12장. OpenSSH

전송 계층의 주요 역할은 인증 시점과 후속 통신 중에 두 호스트 간의 안전하고 안전한 통신을 용이하게 하는 것입니다. 전송 계층은 데이터의 암호화 및 암호 해독을 처리하고 전송 및 수신 시 데이터 패킷의 무결성 보호 기능을 제공하여 이를 수행합니다. 전송 계층은 또한 압축을 제공하여 정보 전송 속도를 높입니다.

SSH 클라이언트가 서버에 접속하면 두 시스템이 전송 계층을 올바르게 구성할 수 있도록 키 정보가 교환됩니다. 이 교환 중에 다음 단계가 수행됩니다.

키 교환 중에 서버는 고유한 호스트 키가 있는 클라이언트 자체를 식별합니다. 클라이언트가 이전에 이 특정 서버와 통신하지 않은 경우 서버의 호스트 키는 클라이언트에 알 수 없으며 연결되지 않습니다. OpenSSH는 서버의 호스트 키를 수락하여 이 문제를 해결합니다. 이는 사용자에게 알림을 받은 후 수행되며 새 호스트 키를 승인하고 검증했습니다. 후속 연결에서 서버의 호스트 키가 클라이언트의 저장된 버전과 비교하여 클라이언트가 실제로 의도된 서버와 통신한다는 확신을 제공합니다. 나중에 호스트 키가 더 이상 일치하지 않으면 연결이 이루어지기 전에 사용자가 클라이언트의 저장된 버전을 제거해야 합니다.

SSH는 거의 모든 종류의 공개 키 알고리즘 또는 인코딩 형식으로 작동하도록 설계되었습니다. 초기 키 교환이 교환 및 공유 비밀 값에 사용되는 해시 값을 생성한 후 두 시스템은 연결을 통해 전송된 인증 및 향후 데이터를 보호하기 위해 새 키와 알고리즘을 즉시 계산하기 시작합니다.

지정된 키와 알고리즘을 사용하여 특정 양의 데이터를 전송한 후( 정확하게는 SSH 구현에 따라 다름) 다른 키 교환이 발생하고 다른 해시 값 세트와 새 공유 시크릿 값을 생성합니다. 공격자가 해시 및 공유 비밀 값을 결정할 수 있더라도 이 정보는 제한된 기간 동안만 유용합니다.

전송 계층에서 두 시스템 간에 정보를 전달하도록 보안 터널을 구성하면 서버는 개인 키 인코딩 서명을 사용하거나 암호 입력과 같은 다양한 인증 방법을 클라이언트에 알립니다. 그런 다음 클라이언트는 지원되는 방법 중 하나를 사용하여 서버에 자신을 인증하려고 합니다.

SSH 서버와 클라이언트는 다양한 유형의 인증을 허용하도록 구성할 수 있으므로 각 측에서 최적의 제어 용량을 제공합니다. 서버는 보안 모델에 따라 지원되는 암호화 방법을 결정할 수 있으며 클라이언트는 사용 가능한 옵션에서 시도할 인증 방법 순서를 선택할 수 있습니다.

SSH 전송 계층을 성공적으로 인증한 후 멀티플렉싱이라는 기술을 통해 여러 채널을 열 수 있습니다.^[1]. 이러한 각 채널은 서로 다른 터미널 세션에 대한 통신과 전달된 X11 세션의 통신을 처리합니다.

클라이언트와 서버 모두 새 채널을 생성할 수 있습니다. 그런 다음 각 채널에 연결 끝에 다른 번호가 할당됩니다. 클라이언트가 새 채널을 열려고 하면 클라이언트는 요청과 함께 채널 번호를 보냅니다. 이러한 정보는 서버에 의해 저장되고, 그 채널로 통신할 때 사용됩니다. 이는 다른 유형의 세션이 서로 영향을 미치지 않도록 하기 때문에 지정된 세션이 종료될 때 기본 SSH 연결을 중단하지 않고 채널을 닫을 수 있습니다.

채널은 또한 흐름 제어 기능을 지원하므로 데이터를 순서대로 전송하고 받을 수 있습니다. 이러한 방식으로 클라이언트는 채널이 열려 있는 메시지를 수신할 때까지 데이터를 채널을 통해 전송되지 않습니다.

클라이언트 및 서버는 클라이언트가 요청하는 서비스 유형과 사용자가 네트워크에 연결된 방식에 따라 각 채널의 특성을 자동으로 협상합니다. 따라서 프로토콜의 기본 인프라를 변경하지 않고도 다양한 유형의 원격 연결을 유연하게 처리할 수 있습니다.