Как проверить lan порт на работоспособность

Обновлено: 21.11.2024

  • 1. Способ администрирования мостовых портов для сети, включающий:
    • извлечение информации, связанной с множеством коммутаторов, включая, по меньшей мере, идентификаторы мостовых портов коммутаторов и статусы мостовых портов;

    отображение информации для множества переключателей через интерактивный дисплей;

    получение через интерактивный дисплей обновлений по крайней мере одного статуса распространения по крайней мере одного из портов моста по крайней мере одного из коммутаторов, при этом статус распространения включает в себя указание на то, следует ли опрашивать порт моста для получения его текущий статус;

    изменение хотя бы одного статуса распространения на основе обновлений; и

    • 2. Способ по п. 1, отличающийся тем, что отображение информации на интерактивном дисплее включает отображение всех извлеченных идентификаторов портов моста в одном окне.
    • 3. Способ по п. 2, отличающийся тем, что отображение всех извлеченных идентификаторов мостовых портов в одном окне включает отображение всех извлеченных идентификаторов в иерархической древовидной структуре.
    • 4. Способ по п. 1, в котором информация, связанная с переключателями, дополнительно содержит тип переключателя.
    • 5. Способ по п. 1, отличающийся тем, что отображение информации включает цветовое кодирование состояния мостовых портов.
    • 6. Способ по п. 1, отличающийся тем, что интерактивное отображение содержит первое и второе окна, причем первое окно содержит иерархическую древовидную структуру всех управляемых коммутаторов, второе окно содержит табличное отображение информации о портах управляемого коммутатора, выбранного в иерархической древовидной структуре. .
    • 7. Способ по п. 6, в котором второе окно предоставляет поле, в котором пользователь интерактивного дисплея может просматривать статус распространения множества портов управляемого коммутатора, выбранного в иерархической древовидной структуре.
    • 8. Способ по п. 7, в котором статус распространения любого или всех портов управляемого коммутатора выбирается в иерархической древовидной структуре.
    • 9. Способ по п. 1, в котором интерактивный дисплей позволяет пользователю изменять состояние распространения одного или нескольких из всех портов одного коммутатора, множества портов одного коммутатора и множества портов нескольких коммутаторов. /li>
    • 10. Способ по п. 9, отличающийся тем, что интерактивный дисплей, позволяющий пользователю изменять распространение, содержит интерактивный дисплей, позволяющий пользователю изменять статус распространения из одного окна.
    • 11. Способ по п. 1, в котором интерактивный дисплей позволяет пользователю изменять статус распространения всех портов одного коммутатора, множества портов одного коммутатора и всех портов нескольких коммутаторов.

    отображать информацию для множества переключателей через интерактивный дисплей;

    получать через интерактивный дисплей обновления по крайней мере одного статуса распространения по крайней мере одного из портов моста по крайней мере одного из коммутаторов;

    изменить хотя бы один статус распространения на основе обновлений; и

    • 13. Программное обеспечение по п. 12, отличающееся тем, что программное обеспечение, предназначенное для отображения информации на интерактивном дисплее, содержит программное обеспечение, предназначенное для отображения всех извлеченных идентификаторов портов моста в одном окне.
    • 14. Программное обеспечение по п. 13, отличающееся тем, что программное обеспечение, предназначенное для отображения всех полученных идентификаторов портов моста в одном окне, содержит программное обеспечение, предназначенное для отображения всех полученных идентификаторов в иерархической древовидной структуре.
    • 15. Программное обеспечение по п. 13, в котором информация, связанная с переключателями, дополнительно содержит тип переключателя.
    • 16. Программное обеспечение по п. 12, в котором программное обеспечение, предназначенное для отображения информации, содержит программное обеспечение, предназначенное для цветового кодирования состояния распространения портов моста.
    • 17. Программное обеспечение по п. 12, отличающееся тем, что интерактивный дисплей содержит первое и второе окна, причем первое окно содержит иерархическую древовидную структуру всех управляемых коммутаторов, второе окно содержит табличное отображение информации о мостовых портах управляемого коммутатора, выбранного в иерархическом дереве. структура.
    • 18. Программное обеспечение по п. 17, в котором второе окно предоставляет поле, в котором пользователь интерактивного дисплея может просматривать статус распространения множества портов моста управляемого коммутатора, выбранного в иерархической древовидной структуре.
    • 19. Программное обеспечение по п. 18, в котором статус распространения любого или всех мостовых портов управляемого коммутатора выбирается в иерархической древовидной структуре.
    • 20.Программное обеспечение по п. 12, отличающееся тем, что интерактивный дисплей позволяет пользователю изменять состояние распространения одного или нескольких портов моста одного коммутатора, множества портов моста одного коммутатора и множества портов моста нескольких переключатели.
    • 21. Программное обеспечение по п. 20, в котором интерактивный дисплей, позволяющий пользователю изменять статус распространения, содержит интерактивный дисплей, позволяющий пользователю изменять статус распространения из одного окна.
    • 22. Программное обеспечение по п. 12, отличающееся тем, что интерактивный дисплей позволяет пользователю изменять статус распространения всех портов моста одного коммутатора, множества портов моста одного коммутатора и всех портов моста нескольких коммутаторов.
    • 35. Программное обеспечение по п. 12, в котором информация, связанная с множеством переключателей, дополнительно включает в себя по меньшей мере иерархические взаимосвязи множества переключателей, причем отображение информации для множества переключателей дополнительно включает в себя отображение иерархического представления множества переключателей. полученный из иерархических отношений, и при этом представление коммутатора в иерархическом представлении включает в себя указание статуса распространения всех портов моста, связанных с коммутатором, при этом указание включает в себя первое указание, когда все связанные порты моста распространяются, второе указание когда никакие связанные мостовые порты не распространяются, и третье указание, когда некоторые из связанных мостовых портов распространяются.

    один или несколько процессоров совместно работают с;

    получить информацию, связанную по крайней мере с подмножеством множества переключателей;

    отображать полученную информацию на интерактивном дисплее;

    получать через интерактивный дисплей обновления по крайней мере одного статуса распространения по крайней мере одного из портов моста по крайней мере одного из коммутаторов;

    изменить хотя бы один статус распространения на основе обновлений; и

    • 24. Система по п. 23, в которой процессоры, предназначенные для отображения информации на интерактивном дисплее, содержат процессоры, предназначенные для отображения всех извлеченных идентификаторов портов моста в одном окне.
    • 25. Система по п. 24, в которой процессоры, способные отображать все извлеченные идентификаторы портов моста в одном окне, содержат процессоры, способные отображать все извлеченные идентификаторы в иерархической древовидной структуре.
    • 26. Система по п. 23, в которой информация, связанная с переключателями, дополнительно содержит тип переключателя.
    • 27. Система по п. 23, в которой процессоры, предназначенные для отображения информации, содержат процессоры, работающие для цветового кодирования состояния портов моста.
    • 28. Система по п. 23, отличающаяся тем, что интерактивный дисплей содержит первое и второе окна, причем первое окно содержит иерархическую древовидную структуру всех управляемых коммутаторов, второе окно содержит табличное отображение информации о мостовых портах управляемого коммутатора, выбранного в иерархическом дереве. структура.
    • 29. Система по п. 28, в которой второе окно предоставляет поле, в котором пользователь интерактивного дисплея может просматривать статус распространения множества портов моста управляемого коммутатора, выбранного в иерархической древовидной структуре.
    • 30. Система по п. 29, в которой статус распространения любого или всех портов моста управляемого коммутатора выбирается в иерархической древовидной структуре.
    • 31. Система по п. 23, в которой интерактивный дисплей позволяет пользователю изменять состояние распространения одного или нескольких портов моста одного коммутатора, множества портов моста одного коммутатора и множества портов моста нескольких переключатели.
    • 32. Система по п. 31, в которой интерактивный дисплей, позволяющий пользователю изменять статус распространения, содержит интерактивный дисплей, позволяющий пользователю изменять статус распространения из одного окна.
    • 33. Система по п. 23, в которой интерактивный дисплей позволяет пользователю изменять состояние распространения всех портов моста одного коммутатора, множества портов моста одного коммутатора и всех портов моста нескольких коммутаторов.

    отображение всех извлеченных идентификаторов в иерархической древовидной структуре посредством интерактивного дисплея, причем интерактивный дисплей содержит первое и второе окна, первое окно содержит иерархическую древовидную структуру всех управляемых коммутаторов, второе окно содержит табличное отображение информация о порте моста управляемого коммутатора, выбранного в иерархической древовидной структуре;

    получение через интерактивный дисплей обновлений хотя бы одного статуса распространения хотя бы одного из портов моста хотя бы одного из коммутаторов;

    Виртуальные локальные сети, или VLAN, стали важными, поскольку сложность сети превысила пропускную способность типичных локальных сетей (LAN). Первоначально локальная сеть соединяла группу компьютеров и связанных устройств с сервером через кабели в общем физическом месте (отсюда и термин «локальный»). Многие локальные сети теперь подключают устройства через беспроводной Интернет, а не через Ethernet, хотя в большинстве локальных сетей используется комбинация обоих типов подключения. Со временем организации выросли в своих сетевых потребностях, требуя решений, которые позволяют сетям расти в размерах, гибкости и сложности.

    Виртуальные локальные сети обходят физические ограничения локальной сети благодаря своей виртуальной природе, позволяя организациям масштабировать свои сети, сегментировать их для усиления мер безопасности и уменьшения сетевых задержек.

    Что такое VLAN и какова ее цель?

    По сути, VLAN — это набор устройств или сетевых узлов, которые взаимодействуют друг с другом, как если бы они составляли единую локальную сеть, тогда как на самом деле они существуют в одном или нескольких сегментах локальной сети. В техническом смысле сегмент отделен от остальной части локальной сети мостом, маршрутизатором или коммутатором и обычно используется для определенного отдела. Это означает, что когда рабочая станция передает пакеты, они достигают всех других рабочих станций в сети VLAN, но не достигают ее за пределами.

    Это упрощает многие потенциальные сложности, связанные с локальными сетями, включая чрезмерный сетевой трафик и коллизии. Когда две рабочие станции одновременно отправляют пакеты данных в локальную сеть, подключенную через концентратор, данные сталкиваются и не передаются должным образом. Коллизия распространяется по всей сети, а это означает, что локальная сеть занята и требует, чтобы пользователи ждали, пока коллизия не будет полностью передана по сети, прежде чем она снова станет работоспособной — после чего исходные данные должны быть повторно отправлены.

    Виртуальные локальные сети снижают количество конфликтов и уменьшают количество неиспользуемых сетевых ресурсов, выступая в качестве сегментов локальной сети. Пакеты данных, отправляемые с рабочей станции в сегменте, передаются мостом или коммутатором, который не будет пересылать коллизии, а будет отправлять широковещательные сообщения всем сетевым устройствам. По этой причине сегменты называются «областями конфликтов», поскольку они содержат конфликты в пределах границ этого раздела.

    Однако виртуальные локальные сети обладают большей функциональностью, чем даже сегмент локальной сети, поскольку они обеспечивают повышенную безопасность данных и логическое разделение. Помните, что VLAN действует как единая LAN, хотя и составляет только сегмент. Это означает, что широковещательным доменом VLAN является сама VLAN, а не каждый сегмент сети. Кроме того, разделы не обязательно должны определяться физическим расположением сетевых устройств. Вместо этого их можно сгруппировать по отделам, проектным группам или любому другому логическому организационному принципу.

    Зачем использовать VLAN?

    Организации получают значительные преимущества от использования VLAN, включая повышение производительности, большую гибкость в конфигурации сети и формировании рабочих групп, а также сокращение усилий по администрированию.

    • Виртуальные локальные сети экономичны, поскольку рабочие станции в виртуальных локальных сетях взаимодействуют друг с другом через коммутаторы виртуальной локальной сети и не требуют маршрутизаторов, если только они не отправляют данные за пределы виртуальной локальной сети. Это позволяет VLAN справляться с возросшей нагрузкой данных, поскольку, хотя у коммутаторов меньше возможностей, чем у маршрутизатора, маршрутизаторы создают узкие места. Виртуальным локальным сетям не требуется пересылать информацию через маршрутизатор для связи с устройствами в сети, что снижает общую задержку в сети.
    • Виртуальные локальные сети обеспечивают большую гибкость, чем невиртуальные сетевые решения. VLAN можно настраивать и назначать на основе критериев порта, протокола или подсети, что позволяет при необходимости изменять VLAN и структуру сети. Кроме того, поскольку виртуальные локальные сети настраиваются на основе вне их физического подключения к оборудованию или близости к другим устройствам, они позволяют группам, которые сотрудничают — и, предположительно, передают большой объем данных на устройства друг друга — совместно использовать виртуальную локальную сеть, даже если они работают на разных этажах или в разных зданиях.
    • Виртуальные локальные сети уменьшают объем административного надзора, необходимого для контролеров сети, таких как поставщики управляемых услуг (MSP). VLAN позволяют сетевым администраторам автоматически ограничивать доступ для определенной группы пользователей, разделяя рабочие станции на разные изолированные сегменты LAN. Когда пользователи перемещают свои рабочие станции, администраторам не нужно перенастраивать сеть или менять группы VLAN. Эти факторы сокращают количество времени и энергии, которые администраторы должны уделять настройке и мерам безопасности.

    Что является примером VLAN?

    У многих организаций есть глобальная сеть (WAN) из-за их обширных офисов и больших команд. В этих сценариях наличие нескольких VLAN значительно ускорит сетевые операции. Часто крупные компании работают над кросс-функциональными проектами.Простота настройки сетей VLAN и перераспределения пользователей по сетям VLAN позволяет размещать в одной сети VLAN даже межведомственные группы, что упрощает обмен большими объемами данных. Специалисты по маркетингу, продажам, ИТ и бизнес-аналитики могут работать вместе для достижения важных целей наиболее эффективно, когда сегментация сети способствует гибкой командной работе.

    Несмотря на то, что виртуальные локальные сети имеют свои сложности, такие как несовпадения виртуальных локальных сетей, поставщики облачных услуг, знающие, как правильно настроить виртуальную локальную сеть, могут использовать свои мощные преимущества сегментации сети, чтобы сделать сети своих клиентов более быстрыми и безопасными, а также предоставить им физическую гибкость. Поскольку все сети со временем развиваются, MSP, которые знают, как проводить обслуживание VLAN и проверять распределение устройств, могут повысить и поддерживать производительность сети.

    Ethernet — это сетевой протокол связи, предназначенный для связи сетевых устройств, коммутаторов и маршрутизаторов. Ethernet функционирует в проводной или беспроводной сети, включая глобальные сети (WAN) и локальные сети (LAN).

    Развитие технологии Ethernet обусловлено различными потребностями сети, такими как системное приложение для больших и малых платформ, проблемы безопасности, надежность сети и требования к пропускной способности.

    В частности, потребность в более высокой пропускной способности для высококачественной передачи видео и непрерывной потоковой передачи видео привела к развитию Fast Ethernet и Gigabit Ethernet.

    В этой статье мы объясним, чем они отличаются друг от друга и что нужно учитывать при выборе протокола передачи данных Ethernet.

    Быстрый Ethernet

    Ethernet был стандартизирован в середине 80-х годов как IEEE 802.3 и продолжает развиваться и совершенствоваться, обеспечивая надежность и скорость. Стандартная скорость Ethernet составляла в среднем около 10 Мбит/с, а максимальная скорость достигала примерно 15 Мбит/с.

    Fast Ethernet — это версия стандартов Ethernet, разработанная в 1995 году как IEEE 802.3u. Fast Ethernet ориентирован на повышение скорости сети и сетевых устройств по сравнению со стандартными устройствами Ethernet и Ethernet. Fast Ethernet обеспечивает единую работоспособность при передаче данных со скоростью более 100 мегабит в секунду.

    Он разработан для сетей 100 Base T, а также совместим с сетями 10 Base T, что позволяет пользователям получать преимущества от более высоких скоростей Ethernet (с использованием совместимых коммутаторов) без необходимости полной модернизации своих сетевых систем.

    Передача по Fast Ethernet как минимум в 10 раз быстрее, чем по стандартному Ethernet, и доказала свою полезность для поддержания совместимых подключений к высокоскоростным серверам, устранения узких мест в пропускной способности для сетевых систем, работающих с несколькими IP-видеокамерами и IoT, а также для беспрепятственной поддержки сложных сетей, которые одновременно запускать несколько пакетов программного обеспечения, интенсивно использующих полосу пропускания.

    Устройства и устройства Fast Ethernet могут работать с кабелями с неэкранированной витой парой (UTP), такими как кабели категории 5 и выше. Однако максимальная длина и эффективность кабеля UTP составляет 100 метров, а пропускная способность может быть ограничена.

    Передача по оптоволоконному кабелю обеспечивает большие расстояния и большую пропускную способность по кабелю UTP, позволяя сетевым устройствам и устройствам Fast Ethernet работать в полную силу.

    Гигабитный Ethernet

    Gigabit Ethernet — это последняя версия стандартов Ethernet, введенная в действие в 1999 году как IEEE 802.3ab и в 2004 году как IEEE 802.3ah. Gigabit Ethernet обеспечивает единые стандарты для передачи данных по сети со скоростью 1000 мегабит в секунду или 1 гигабит в секунду. Стандарт IEEE 802.3ab определяет применимость Gigabit Ethernet для сетей 1000 Base T и позволяет использовать существующие кабели UTP.

    Применимость стандарта IEEE 802.3ab Gigabit Ethernet сертифицирована как для промышленных, так и для настольных пользователей, работающих с существующими кабелями категории 5. Стандарт IEEE 802.3ah сертифицировал дополнительные сетевые протоколы 1000 Base T, в частности 1000 Base LX10 и 1000 Base BX10 для многомодовой оптоволоконной и оптоволоконной передачи соответственно.

    Сетевые устройства и устройства Gigabit Ethernet могут передавать пакеты данных со скоростью, намного превышающей скорость Fast Ethernet. Коммутатор Fast Ethernet может передавать пакеты данных со скоростью 10 мегабит в секунду. Коммутатор Gigabit Ethernet передает пакеты данных на относительно более высокой скорости — один гигабит в секунду.

    Для сравнения, коммутатор Gigabit Ethernet может передавать пакеты данных примерно в 100 раз быстрее, чем коммутатор Fast Ethernet.Gigabit Ethernet может удовлетворить все более сложные сетевые требования, такие как подключение нескольких устройств с интенсивным использованием полосы пропускания и широкополосное подключение к Интернету для потоковой передачи видео.

    Приложения Gigabit Ethernet включают гигабитные коммутаторы, которые могут управлять передачей данных между несколькими IP-камерами видеонаблюдения и сетевыми устройствами, а также гигабитные коммутаторы, которые поддерживают передачу видео и других высококачественных сигналов между домашними серверами и телевизорами и мониторами высокой четкости.

    Выбор между Fast Ethernet и Gigabit Ethernet

    Пользователи и организации должны оценить, какой протокол данных Ethernet выгоден для их работы. Небольшие предприятия могут удовлетворить свои сетевые потребности и извлечь выгоду из менее дорогостоящего усовершенствования Fast Ethernet.

    Однако такая же небольшая компания может также извлечь выгоду из устройств Gigabit Ethernet, если они хотят использовать высококачественные IP-камеры наблюдения с потоковой передачей высококачественного видео по запросу.

    При выборе правильного протокола передачи данных Ethernet важно оценить существующую сетевую систему, доступную полосу пропускания, эксплуатационные потребности и будущую конфигурацию сети, желаемые обновления сетевой системы и ограничения возможностей.

    Сравнение Fast Ethernet и Gigabit Ethernet:

    При оценке двух вариантов следует учитывать основные различия.

    • Стоимость. Fast Ethernet дешевле, чем Gigabit Ethernet.
    • Конфигурация. Fast Ethernet проще в настройке и управлении, чем Gigabit Ethernet.
    • Совместимость. Fast Ethernet обратно совместим и может поддерживать стандартные сетевые системы.
    • Применимость. В отличие от Gigabit Ethernet, для Fast Ethernet не требуются специально разработанные сетевые устройства и устройства.
    • Масштабируемость. Gigabit Ethernet лучше масштабируется, чем Fast Ethernet, и подходит для жилых, коммерческих и крупных промышленных предприятий.
    • Скорость. Gigabit Ethernet в 100 раз быстрее, чем Fast Ethernet.
    • Пространство. В Gigabit Ethernet используется относительно меньшее аппаратное обеспечение и меньше кабелей, чем в Fast Ethernet, что обеспечивает большую доступность физического пространства и меньшие требования к помещению.
    • Расстояние. Gigabit Ethernet покрывает большее расстояние, чем Fast Ethernet (70 км и 10 км соответственно).
    • Виртуальные сети. Gigabit Ethernet позволяет легко настраивать и управлять виртуальными сетями благодаря высокой пропускной способности.

    Все еще выбираете между ними? Центр дизайна ComNet может помочь

    Центр дизайна ComNet готов оказать вам индивидуальную техническую поддержку по телефону перед продажей. Услуги ComNet Design Center бесплатны для клиентов, заинтересованных в использовании волоконно-оптических продуктов ComNet в своих проектах. Нажмите здесь, чтобы связаться с представителем Design Center.

    Вы также можете ознакомиться с полной линейкой продуктов Ethernet, установив флажок ниже.

    ComNet теперь предлагает линейку продуктов Razberi.

    Электронные файлы этого выпуска и фотографии продуктов ComNet можно получить, обратившись в отдел маркетинга ComNet:
    Skip Haight: 1-203-796-5340
    Электронная почта: или

    SSH используется повсеместно. Это де-факто решение для удаленного администрирования систем *nix. Но у SSH есть несколько серьезных проблем, когда речь идет об удобстве использования, работоспособности и безопасности.

    Вы, вероятно, знакомы с этими проблемами:

    • Пользовательский интерфейс SSH ужасен. Подключение пользователя SSH происходит медленно и вручную. При подключении к новым хостам появляются запутанные предупреждения безопасности. У вас остались странные новые учетные данные, которыми нужно управлять, и мало инструкций, как это сделать.
    • Использование SSH в больших масштабах — это катастрофа. Утверждение и распространение ключей — пустая трата времени. Имена хостов нельзя использовать повторно. Самодельные инструменты разбрасывают ключевой материал по всему автопарку, который позже необходимо передать сторонним пользователям.
    • SSH поощряет неправильные методы обеспечения безопасности. Менять ключи сложно, поэтому это не делается. Пользователям предоставляется доступ к ключевому материалу и предлагается повторно использовать ключи на разных устройствах. Ключам доверяют постоянно, поэтому ошибки открываются с ошибкой.

    Хорошая новость заключается в том, что все это легко исправить.

    Ни одна из этих проблем на самом деле не связана с SSH. На самом деле это проблемы с SSH аутентификацией с открытым ключом. Решение состоит в том, чтобы переключиться на аутентификацию по сертификату.

    Аутентификация по сертификату SSH упрощает использование SSH, упрощает работу и делает его более безопасным.

    Фон

    Сертификаты SSH уже давно находятся в центре нашего внимания. С нашей точки зрения, все плюсы, минусов нет. Но ими никто не пользуется. Почему бы нет? Мы задали этот вопрос сотням людей. Вот что мы выяснили:

    • Люди используют сертификаты SSH. На самом деле почти все все, работающие в больших масштабах и знающие, что они делают (Facebook, Uber, Google, Netflix, Intercom, Lyft и т. д.), но…
    • Сертификаты и инфраструктура открытых ключей (PKI) трудно понять. Люди не сразу понимают преимущества.
    • Есть (небольшой) пробел в инструментах, который усугубляет этот пробел в знаниях. Заполнить его несложно, но люди опасаются делать это самостоятельно без более глубокого понимания концепций PKI.
    • Более того, сертификаты SSH не получили должного внимания со стороны прессы. Большинство опрошенных нами людей вообще о них не слышали.

    Мы убеждены, что SSH-сертификаты — это правильный способ использования SSH. Их не так сложно понять, и это того стоит. Сертификаты SSH заслуживают большего внимания и более широкого использования.

    Аутентификация с открытым ключом

    В большинстве развертываний SSH используется аутентификация с открытым ключом, которая использует асимметричную криптографию (с открытым ключом) с парой открытого/закрытого ключа, сгенерированной для каждого пользователя и хоста для аутентификации.

    Магия асимметричной криптографии заключается в особом соответствии между открытым и закрытым ключами. Вы можете подписывать данные с помощью своего закрытого ключа, а кто-то другой может проверить вашу подпись с помощью соответствующего открытого ключа. Как и в случае с хешем, подделать подпись вычислительно невозможно. Таким образом, если вы можете проверить подпись и знаете, кому принадлежит закрытый ключ, вы знаете, кто сгенерировал подпись.

    Простую аутентификацию можно реализовать, попросив кого-нибудь подписать большое случайное число. Если я открою вам сокет и отправлю случайное число, а вы ответите действительной подписью над этим числом, значит, я говорю с вами.

    Это упрощение, но примерно так работает аутентификация с открытым ключом SSH. Аутентификация по сертификату работает так же, но с важным моментом, о котором мы поговорим чуть позже.

    Чтобы подключиться к хосту по SSH, используя аутентификацию с открытым ключом, хост должен знать ваш открытый ключ. По умолчанию ваш открытый ключ должен быть добавлен в ~/.ssh/authorized_keys. Ведение этого файла для каждого пользователя во всем парке — сложная задача с точки зрения эксплуатации и подверженность ошибкам.

    Подключение пользователя SSH с аутентификацией по открытому ключу обычно начинается с какого-то причудливого заклинания ssh-keygen , которое, как мы надеемся, взято из модуля Runbook, но, скорее всего, списано из-за переполнения стека. Затем вам будет предложено отправить открытый ключ для одобрения и распространения. Этот процесс, как правило, ручной и непрозрачный. Вас могут попросить отправить электронное письмо администратору или открыть тикет JIRA. Тогда вы ждете. Пока вы это делаете, какого-то бедного оператора прерывают и просят добавить ваш ключ в манифест в каком-то репо и инициировать развертывание. Как только это будет сделано, вы можете использовать SSH. Поскольку привязки клавиш являются постоянными, ваш доступ по SSH будет продолжаться до тех пор, пока кто-нибудь не отменит этот процесс.

    Аутентификация по сертификату

    Проверка подлинности с помощью сертификата исключает утверждение и распространение ключей. Вместо того, чтобы разбрасывать открытые ключи по статическим файлам, вы привязываете открытый ключ к имени с помощью сертификата. Сертификат — это просто структура данных, которая включает в себя открытый ключ, имя и вспомогательные данные, такие как дата истечения срока действия и разрешения. Структура данных подписана центром сертификации (CA).

    Чтобы включить аутентификацию сертификата, просто настройте клиентов и хосты для проверки сертификатов с использованием открытого ключа вашего центра сертификации (т. е. сертификатов доверия, выданных вашим центром сертификации).

    На каждом хосте отредактируйте /etc/ssh/sshd_config , указав открытый ключ ЦС для проверки сертификатов пользователей, закрытый ключ хоста и сертификат хоста:

    На каждом клиенте добавьте строку в ~/.ssh/known_hosts, указав открытый ключ ЦС для проверки сертификатов хоста:

    Вот и все. Это буквально все, что вам нужно сделать, чтобы начать использовать аутентификацию по сертификату. Вы даже можете использовать его вместе с аутентификацией с открытым ключом, чтобы упростить переход.

    Статические ключи в ~/.ssh/authorized_keys больше не нужны. Вместо этого одноранговые узлы узнают открытые ключи друг друга по запросу, когда устанавливаются соединения, путем обмена сертификатами. После обмена сертификатами протокол работает так же, как и при аутентификации с открытым ключом.

    Аутентификация по сертификату повышает удобство использования

    При использовании аутентификации с открытым ключом при первом подключении SSH к удаленному узлу вы увидите следующее предупреждение системы безопасности:

    Возможно, вы уже видели это раньше. Если вы похожи на большинство людей, вас научили игнорировать это, просто набрав «да». Это проблема, потому что это законная угроза безопасности.Это также довольно ужасный пользовательский опыт. Могу поспорить, что подавляющее большинство пользователей SSH на самом деле не понимают этого предупреждения.

    Когда вы подключаетесь к хосту по SSH, хост идентифицирует вас. Ваш SSH-клиент также пытается аутентифицировать хост. Для этого ваш клиент должен знать открытый ключ хоста. Публичные ключи хоста хранятся в простой базе данных в ~/.ssh/known_hosts. Если ваш клиент не может найти открытый ключ хоста в этой базе данных, вы получите это предупреждение. Он сообщает вам, что хост не может быть аутентифицирован!

    Что вы должны сделать, так это проверить отпечаток ключа вне диапазона, обратившись к администратору, обратившись к базе данных или что-то в этом роде. Но никто этого не делает. Когда вы набираете «да», соединение выполняется без аутентификации, а открытый ключ постоянно добавляется в ~/.ssh/known_hosts. Это антишаблон доверие при первом использовании (TOFU).

    Поскольку при проверке подлинности с помощью сертификатов для передачи привязок открытого ключа используются сертификаты, клиенты всегда могут пройти проверку подлинности, даже если они впервые подключаются к хосту. Предупреждения TOFU исчезают.

    Проверка подлинности с помощью сертификата также предлагает удобное место для входа в SSH с пользовательской проверкой подлинности: при выдаче сертификата. Это можно использовать для дальнейшего повышения удобства использования SSH. В частности, он позволяет расширить единый вход (SSO) до SSH. SSO для SSH — самый большой трюк аутентификации на вечеринках. Позже мы вернемся к этой идее и посмотрим, как она еще больше повысит удобство использования и безопасность. А пока давайте перейдем к удобству использования.

    Аутентификация по сертификату повышает удобство работы

    Отказ от утверждения и распространения ключей дает немедленные операционные преимущества. Вы больше не тратите операционные циклы на выполнение рутинных задач по управлению ключами и исключаете любые текущие расходы, связанные с мониторингом и обслуживанием собственного оборудования для добавления, удаления, синхронизации и аудита файлов статических открытых ключей в вашем парке.

    Возможность выдавать пользовательские сертификаты SSH с помощью различных механизмов проверки подлинности также упрощает автоматизацию работы. Если заданию или сценарию cron требуется доступ по SSH, он может автоматически получить эфемерный сертификат SSH, когда это необходимо, вместо того, чтобы предварительно предоставлять долгоживущий статический закрытый ключ.

    Аутентификация с открытым ключом SSH вводит некоторые странные операционные ограничения вокруг имен хостов, которые устраняет аутентификация сертификата. Как мы видели, когда клиент SSH подключается к хосту в первый раз, он отображает пользователю предупреждение TOFU. Когда пользователь набирает «да», открытый ключ хоста добавляется локально в ~/.ssh/known_hosts. Эта привязка между именем хоста и определенным открытым ключом является постоянной. Если позже хост предоставит другой открытый ключ, пользователь получит еще более страшное сообщение об ошибке сбой проверки ключа хоста, которое выглядит следующим образом:

    Игнорирование ошибок проверки ключа хоста имеет ту же самую область атаки, что и полное отсутствие ключа. Любопытно, что OpenSSH выбирает программный сбой с запросом, который легко обойти, когда ключ неизвестен (TOFU), и жесткий сбой с гораздо более страшной и трудной для обхода ошибкой, когда есть несоответствие.

    В любом случае сертификаты исправляют все это, поскольку текущая привязка имени к открытому ключу передается при установлении соединения. Изменение открытого ключа хоста допустимо, если хост также получает новый сертификат. Вы можете безопасно повторно использовать имена хостов и даже запускать несколько хостов с одним и тем же именем. Вы больше никогда не увидите ошибку проверки ключа хоста. Помимо повторного использования имен, мы скоро увидим, что устранение сбоев при проверке ключа хоста — это один из многих способов проверки подлинности сертификата, способствующих надлежащей гигиене безопасности.

    Аутентификация по сертификату повышает безопасность

    Несмотря на то, что протокол SSH сам по себе является безопасным, аутентификация с открытым ключом поощряет множество неверных методов обеспечения безопасности и затрудняет достижение надлежащей гигиены безопасности.

    При аутентификации с открытым ключом ключи являются надежными на постоянной основе. Скомпрометированный закрытый ключ или незаконная привязка ключа могут оставаться незамеченными или не сообщаться в течение длительного времени. Недосмотр управления ключами (например, забыв удалить открытые ключи бывшего сотрудника с хостов) приводит к сбою открытия SSH: несанкционированный доступ без конца.

    С другой стороны, срок действия сертификатов истекает. В случае инцидента — ошибки, кражи, неправомерного использования или кражи ключа в любой форме — срок действия скомпрометированных учетных данных SSH автоматически истечет без вмешательства, даже если инцидент останется незамеченным или о нем не сообщат. Сертификаты SSH отказоустойчивы. Срок действия доступа истекает естественным образом, если не предпринимается никаких действий для его продления. А когда пользователи и хосты SSH периодически проверяют ваш ЦС, чтобы обновить свои учетные данные, в качестве побочного продукта создается полная запись аудита.

    Мы уже видели, как аутентификация с открытым ключом приучает пользователей игнорировать серьезные предупреждения безопасности (TOFU) и вызывает ложные ошибки безопасности. Это больше, чем операционная неприятность. Путаница, вызванная сбоем проверки ключа хоста, препятствует изменению ключей хоста (т. е. замене пары ключей хоста). Закрытые ключи хоста не очень хорошо защищены, поэтому периодическая смена ключей является хорошей практикой. Изменение ключа может потребоваться после взлома или отключения пользователя. Но, чтобы избежать сбоев из-за последующих сбоев проверки ключа хоста, это часто не делается. Аутентификация сертификата упрощает смену ключей хостов.

    Аутентификация с открытым ключом также затрудняет смену ключей для пользователей. Утверждение и распространение ключей настолько раздражают, что пользователи не хотят менять ключи, даже если вы создали инструменты, позволяющие это сделать. Хуже того, разочарованные пользователи копируют закрытые ключи и повторно используют их на разных устройствах, часто в течение многих лет. Повторное использование ключа является серьезным нарушением безопасности. Закрытые ключи никогда не должны передаваться по сети. Но аутентификация с открытым ключом SSH предоставляет пользователям прямой доступ к конфиденциальным закрытым ключам, но не дает им полезных инструментов для управления ключами. Это рецепт неправильного использования и злоупотреблений.

    ЦС SSH в сочетании с простым клиентом командной строки для пользователей может упростить создание ключей и оградить пользователей от множества ненужных деталей. Аутентификация с помощью сертификата не может полностью устранить все риски безопасности, но упрощает рабочие процессы SSH, которые становятся более интуитивно понятными, простыми в использовании и менее опасными для злоупотреблений.

    Идеальный поток SSH

    Аутентификация по сертификату SSH — это основа того, что я считаю идеальным потоком SSH.

    Для SSH пользователи сначала запускают команду входа в свой терминал (например, step ssh login ):

    Открывается браузер, и у поставщика удостоверений вашей организации инициируется поток единого входа:

    Поток единого входа через Интернет позволяет легко использовать надежные MFA (например, FIDO U2F) и любые другие расширенные возможности аутентификации, предлагаемые вашим поставщиком удостоверений. Пользователи входят в систему привычным образом, а удаление пользователя из вашего канонического поставщика удостоверений обеспечивает быстрое прекращение доступа по SSH.

    После того как пользователь выполняет SSO, токен-носитель (например, идентификационный токен OIDC) возвращается утилите входа в систему. Утилита создает новую пару ключей и запрашивает у ЦС подписанный сертификат, используя токен носителя для проверки подлинности и авторизации запроса сертификата.

    ЦС возвращает сертификат со сроком действия, достаточным для рабочего дня (например, 16–20 часов). Утилита входа автоматически добавляет подписанный сертификат и соответствующий закрытый ключ в ssh-agent пользователя.

    Пользователям не обязательно знать об этих деталях. Все, что им нужно знать, это то, что для использования SSH они должны сначала выполнить шаг ssh login. После этого они могут использовать SSH как обычно:

    Новые закрытые ключи и сертификаты генерируются автоматически каждый раз, когда пользователь входит в систему, и никогда не касаются диска. Вставка непосредственно в ssh-agent изолирует пользователей от конфиденциальных учетных данных. Если пользователь хочет подключиться с другого устройства, ему будет проще запустить там пошаговый вход по ssh, чем извлекать ключи из ssh-agent и использовать их повторно.

    Существует множество возможных вариаций этого потока. Вы можете настроить срок действия сертификата, использовать проверку подлинности PAM в ЦС вместо единого входа, сгенерировать закрытый ключ на смарт-карте или доверенном платформенном модуле, отказаться от использования ssh-agent или переместить MFA на фактическое соединение SSH. Лично я считаю, что эта комбинация обеспечивает наилучший баланс безопасности и удобства использования. Действительно, по сравнению с большинством существующих развертываний SSH он проще, безопаснее и удобнее в использовании.

    Критики аутентификации с помощью сертификатов SSH говорят, что это новая технология, которая плохо поддерживается, а инструментов для практического использования сертификатов не существует. Правда в том, что аутентификация по сертификату была добавлена ​​в OpenSSH 5.4 почти десять лет назад. Он проверен в бою и используется в производстве массовыми операциями. И инструменты, необходимые для создания этого идеального потока SSH, доступны уже сегодня.

    Инструменты

    Существует множество инструментов для управления сертификатами SSH. Вот некоторые из них:

    • ssh-keygen может генерировать корневые сертификаты и подписывать сертификаты пользователей и хостов. Это ЦС SSH от Netflix, который работает в AWS Lambda и использует IAM. ЦС SSH от Intercom позволяет использовать сертификаты для авторизации использования sudo. Имеет механизм секретов SSH

    С нашей стороны, в последнем выпуске step и step-ca (v0.12.0) добавлена ​​базовая поддержка сертификатов SSH. Другими словами:

      теперь является ЦС SSH (в дополнение к ЦС X.509), что упрощает пользователям и хостам получение сертификатов от step-ca

    Рабочие процессы SSH еще не доработаны до конца, но эти инструменты уже делают все необходимое для идеального процесса.

    При соответствующей настройке step-ca вы можете использовать step для:

    Автоматически получать сертификат хоста при запуске

    Для демонстрации создадим новый экземпляр EC2 с помощью инструмента aws CLI. Интересные моменты спрятаны в некоторой упрощенной конфигурации (использующей сценарий запуска с пользовательскими данными), которая получает сертификат хоста и включает проверку подлинности сертификата для пользователей:

    Примечание. Здесь вы сможете использовать нашу поддержку документов, удостоверяющих личность экземпляра, но у нас есть несколько особенностей, которые необходимо устранить. Оставайтесь с нами.

    Получение сертификата пользователя с помощью системы единого входа (OAuth OIDC)

    Теперь мы воспользуемся локальным сертификатом step ssh (вы можете заварить шаг install ), чтобы сгенерировать новую пару ключей, получить сертификат от ЦС с помощью SSO и автоматически добавить сертификат и закрытый ключ в ssh-agent .

    Звучит много, но это всего лишь одна команда:

    После этого мы можем подключиться к только что созданному экземпляру по SSH, используя аутентификацию по сертификату, без TOFU!

    Для получения дополнительной информации ознакомьтесь с нашим руководством по началу работы и репозиторием с примерами SSH. Убедитесь, что вы передаете флаг --ssh на шаг ca init при настройке ЦС (в руководстве по началу работы этого не делается).

    Можно сделать гораздо больше, чтобы сделать аутентификацию по сертификату SSH еще более удобной. Мы работаем над этим. Если у вас есть идеи, дайте нам знать!

    Использовать сертификаты SSH

    Аутентификация с помощью сертификата SSH значительно улучшает SSH. Он устраняет ложные предупреждения TOFU и ошибки проверки ключа хоста. Он позволяет отказаться от сложных процессов утверждения и распространения ключей и расширить SSO до SSH. Это делает возможным изменение ключей для хостов и проще, чем повторное использование ключей для пользователей. Это делает ключи SSH эфемерными, что делает управление ключами небезопасным.

    Вы можете развернуть ЦС SSH и перенастроить хосты за считанные минуты. Переходить легко — вы можете продолжать поддерживать аутентификацию с открытым ключом в то же время.

    Аутентификация с помощью сертификата SSH — это правильный способ использования SSH.

    В smallstep мы с нетерпением ждем возможности улучшить нашу историю SSH. Мы создаем инфраструктуру и оптимизируем рабочие процессы, чтобы сделать SSH лучше для всех. И следите за нашим блогом, потому что нам есть что рассказать о SSH!

    Читайте также: