Secure Shell (protocole SSH) est une sécurité dans un réseau non sécurisé de fournir des connexions à distance et d'autres réseaux d'obtenir l'accord des services. Secure Shell, mais également enregistrées comme SSH, à l'origine d'un programme sur les systèmes UNIX, et plus tard l'expansion rapide des plates-formes d'exploitation. SSH est une bonne application, lorsqu'il est utilisé correctement, il peut compenser pour les vulnérabilités du réseau.
SSH a trois composantes principales:
Transports couche de protocole SSH [-TRANS] fournit l'authentification du serveur, la confidentialité et l'intégrité. En outre, il est parfois fournit également la compression. SSH-TRANS est généralement exécuté sur le protocole TCP / IP peut également être utilisé pour d'autres flux de données fiables. SSH-TRANS offre un chiffrement puissant, l'authentification de mot de passe et protection de l'intégrité d'accueil. Le protocole d'authentification basé sur l'hôte et le protocole ne fonctionne pas l'authentification des utilisateurs. Augmentation du niveau de protocole d'authentification utilisateur peut être conçu dans les accords.
User Authentication Protocol [SSH-USERAUTH] pour le client au serveur pour assurer une fonction d'authentification des utilisateurs. Il s'exécute au-dessus des protocoles de transport SSH-TRANS. Lorsque le SSH-USERAUTH a commencé, où il reçoit de l'identifiant de session de protocole inférieure (à partir de la première bourse clé dans le hachage d'échange H). identificateur de session identifie de manière unique cette session et appliquer des balises pour prouver la propriété de la clé privée. SSH-USERAUTH aussi besoin de savoir si les protocoles de bas niveau fournir protection de la confidentialité.
Connexion Protocole] [SSH-CONNECT sera tunnel chiffré en plusieurs canaux logiques. Il fonctionne dans le protocole d'authentification utilisateur. Il offre de connexion interactif, puis la route, l'exécution de commandes à distance, le transfert TCP / IP et la transmission des connexions X11.
En utilisant SSH, vous pouvez crypter toutes les données transmises, comme un intermédiaire "Cette attaque ne peut être atteint, mais aussi pour prévenir IP DNS tromperie et tromperie. L'utilisation de SSH, il ya un avantage supplémentaire est que la transmission de données est compressé, il peut accélérer la vitesse de transmission. SSH a de nombreuses fonctions, il peut remplacer Telnet, et il peut aussi FTP, POP, même pour le PPP de fournir une sécurité "channel".
Beaucoup de cas fournit un service Telnet, car le serveur causé. En effet, pour les systèmes UNIX, si vous voulez le gérer à distance, vous souhaitez utiliser un terminal distant, et d'utiliser les terminaux distants, naturel pour démarrer le service Telnet sur le serveur. Mais le service Telnet est une faiblesse fatale - il est transmis au nom de texte utilisateur et mot de passe évident, il est donc facile de voler des mots de passe par des personnes ayant des arrière-pensées. À l'heure actuelle, un service efficace de remplacer Telnet SSH service est un outil utile. client SSH et les communications côté serveur, le nom d'utilisateur et mot de passe sont cryptés, de prévenir efficacement l'écoute des mots de passe. L'émergence de la télécommande SSH plus sûr.
SSH Malgré les avantages ci-dessus, mais encore serait le piratage, et puis parler de la façon de prévenir les attaques suivantes SSH:
1, la configuration de base:
Il n'y a pas d'authentification, l'authentification de mot de passe, le nom d'utilisateur et mot de passe méthode d'authentification III, le candidat utilisateur et mot de passe d'authentification en fonction. Si l'on tient compte de l'unité de tous les certificats équipement de réseau, vous pouvez utiliser le même serveur RADIUS pour l'authentification. Comme suit:
La permission d'observer un niveau d'utilisateurs de telnet:
test local-user
mot de passe chiffré 3M] * QF / H] KL »K & @ YU8 4)!
niveau de service telnet-type 0
Dans le tty 0 4 interface pour permettre à l'utilisateur et l'authentification de mot de passe:
interface utilisateur vty 0 4
système d'authentification en mode
2, en tenant compte de la sécurité, vous pouvez authentifier niveau d'autorisation de l'utilisateur est réglé au niveau 0 à visiter. Puis utilisez la commande super à l'escalade de privilège, étant donné le nom d'utilisateur, mot de passe, mot de passe super, on peut dire pour le pirate mis en place trois lignes de défense. Comme suit:
niveau de passe chiffré Super 3 / C] JIDTXNUC8BT :.'_^ U $ A!
3, peuvent être placés dans l'interface tty, acl, seulement pour permettre à certains telnet IP à distance, pour la quatrième ligne de défense, comme suit:
Un IP sources terrestres de acl:
nombre acl 2000
Règle 0 permis source 192.168.1.0 0.0.0.255
Sera appliqué à vty 0 4 acl le sens retour:
interface utilisateur vty 0 4
ACL 2000 entrants
4, combiné avec l'expérience passée, ont souvent des attaques ssh sur l'équipement réseau, bien que l'équipement ne sera pas la suite de l'invasion, mais il faudra le processeur et la mémoire et d'autres ressources, ne peut pas permettre à l'interface tty ssh accès par paquets, est la cinquième ligne de la défense, les particuliers comme suit:
En vty 0 4 interface telnet permet l'accès des utilisateurs à:
interface utilisateur vty 0 4
Telnet Protocole entrants
service SSH peut vraiment faire un bon usage de la télécommande pour améliorer la sécurité, de prévenir le vol de mot de passe.