Порт 22
Порт 22 — это стандартный транспортный протокольный порт, зарезервированный для службы Secure Shell (SSH), используемой для удалённого управления операционными системами и безопасной передачи данных по незащищённым сетям. Порт 22 является одним из наиболее распространённых портов в администрировании серверов и сетевой инфраструктуре, обеспечивая шифрованное соединение между клиентом и сервером.
История
Протокол SSH был разработан в 1995 году финским исследователем Тату Юлёненом (Tatu Ylönen) как замена незащищённым протоколам удалённого доступа, таким как Telnet (порт 23), rlogin и FTP. Первоначально SSH работал на порту 22, который был зарезервирован для этой цели в Internet Assigned Numbers Authority (IANA). Выбор порта 22 был обусловлен необходимостью выделения уникального номера для новой службы, и с тех пор этот порт стал стандартом де-факто для всех реализаций SSH.
В 1996 году Юлёнен выпустил версию SSH-1, а в 1998 году — SSH-2, которая исправила уязвимости первой версии и внедрила более надёжные алгоритмы шифрования (например, Diffie-Hellman и AES). С 2006 года протокол SSH-2 (RFC 4251–4256) является стандартом IETF, и порт 22 остаётся его основным портом.
Технические характеристики
Порт 22 — это TCP-порт (реже UDP), используемый для установления зашифрованного канала связи. Основные параметры:
- Номер порта: 22 (как TCP, так и UDP, хотя TCP используется чаще).
- Протокол: Secure Shell (SSH), версии 1 и 2 (рекомендуется SSH-2).
- Шифрование: симметричное (AES, ChaCha20, 3DES), асимметричное (RSA, ECDSA, Ed25519) и хэширование (SHA-2).
- Аутентификация: парольная, по ключам (публичный/закрытый ключ), с использованием сертификатов или двухфакторная (например, через TOTP).
- Тип соединения: клиент-серверное, с возможностью туннелирования других протоколов (проброс портов).
Применение
Удалённое администрирование
Основное назначение порта 22 — удалённый доступ к командной оболочке (shell) на сервере или рабочей станции. Администраторы используют SSH для управления серверами, выполнения команд, редактирования конфигурационных файлов и мониторинга системы. Это ключевой инструмент в среде Linux и Unix-подобных операционных систем (включая macOS). В Windows SSH-сервер (OpenSSH) доступен с 2018 года.
Безопасная передача файлов
Через порт 22 работают два протокола передачи файлов:
- SFTP (SSH File Transfer Protocol) — безопасная альтернатива FTP, поддерживающая управление файлами (чтение, запись, удаление, переименование) и возобновление прерванных передач.
- SCP (Secure Copy) — утилита для копирования файлов между хостами, использующая SSH для шифрования.
Туннелирование (проброс портов)
SSH позволяет перенаправлять трафик других протоколов (HTTP, VNC, RDP, SMTP) через зашифрованный туннель. Это используется для:
- Обхода сетевых ограничений (например, доступа к внутренним ресурсам через внешний сервер).
- Шифрования незащищённых протоколов (например, VNC или POP3).
- Создания SOCKS-прокси (динамический проброс портов).
Автоматизация и DevOps
Порт 22 активно используется в системах автоматизации (Ansible, Puppet, Chef, SaltStack) и инструментах CI/CD (Jenkins, GitLab CI, GitHub Actions). Агенты этих систем подключаются к удалённым хостам по SSH для выполнения задач (развёртывание кода, установка пакетов, настройка конфигурации).
Git и версионный контроль
Протокол SSH (порт 22) — один из основных способов аутентификации при работе с удалёнными репозиториями Git (GitHub, GitLab, Bitbucket). Пользователи генерируют пару ключей и добавляют публичный ключ в аккаунт, что позволяет клонировать, пушить и пуллить код без ввода пароля.
Безопасность и риски
Порт 22, будучи открытым в интернете, является одной из наиболее атакуемых целей. Основные угрозы:
- Атаки перебором (Brute-force): автоматизированные скрипты (например, на базе Hydra, Medusa или Ncrack) пытаются подобрать пароль к SSH-серверу.
- Атаки по словарю: использование списков распространённых паролей (rockyou, SecLists).
- Уязвимости протокола: исторически известны уязвимости в SSH-1 (например, возможность внедрения пакетов), а также в старых реализациях (CVE-2018-15473, CVE-2020-15778).
- Несанкционированный доступ: при слабой аутентификации (пароль admin/admin) злоумышленник может получить полный контроль над сервером.
Методы защиты
Для снижения рисков администраторы применяют:
- Аутентификацию по ключам вместо паролей (рекомендуется Ed25519 или RSA 4096 бит).
- Изменение порта: перенос SSH на нестандартный порт (например, 2222) снижает количество автоматических атак, но не защищает от целенаправленных.
- Брандмауэр (iptables, nftables, fail2ban): ограничение IP-адресов, блокировка после нескольких неудачных попыток.
- Двухфакторная аутентификация (2FA): использование Google Authenticator или YubiKey.
- Отключение входа root: запрет прямого входа под суперпользователем (PermitRootLogin no).
- Использование VPN: доступ к порту 22 только через виртуальную частную сеть (WireGuard, OpenVPN).
- Регулярные обновления: установка последних патчей OpenSSH (например, версия 9.8 от 2024 года исправляет критическую уязвимость CVE-2024-6387).
Альтернативные протоколы и порты
Несмотря на доминирование SSH на порту 22, существуют альтернативы:
- Telnet (порт 23): незашифрованный протокол, устарел из-за отсутствия безопасности.
- Rlogin (порт 513): устаревший протокол для Unix-систем.
- Mosh (Mobile Shell): использует UDP-порты (обычно 60000–61000), обеспечивает устойчивость к потере пакетов и смене IP-адреса.
- WebSocket-терминалы: работают через порты 80/443 (например, ttyd, Wetty).
- Проприетарные решения: TeamViewer, AnyDesk, RDP (порт 3389) — для удалённого доступа к графическому интерфейсу.
Правовой статус в России
В Российской Федерации использование порта 22 и протокола SSH не регулируется специальными законами, однако на него распространяются общие нормы:
- Федеральный закон № 152-ФЗ «О персональных данных»: при передаче данных через SSH (например, в корпоративных сетях) требуется обеспечение их шифрования и защиты от несанкционированного доступа.
- Федеральный закон № 242-ФЗ «О связи»: операторы связи и провайдеры обязаны блокировать доступ к ресурсам, внесённым в реестр запрещённых (например, сайты экстремистских организаций). SSH-туннели могут использоваться для обхода блокировок, что является основанием для ограничения доступа к порту 22 со стороны провайдеров.
- Уголовный кодекс РФ: несанкционированный доступ к компьютерной информации (ст. 272 УК РФ) — взлом SSH-сервера или перехват трафика на порту 22 может повлечь уголовную ответственность.
Интересные факты
- Порт 22 часто называют «портом системных администраторов» из-за его критической роли в управлении серверами.
- В 2024 году исследователи безопасности обнаружили уязвимость CVE-2024-6387 в OpenSSH (названную «regreSSHion»), позволявшую удалённое выполнение кода на серверах с версиями 8.5p1–9.7p1. Это привело к массовым обновлениям серверов по всему миру.
- В некоторых корпоративных сетях порт 22 блокируется на граничных маршрутизаторах, чтобы предотвратить утечку данных через SSH-туннели.
- Существует шуточный термин «port knocking» — метод доступа к порту 22 только после отправки последовательности пакетов на другие порты, что усложняет сканирование.
Источники
- IANA Service Name and Transport Protocol Port Number Registry
- RFC 4251–4256 (SSH Protocol Architecture)
- OpenSSH Manual Pages (ssh_config, sshd_config)
- CVE-2024-6387 — National Vulnerability Database (NVD)
- Федеральный закон № 152-ФЗ «О персональных данных» (Российская Федерация)
- Федеральный закон № 242-ФЗ «О связи» (Российская Федерация)
- Уголовный кодекс Российской Федерации, ст. 272
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →