SSH3: HTTP/3 ve QUIC kullanan SSHv2

 (github.com/francoismichel)
4 puan yazan GN⁺ 2023-12-17 | 1 yorum | WhatsApp'ta paylaş

HTTP/3 kullanan daha hızlı ve daha zengin bir güvenli kabuk: SSH3

  • SSH3 genel bakış: SSH3, SSH protokolünü baştan aşağı yeniden ele alarak anlamını HTTP mekanizmaları üzerine eşliyor. SSH3, güvenli kanal kurulumu için QUIC+TLS1.3 kullanıyor ve kullanıcı kimlik doğrulaması için HTTP kimlik doğrulama mekanizmalarından yararlanıyor.

SSH3 daha hızlı

  • Oturum kurulum hızı: SSH3, SSHv2'ye kıyasla oturum kurulumunda çok daha hızlı. SSHv2 5~7 ağ gidiş-dönüş süresi gerektirirken, SSH3 yalnızca 3 gidiş-dönüş süresi gerektiriyor.

SSH3 güvenli

  • Güvenlik mekanizmaları: SSH3, TLS 1.3, QUIC ve HTTP gibi güçlü ve uzun süredir doğrulanmış mekanizmalara dayanıyor. Bu protokoller, internette güvenliğin kritik olduğu uygulamalarda zaten yaygın olarak kullanılıyor.

Herkese açık SSH3 sunucuları gizlenebilir

  • Sunucu gizleme: SSH3 sunucuları gizli bir bağlantının arkasına saklanabiliyor ve yalnızca belirli bir bağlantıya HTTP isteği gönderen kimlik doğrulama girişimlerine yanıt veriyor. Bu sayede SSH3 sunucuları internet kullanıcıları açısından görünmez hale getirilebiliyor.

SSH3 şimdiden zengin özelliklere sahip

  • Yeni özellikler: UDP port yönlendirme, X.509 sertifikaları kullanımı, sunucu gizleme ve anahtarsız kullanıcı kimlik doğrulaması (OpenID Connect) mümkün.
  • OpenSSH özelliklerinin uygulanması: ~/.ssh/authorized_keys ayrıştırma, ~/.ssh/config ayrıştırma, sertifika tabanlı sunucu kimlik doğrulaması, known_hosts mekanizması, ssh-agent otomatik kullanımı, SSH agent forwarding, TCP port yönlendirme gibi OpenSSH'nin popüler özellikleri uygulanmış durumda.

SSH3 kurulumu

  • Kaynak koddan derleme: En güncel Golang sürümü gerekiyor; kaynak kodu indirip ikili dosyaları derleme adımlarını içeriyor.
  • SSH3 sunucusu dağıtımı: SSH3 sunucusunun bir host'a dağıtılması gerekiyor; X.509 sertifikası ve özel anahtar gerekli. ssh3-server çalıştırılabilir dosyasının kullanım şekli sunuluyor.
  • SSH3 istemcisini kullanma: SSH3 sunucusu çalıştıktan sonra, SSH3 istemcisi kullanılarak bağlantı kurulabiliyor. ssh3 çalıştırılabilir dosyasının kullanım şekli sunuluyor.

GN⁺ görüşü

  • Önemi: SSH3, mevcut SSH protokolüne kıyasla daha hızlı oturum kurulumu ve daha güçlü güvenlik sunuyor. Özellikle HTTP/3 tabanlı yeni kimlik doğrulama yöntemi ve sunucu gizleme özelliği, güvenlik açısından büyük avantaj sağlıyor.
  • İlgi çekici yönü: Mevcut SSH kullanıcıları için OpenSSH'nin popüler özelliklerini aynen kullanabilmek cazip. Ayrıca UDP port yönlendirme gibi yeni özellikler, ağ yöneticileri ve kullanıcılar için yeni imkanlar sunuyor.
  • Eğlenceli tarafı: SSH3'ün deneysel yapısı ve yeni özellikleri, BT profesyonellerine yeni araçları keşfetme ve deneme keyfi sunuyor. OpenID Connect üzerinden anahtarsız kimlik doğrulama yöntemi, kullanıcı deneyimini kökten değiştirme potansiyeline sahip.

İlgili okumalar

1 yorum

 
GN⁺ 2023-12-17
Hacker News yorumları
  • QUIC üzerinden SSH hakkındaki görüşler çeşitlilik gösteriyor:
    • Bir kullanıcı, QUIC üzerinden SSH'nin oldukça mantıklı olduğunu düşünüyor ve TCP yerine UDP üzerindeki QUIC kanalının kullanılmasına olumlu bakıyor. Ancak HTTP/3'ün buraya nasıl uyduğunu, yoksa sadece ek yük mü getirdiğini sorguluyor.
    • Başka bir kullanıcı, HTTP ile SSH'nin güvenlik modellerinin farklı olduğuna dikkat çekiyor; QUIC'in HTTP için uygun olduğunu, ancak SSH için bundan emin olmadığını belirtiyor. Ayrıca x509 sertifikaları veya OAuth gibi teknolojilerin SSH için uygun olmayabileceği yönünde endişe dile getiriyor.
    • Bir diğer kullanıcı, HTTP/3 eklemenin SSH sunucusunu URL yolu arkasına "gizlemek" dışında bir avantaj sağlamadığını düşünüyor ve mevcut SSH host key'leri, SSHFP ve TOFU'nun daha güvenli olduğunu savunuyor.
    • Bir kullanıcı, bu projenin OpenSSH ya da IETF'nin SSH3 RFC'siyle ilişkili olmayan kişisel bir proje olduğunu belirtiyor.
    • SSH protokolünün 3. sürümüne dair beklentilerden söz eden kullanıcılar da var; şifrelenmiş SNI veya standartlaştırılmış metadata bloklarına ihtiyaç olduğunu savunuyorlar.
    • WebSocket üzerinden SSH kullanma deneyimini paylaşan ve farklı taşıma yöntemlerinin desteklenmesine ilgi gösteren kullanıcılar da bulunuyor.
    • Bazı kullanıcılar, QUIC'in potansiyel avantajlarını gösteren benchmark'ların eksik olduğuna dikkat çekiyor ve OpenSSH'nin sabit pencere boyutunun bant genişliğini sınırladığını belirtiyor.
    • SSHv2 over HTTP/3 açıklamasıyla birlikte, çeşitli SSH sunucuları ve istemcileri bulunduğunu ve bu projenin yeni bir şifreleme yöntemi getirmediğini açıklayan bir kullanıcı da var. Bu kullanıcı ayrıca projenin başarılı olmasını umduğunu ve OpenSSH'nin değişime karşı direncini eleştiriyor.
    • WebSocket protokolü üzerinden UDP veya TCP tünelleme hakkında bilgi paylaşan kullanıcılar da var.
    • Bir kullanıcı, HTTP/3 üzerinden kurulan SSH bağlantısının standart web sitesi trafiği gibi görünebileceğini ve bunun Çin'in güvenlik duvarını aşma ihtimali sunabileceğini belirtiyor.

Bu çeşitli görüşler, QUIC üzerinden SSH kavramı etrafında ilgi çekici bir tartışma sunuyor; teknik artı ve eksiler ile güvenlik açısından değerlendirilmesi gereken noktaları ele alıyor.