Secure Shell-protokollen (SSH) er en sikkerhed i en usikker netværk til fjerntliggende login og andre sikre netværkstjenester aftale. Secure Shell, men også registreres som SSH, oprindeligt et program på UNIX-systemer, og senere hurtige ekspansion til andre operativsystemer. SSH er en god ansøgning, når de anvendes korrekt, kan det gøre op for net-sårbarheder.
SSH har tre hovedkomponenter:
Transport Layer protokol [SSH-TRANS] indeholder server authentication, fortrolighed og integritet. Desuden er det undertiden også komprimering. SSH-TRANS er normalt kører på TCP / IP-forbindelse kan også bruges til andre pålidelige data stream. SSH-TRANS giver stærk kryptering, password autentificering og vært integritet beskyttelse. Værten-baseret authentication protocol og protokollen udfører ikke brugergodkendelse. Højere brugergodkendelse protokol kan udformes i aftalerne.
Bruger Authentication Protocol [SSH-USERAUTH] for klienten til serveren for at give brugergodkendelse funktion. Det kører på toppen af transport protokoller SSH-TRANS. Når SSH-USERAUTH begyndte, hvor den har modtaget fra den nederste protokol session-ID (fra den første nøgleudveksling i udvekslingen hash H). Session identifikator identificerer denne session og anvende tags at bevise ejerskabet af den private nøgle. SSH-USERAUTH også nødt til at vide, om lav-niveau-protokoller giver fortrolighed beskyttelse.
Connection protokol [SSH-CONNECT] vil blive krypteret tunnel i flere logiske kanaler. Det kører i brugergodkendelse protokollen. Det giver interaktiv login, så vejen, fjernbetjening kommandoer, og sender TCP / IP-forbindelser og videresendelse X11 forbindelser.
Ved at bruge SSH, kan du kryptere alle indberettede data, en sådan "mellemmand" Dette angreb kan ikke nås, men også for at forhindre IP DNS bedrag og bedrag. Brug af SSH, der er en ekstra fordel er, at transmission af data er komprimeret, så det kan fremskynde overførselshastighed. SSH har mange funktioner, kan den erstatte Telnet, og det kan også FTP, Pop, at selv for PPP giver en sikker "kanal".
Mange tilfælde giver en Telnet service, fordi serveren forårsaget. Ja, for UNIX-systemer, hvis du ønsker at fjernstyre styre det, vil ønske at bruge en ekstern terminal, og at bruge fjernbetjeningen terminaler, naturligt at starte Telnet service på serveren. Men Telnet service har en fatal svaghed - det er sendt i klar tekst brugernavn og adgangskode, så det er let at stjæle passwords, som mennesker med bagtanker. På nuværende tidspunkt til en effektiv service erstatte Telnet SSH service er et nyttigt redskab. SSH-klient og server-side kommunikation, er brugernavn og password krypteret, effektivt forhindre aflytning af passwords. Fremkomsten af SSH fjernbetjeningen mere sikker.
SSH Trods ovennævnte fordele, men stadig ville være hackere, og derefter taler om hvordan man kan forhindre følgende SSH angreb:
1, den grundlæggende konfiguration:
Der er ikke autentificering, password authentication, brugernavn og password authentication metode III, den foreslåede brugernavn og password baseret godkendelse. Hvis du tager hensyn til den enhed af alle netudstyr certificering, kan du bruge den samme radius server til godkendelse. Som følger:
Tilladelse til at overholde et niveau på telnet brugere:
lokale bruger test
adgangskode cipher 3M] * QF / H] KL `K & @ YU8 4)!
service-type telnet niveau 0
I tty 0 4 interface, så bruger og password authentication:
bruger-interface vty 0 4
autentificering-mode ordning
2, under hensyntagen til sikkerheden, kan du godkende brugerens tilladelse er sat til niveau 0 til besøg. Så brug den super kommandoen til privilegium optrapning, overvejer brugernavn, password, super adgangskode, kan det siges om hacker, der er nedsat tre linjer til forsvar. Som følger:
super password niveau 3 cipher / C] JIDTXNUC8BT :.'_^ U $ A!
3, kan indstilles i tty interface, acl, kun at tillade nogle ip fjernbetjening telnet, for det fjerde linje i forsvaret, som følger:
En IP-baserede kilder acl:
acl nummer 2000
Reglen 0 tillade kilde 192.168.1.0 0.0.0.255
Vil blive anvendt til vty 0 4 acl de indgående retning:
bruger-interface vty 0 4
acl 2000 indgående
4, kombineret med tidligere erfaringer, har ofte ssh angreb på net-udstyr, selv om udstyr, der ikke vil resultere i invasionen, men vil tage op cpu og hukommelse og andre ressourcer, kan ikke tillade ssh tty interface, Packet Access, er den femte linje i forsvaret, de specifikke som følger:
I vty 0 4 telnet interface giver brugeren adgang til:
bruger-interface vty 0 4
protokol indgående telnet
SSH service virkelig kan gøre god brug af fjernbetjeningen til at forbedre sikkerheden, forhindre password tyveri.