhetskopiering och serverhantering.

Säkerhetsperspektiv

  • Föredrar nyckelbaserad autentisering, inaktivera svaga chiffer och begränsa med nätverk eller VPN.
  • Använd MFA eller kortlivade certifikat där det är möjligt och logga alla autentiseringshändelser.
  • Behandla SSH-nycklar som hemligheter: skydda dem, rotera dem och ta bort åtkomst när andra går.

Vanliga fallgropar

  • Tillåter lösenordsautentisering från internet utan hastighetsbegränsning.
  • Återanvända nycklar i många system eller aldrig rotera dem.
  • Ignorera värdnyckeländringar, vilket kan gömma man i mitten attacker eller komprometterade värdar.