Sie können damit auf Server und Netzwerkgeräte mittels des Secure-Shell Protokolls zugreifen. ZOC bietet Ihnen alles, was Sie von einem modernen und ausgereiften SSH-Client erwarten.
SSH (Secure Shell) ist ein kryptografisches Netzwerk-Protokoll, das Daten sicher über ein unsicheres Netzwerk überträgt. Wie der Name vermuten lässt, ist der Haupteinsatzzweck, eine sichere Verbindung zu einer Shell auf einem anderen Rechner herzustellen.
Der SSH-Client ist dann die Software, die der Benutzer auf seinem lokalen Rechner ausführt, um sich zu einem Remote-Computer zu verbinden. Nachdem die Verbindung hergestellt ist, ermöglicht der SSH-Client dem Nutzer, Programme und andere Aufgaben auf dem Remote-Rechner auszuführen.
ZOC basiert auf OpenSSH und bietet die aktuellsten Methoden zu Schlüsseltausch und Verschlüsselung an, die vom SSH-Protokoll angeboten werden.
Im Gegensatz zu OpenSSH ist dieser SSH-Client in eine moderne Registerkarten-basierte Anwendung eingebunden, die von einem Adressbuch bis zu professionellen Emulationen und Skripting alles bietet.
Ein besonders kritischer Bereich der verschlüsselten Kommunikation ist die Notwendigkeit, ein beiden Seiten bekanntes Geheimnis (Shared-Secret), die Grundlage jeder Verschlüsselung, über einen öffentlichen Kanal zu transportieren, der bereits kompromitiert sein könnte.
Dieser Austausch finden durch die Diffie-Hellman Methode oder einer Variante davon statt. ZOC unterstützt alle offiziellen Diffie-Hellman Austausch-Methoden, sowie die noch aktuelleren Methoden ecdsa-sha2 und curve25519-sha256.
Authentifizierung beschreibt den Prozess, wenn ein Benutzer der Gegenstelle zeigt und beweist, wer er ist, und der Server dann entscheidet, ob der Benutzer Zugriff erhält oder nicht. Das SSH-Protokoll beschreibt verschiedene Methoden, die für eine derartige Authentifizierung verwendet werden können.
Von diesen Methoden unterstützt ZOC Passwort, Public-Key Austausch und Keyboard-Interactive zur Authentifizierung. Ein Public-Key Austausch existiert in verschiedenen Ausgestaltungen. ZOC versteht RSA, DSA, ECDSA und ED25519 Schlüssel. Eine Hardware (Smart-Cards) basierte Authentifizierung ist ebenfalls möglich.
Über die Zeit haben sich im SSH-Protokoll eine Fülle von Methoden zur Verschlüsselung der Kommunikation (unter Verwendung eines Shared-Secret während der KEY-Phase) angesammelt. Einige Verschlüsselungen sind mit der Zeit wieder verschwunden, speziell nach den Enthüllungen von Edward Snowden, die gezeigt haben, wie leistungsstark die NSA ist, und neue Verfahren wurden eingeführt. ZOC unterstützt die gesamte Liste möglicher Verschlüsselungen, angefangen von aes256-ctr bis hin zu den alten Varianten wie aes256-cbc und arcfour (diese alten Methoden sind notwendig, um eine Verbindung zu älteren Servern herzustellen, die schon seit längerer Zeit keine Updates mehr erfahren haben).
Ein wichtiger Teil des Secure-Shell-Protokolls ist die Funktion der Port-Weiterleitung. Diese Funktionalität erlaubt es dem Anwender, eine Verbindung vom Client-Computer zum Server-Netzwerk herzustellen, die dann auch von anderen Programmen verwendet werden kann, und deren Verbindungsdaten dann ebenfalls verschlüsselt sind. Ein häufiger Begriff für diese Funktion ist Tunnel.
Programme und Protokolle, die keine eigene Datenverschlüsselung besitzen (z.B. FTP oder RSH) können sich mit dem Port eines Tunnels am Clientcomputer verbinden, und der SSH-Client überträgt die Daten dann durch eine verschlüsselte SSH-Verbindung zum gewünschten Ziel (und zurück).
Ein Benutzer kann z.B. eine Port-Weiterleitung (auch SSH-Tunnel genannt) auf dem Client einrichten, der auf Client-Port 5514 hört und allen anfallenden Datenverkehr zu einer Adresse eines älteren Geräte am Remote-Netzwerk sendet, der nur ein unverschlüsseltes RSH-Protokoll unterstützt.
Der Benutzer kann dann den unverschlüsselten RSH-Client verwenden, diesen lokal auf Port 5514 verbinden und wird auf diese Weise über den Secure-Shell-Client zum RSH-Server am Remote-Netzwerk verbunden. Ein normaler RSH-Client kann seine Daten nicht verschüsseln, aber der SSH-Client verschlüsselt die Daten vor dem Versand durch den SSH-Tunnel zum Rechner auf der anderen Seite (und zurück), und erzeugt damit letzlich eine verschlüsselte RSH-Verbindung.
Dieses Problem kann durch eine weitere Fähigkeit von Secure Shell, der dynamischen Port-Weiterleitung, umgangen werden. Bei der dynamischen Port-Weiterleitung richtet der Client einen Anfangs-Port ein (wie bei einer normalen Port-Weiterleitung auch), aber die Software, die sich später mit diesem Port verbindet, kann dem Client mitteilen, welche Gegenstelle und Port als Ziel erreicht werden sollen. Dies funktioniert auf eine ähnliche Weise wie bei SOCKS Proxys.
Der SSH-Client leitet dann die Verbindungsanforderung an den Secure-Shell-Server weiter, der dann die tatsächliche Verbindung zum Zielrechner aufbaut. Auf diese Weise kann der SSH-Client, z.B. für eine FTP-Software, die nicht verschlüsseln kann, einen verschlüsselten Kanal bereitstellen und so Zugriff auf einen entfernten FTP-Server in verschlüsselter Form ermöglichen.
