Artigo do tipo Tutorial
Recursos especiais neste artigo:
Conteúdo sobre boas práticas.
SSH – Protocolo seguro para acesso remoto
Neste artigo serão apresentadas as principais características do protocolo SSH, bem como as novas instalações, configurações e customizações introduzidas em seu arquivo de configuração. Serão descritos os diferentes tipos de opções e seus parâmetros padrão. Além disso, serão apresentadas algumas mudanças que podem ocasionar melhor desempenho e melhor segurança dependendo do ambiente de produção onde se encontra instalada a ferramenta SSH. Por fim, serão expostas as técnicas de túneis criptográficos, e a utilização de chaves simétricas e assimétricas.


Em que situação o tema é útil

Os pontos destacados neste artigo serão úteis para a compreensão do protocolo SSH, bem como de suas principais diferenças quando comparado a outras ferramentas de conexão remota. Os conceitos expostos também permitirão o aprofundamento técnico do tema pelos profissionais e usuários da área de infraestrutura de tecnologia da informação.

Atualmente a maioria das empresas hospeda seus serviços e aplicações de banco de dados fora de suas instalações e dentro de grandes datacenters. Estes oferecem toda instalação e segurança necessárias, com as devidas redundâncias, para sempre manter os serviços executando de forma confiável.

Neste cenário, é natural que você queira fazer conexões remotas nesses servidores para alteração de configuração de algum serviço ou aplicação, atualização de segurança, instalação de algum serviço adicional, copiar arquivos do seu computador para o servidor ou vice-versa. Para executar todos esses passos temos diversas ferramentas como FTP, RCP, Telnet, Rlogin, RSH, SSH entre outros.

Infelizmente, muitos desses programas relacionados a acesso remoto têm um problema fundamental, eles não possuem segurança eficaz. Na tentativa de transmitir um arquivo confidencial através da rede, um intruso pode parcialmente interceptar os dados utilizando ferramentas de sniffer e lê-los (ler Nota DevMan 1). Um exemplo deste problema pode ser encontrado na utilização do Telnet (ler Nota DevMan 2). Este protocolo não aplica criptografia nos dados transmitidos, o que deixa sua comunicação exposta na rede.

Na Figura 1 temos um exemplo do wireshark, uma ferramenta de sniffer de rede capturando dados de uma comunicação realizada com Telnet. Podemos perceber que nos dados transmitidos nessa comunicação não são aplicados hash de criptografia, o que torna fácil identificar os dados transmitidos na comunicação.

Nota DevMan 1. Sniffer

Sniffer (analisador de pacote de rede) é uma ferramenta capaz de interceptar e registrar o tráfego de dados em uma rede de computadores. À medida que os dados trafegam na rede, o sniffer captura os pacotes e os decodifica.


Nota DevMan 2. Telnet

Telnet é um protocolo de conexão remota que permite a comunicação de terminais e de aplicações através da internet.

Figura 1. Capturando dados de comunicação Telnet.

Para amenizar esses problemas você pode utilizar um Firewall que proteja os computadores da rede de um intruso, pode utilizar hash de comunicação para embaralhar os dados tornando sua leitura impossível, ou utilizar o SSH. O SSH é uma ferramenta com ênfase em segurança que utiliza um conjunto de técnicas de criptografia para assegurar que apenas a pessoa autorizada possa conectar ao servidor e que todos os dados transmitidos sejam impossíveis de decifrar mantendo, dessa forma, a integridade da conexão. A ferramenta possui diversas respostas a ataques conhecidos. Por exemplo: o SSH detecta casos em que o servidor tenha sido trocado por outro; situações nas quais se tenta injetar dados na conexão (tirar proveito de uma conexão aberta para incluir pacotes na conexão, alterando as informações passadas); e técnicas de ocultação de pacotes, o que torna mais difícil descobrir em qual pacote criptografado foi transmitida a senha.

Quer ler esse conteúdo completo? Seja um assinante e descubra as vantagens.
  • 473 Cursos
  • 10K Artigos
  • 100 DevCasts
  • 30 Projetos
  • 80 Guias
Tenha acesso completo