Protocolo Secure Shell (SSH) es una garantía en una red insegura para proporcionar acceso remoto y otras buscar un acuerdo de servicios de red. Secure Shell, pero también se registran como SSH, originalmente un programa en sistemas UNIX, y luego la rápida expansión de las plataformas de explotación. SSH es una buena aplicación, si se utiliza correctamente, puede compensar las vulnerabilidades de la red.
SSH tiene tres componentes principales:
Capa de protocolo de transporte [SSH-TRANS] proporciona la autenticación del servidor, la confidencialidad y la integridad. Además, a veces es también proporciona compresión. SSH-TRANS es que generalmente se ejecuta en TCP / IP también se puede utilizar para la corriente de otros datos fiables. SSH-TRANS proporciona una fuerte encriptación, autenticación de contraseña y la protección de la integridad del host. El protocolo de autenticación basado en host y el protocolo no realiza autenticación de usuarios. Mayor nivel de protocolo de autenticación de usuarios se pueden diseñar en los acuerdos.
Protocolo de autenticación de usuario [SSH-USERAUTH] para el cliente al servidor para proporcionar una función de autenticación de usuarios. Se ejecuta en la parte superior de los protocolos de transporte de SSH-TRANS. Cuando el SSH-USERAUTH, dónde se recibe del identificador de protocolo de sesión más baja (desde el primer intercambio clave en el intercambio de hash H). identificador de sesión identifica de forma única este período de sesiones y aplicar etiquetas para probar la propiedad de la clave privada. SSH-USERAUTH también necesitan saber si los protocolos de bajo nivel proporcionan protección de la confidencialidad.
Conexión protocolo] [SSH-CONNECT se cifrará túnel en varios canales lógicos. Se ejecuta en el protocolo de autenticación de usuario. Proporciona entrada interactiva, a continuación, por carretera, la ejecución remota de comandos, transferencia de las conexiones TCP / IP y conexiones de reenvío X11.
Mediante el uso de SSH, puede cifrar todos los datos transmitidos, como un "intermediario" Este ataque no puede ser alcanzado, sino también para evitar el engaño IP DNS y el engaño. El uso de SSH, hay un beneficio adicional es que la transmisión de los datos se comprimen, por lo que puede acelerar la velocidad de transmisión. SSH tiene muchas funciones, ya que puede reemplazar Telnet, y también puede FTP, POP, incluso para el PPP para proporcionar un entorno seguro "canal".
Muchos de los casos ofrece un servicio de Telnet causado porque el servidor. De hecho, para los sistemas UNIX, si usted quiere manejarlo de forma remota, tendrá que usar una terminal remota, y utilizar los terminales remotos, natural para iniciar el servicio Telnet en el servidor. Pero el servicio Telnet tiene una debilidad fatal - que se transmite en el nombre de usuario de texto claro y contraseña, así que es fácil para robar contraseñas de las personas con motivos ulteriores. En la actualidad, un servicio eficaz para reemplazar a Telnet servicio SSH es una herramienta útil. cliente SSH y comunicaciones del lado del servidor, el nombre de usuario y contraseña se cifran, efectivamente evitar la interceptación de contraseñas. La aparición del control remoto SSH más seguro.
SSH pesar de las ventajas anteriores, pero aún así sería hackers, y luego hablar de cómo prevenir los ataques SSH siguientes:
1, la configuración básica:
No es la autenticación, la autenticación de contraseña, el nombre de usuario y contraseña de autenticación método III, el potencial usuario y contraseña de autenticación basados en. Si usted toma en cuenta la unidad de toda la certificación equipos de red, puede utilizar el mismo servidor RADIUS para la autenticación. En la siguiente manera:
La autorización para hacer respetar un nivel de usuarios de telnet:
locales-usuario de prueba
contraseña de cifrado 3M] * QF / H] »KL @ K & YU8 4)!
telnet servicio de tipo de nivel 0
En el tty 0 4 interfaz para permitir al usuario y la autenticación de contraseña:
interfaz de usuario vty 0 4
autenticación en modo esquema
2, teniendo en cuenta la seguridad, puede autenticar el usuario del nivel permiso se establece en el nivel 0 de visita. A continuación, utilice el comando estupenda a una escalada de privilegios, teniendo en cuenta el nombre de usuario, contraseña, contraseña super, se puede decir que el pirata informático establecido tres líneas de defensa. En la siguiente manera:
nivel de contraseña cifrado Super 3 / C] JIDTXNUC8BT :.'_^ U $ A!
3, se puede establecer en la interfaz de tty, acl, sólo para permitir que algunos telnet IP remota, para la cuarta línea de defensa, de la siguiente manera:
A ip fuentes del ligamento cruzado anterior:
acl número 2000
regla de permiso de fuente 0 192.168.1.0 0.0.0.255
Se aplicará a vty 0 4 acl la dirección entrante:
interfaz de usuario vty 0 4
acl 2000 entrantes
4, en combinación con las experiencias anteriores, suelen tener ataques ssh en equipos de red, aunque los equipos no dará lugar a la invasión, pero se ocupará de la CPU y la memoria y otros recursos, no podemos permitir que la interfaz tty ssh, el acceso de paquetes, es la quinta línea de defensa, la específica de la siguiente manera:
En la interfaz telnet vty 0 4 que le permite acceder a:
interfaz de usuario vty 0 4
protocolo de entrada de telnet
servicio SSH puede realmente hacer un buen uso del mando a distancia para mejorar la seguridad, prevenir el robo de contraseña.