Secure Shell-Protokoll (SSH) ist eine Sicherheit in einer unsicheren Netzwerk remote login und anderen sicheren Netzwerk-Services-Vereinbarung. Secure Shell, sondern auch als SSH aufgezeichnet, ursprünglich ein Programm auf UNIX-Systemen und später rasche Ausbreitung auf andere Betriebssystem-Plattformen. SSH ist eine gute Anwendung, wenn sie richtig, so kann die Löcher im Netz zu füllen verwendet.
SSH besteht aus drei Hauptkomponenten:
Transport-Layer-Protokoll [SSH-TRANS] bietet Server-Authentifizierung, Vertraulichkeit und Integrität. Darüber hinaus ist es manchmal auch Kompression. SSH-TRANS ist in der Regel über TCP / IP-Verbindung ausgeführt werden kann auch für andere zuverlässige Datenstrom verwendet werden. SSH-TRANS bietet starke Verschlüsselung, Passwort-Authentifizierung und Integrität des Host-Schutz. Die host-basierte Authentifizierungs-Protokoll und das Protokoll führt keine Benutzerauthentifizierung. Höhere Benutzer-Authentifizierung-Protokoll kann in den Vereinbarungen gestaltet werden.
User Authentication Protocol [SSH-USERAUTH] für den Client auf den Server zu liefern Benutzerauthentifizierung Funktion. Es läuft auf der Transport-Protokolle SSH-TRANS. Wenn der SSH-USERAUTH begann, wo sie von den unteren Protokoll Session-Identifier (ab dem ersten Schlüssel-Austausch in der Exchange-Hash-H). Session-ID eindeutig identifiziert diese Sitzung und anwenden Tags mit dem Eigentum an den privaten Schlüssel zu beweisen. SSH-USERAUTH müssen auch wissen, ob Low-Level-Protokolle Vertraulichkeit Schutz zu bieten.
Verbindungsprotokoll [SSH-connect] wird Tunnels in mehrere logische Kanäle verschlüsselt werden. Es läuft in der Benutzer-Authentifizierung-Protokoll. Es bietet eine interaktive Login, dann die Straße, Remote-Ausführung von Befehlen, die Weiterleitung von TCP / IP-Verbindungen und Weiterleitung X11-Verbindungen.
Mit SSH können Sie alle Daten verschlüsselt übertragen, wie ein "Mittelsmann" Dieser Angriff kann nicht erreicht werden, sondern auch auf IP DNS Täuschung und Betrug zu verhindern. Verwendung von SSH, es ist ein zusätzlicher Vorteil ist, dass die Übermittlung von Daten komprimiert ist, so kann die Übertragungsgeschwindigkeit beschleunigen. SSH hat viele Funktionen, kann es zu ersetzen Telnet, und es kann auch FTP, POP, auch für die PPP zu einer sicheren "Kanal bieten."
Viele Fälle bietet eine Telnet-Dienst, weil der Server verursacht. In der Tat, für UNIX-Systeme, wenn Sie remote verwalten es, wollen zu einem Remote-Terminal benutzen, und mit der Remote-Terminals, natürlichen verwenden, um den Telnet-Dienst auf dem Server zu starten. Aber den Telnet-Dienst hat eine fatale Schwäche - es ist im Klartext Benutzernamen und ein Passwort übermittelt, so dass es leicht zu Passwörter von Menschen mit Hintergedanken stehlen. Zurzeit auf einen wirksamen Dienst ersetzen Telnet SSH-Dienst ist ein nützliches Werkzeug. SSH Client-und Server-Side-Kommunikation, den Benutzernamen und das Passwort verschlüsselt, wirksam zu verhindern Abhören von Passwörtern. Die Entstehung des SSH-Fernbedienung mehr sicher.
SSH Trotz der oben beschriebenen Vorteile, aber trotzdem würde Hacker sein, und dann darüber reden, wie die folgenden SSH-Attacken zu verhindern:
1, der Grundkonfiguration:
Es ist nicht die Authentifizierung, Passwort-Authentifizierung, die Benutzernamen und Kennwort-Authentifizierung Methode III, die vorgeschlagene Benutzer und Passwort basierte Authentisierung. Wenn Sie berücksichtigt die Einheit aller Netzwerk-Equipment-Zertifizierung zu nehmen, können Sie mit dem gleichen Radius Server zur Authentifizierung. Wie folgt:
Permission zu beobachten, ein Niveau von Telnet-Benutzer:
local-user-Test
Kennwort Chiffre 3M] * QF / H] KL `K & @ YU8 4)!
Service-Level-0-Typ telnet
In der TTY-Schnittstelle 0 4 zu ermöglichen, Benutzer-und Kennwort-Authentifizierung:
User-Interface vty 0 4
Authentifizierung-mode Regelung
2, unter Berücksichtigung der Sicherheit können Sie den Benutzer authentifizieren Erlaubnis Ebene ist die Ebene 0 setzen, um zu besuchen. Dann nutzen Sie die Super-Befehl, um Privilegien, unter Berücksichtigung der Benutzername, Kennwort, Super-Passwort, kann es für den Hacker sagte eingesetzten drei Verteidigungslinien. Wie folgt:
Super-Passwort-Ebene 3 cipher / C] JIDTXNUC8BT :.'_^ U $ A!
3, kann in der TTY-Schnittstelle, ACL, nur festgelegt werden, um einige IP-Remote-Telnet, für die vierte Linie der Verteidigung, wie folgt möglich:
Eine IP-basierten Quellen der ACL:
ACL-Nummer 2000
Regel 0 zulassen Quelle 192.168.1.0 0.0.0.255
Will to vty 0 4 acl die Inbound-Richtung angewendet werden:
User-Interface vty 0 4
acl 2000 inbound
4, mit den Erfahrungen der Vergangenheit kombiniert, haben oft SSH Angriffe auf Netzwerk-Equipment, obwohl Ausrüstung wird nicht an der Invasion Ergebnis, sondern dauert bis CPU und Speicher und andere Ressourcen, können nicht zulassen, ssh TTY-Schnittstelle, Packet Access, ist die fünfte Linie der Verteidigung, die spezifischen wie folgt:
In vty 0 4 Telnet-Interface erlaubt es dem Benutzer Zugang zu:
User-Interface vty 0 4
Telnet-Protokoll
SSH-Dienst kann wirklich gute Nutzung der Fernbedienung, um die Sicherheit zu verbessern, Passwort-Klau zu verhindern.