Protocollo Secure Shell (SSH) è una sicurezza in una rete insicura per fornire accesso remoto sicuro e altri servizi di rete accordo. Secure Shell, ma anche registrati come SSH, originariamente un programma su sistemi UNIX, e poi la rapida espansione di altre piattaforme operative. SSH è una buona applicazione, se usato correttamente, può compensare la vulnerabilità della rete.
SSH ha tre componenti principali:
Transport Layer Protocol [SSH-TRANS], prevede l'autenticazione del server, la riservatezza e l'integrità. Inoltre, è a volte prevede anche la compressione. SSH-TRANS è di solito funzionano sui protocolli TCP / IP può essere utilizzato anche per altri flussi di dati attendibili. SSH-TRANS fornisce la crittografia forte, l'autenticazione password di protezione e integrità dell'host. Il protocollo di autenticazione basato su host e il protocollo non esegue l'autenticazione utente. Più elevato livello di protocollo di autenticazione dell'utente possono essere progettati negli accordi.
User Authentication Protocol [SSH-userauth] per il client al server per fornire autenticazione funzione utente. Funziona su protocolli di trasporto SSH-TRANS. Quando il SSH userauth iniziato, in cui riceve l'identificatore di protocollo dal basso di sessione (dal primo scambio chiave del cancelletto di scambio H). identificatore di sessione identifica in modo univoco questa sessione e applicare tag a dimostrare la proprietà della chiave privata. SSH-userauth anche bisogno di sapere se i protocolli di basso livello protezione della riservatezza.
Protocollo di connessione] [SSH-CONNECT saranno criptati tunnel in diversi canali logici. Esso viene eseguito nel protocollo di autenticazione dell'utente. Fornisce accesso interattivo, poi su strada, esecuzione remota di comando, l'inoltro connessioni TCP / IP e la trasmissione connessioni X11.
Usando SSH, è possibile crittografare tutti i dati trasmessi, ad un "intermediario" Questo attacco non può essere realizzato, ma anche per prevenire l'inganno IP del DNS e inganno. L'uso di SSH, non vi è un ulteriore vantaggio è che la trasmissione dei dati è compresso, in modo che possa accelerare la velocità di trasmissione. SSH ha molte funzioni, può sostituire Telnet, e può anche FTP, POP, anche per il PPP per assicurare un "canale sicuro".
Molti casi fornisce un servizio Telnet perché il server causato. Infatti, per i sistemi UNIX, se si vuole per gestirlo in remoto, si desidera utilizzare un terminale remoto, e di utilizzare i terminali remoti, naturale di start il servizio Telnet sul server. Ma il servizio Telnet è una debolezza fatale - è trasmessa in chiaro il nome utente e la password di testo, per cui è facile rubare le password da parte di persone con secondi fini. Al momento, un efficace servizio per sostituire Telnet servizio SSH è un utile strumento. client SSH e comunicazioni server-side, il nome utente e password sono criptate, prevenire efficacemente intercettazioni di password. L'emergere di controllo remoto SSH più sicuro.
SSH Nonostante i vantaggi sopra, ma comunque sarebbe hacker, e poi parlare di come prevenire gli attacchi SSH seguenti:
1, la configurazione di base:
Non c'è l'autenticazione, l'autenticazione con password, il nome utente e la password di autenticazione metodo III, l'utente proposto e autenticazione basata su password. Se si tiene conto dell'unità di tutte le certificazioni apparecchiature di rete, è possibile utilizzare lo stesso server RADIUS per l'autenticazione. Come segue:
Il permesso di osservare un livello di utenti telnet:
local-utente di prova
password di cifratura 3M] * QF / H] KL »K & @ YU8 4)!
telnet livello di servizio di tipo 0
Nel tty 0 4 interfaccia per consentire l'autenticazione dell'utente e la password:
interfaccia utente vty 0 4
autenticazione in modalità regime
2, tenuto conto della sicurezza, è possibile autenticare livello di autorizzazione dell'utente è impostata a livello 0 da visitare. Quindi utilizzare il comando super scalata di privilegi, considerando il nome utente, password, password super, si può dire per l'hacker set up tre linee di difesa. Come segue:
3 livello super password di cifratura / C] JIDTXNUC8BT :.'_^ U $ A!
3, può essere impostato nell'interfaccia tty, acl, solo per consentire il telnet qualche ip remoto, per la quarta linea di difesa, come segue:
Un IP basato fonti di ACL:
acl numero 2000
regola 0 permesso sorgente 192.168.1.0 0.0.0.255
Sarà applicata a vty 0 4 acl la direzione in entrata:
interfaccia utente vty 0 4
acl 2000 in entrata
4, 结合 esperienze passate, spesso gli attacchi ssh Huiyou su apparecchiature di rete, non può portare al materiale, l'invasione, ma prendere la CPU e la memoria, come Zi Yuan, possono essere riportati nell'interfaccia tty per permettere ssh Wen Jin Ru, è la quinta strada, la difesa, Ju Ti come segue:
In vty 0 4 interfaccia telnet consente l'accesso a:
interfaccia utente vty 0 4
protocollo telnet in entrata
servizio SSH può davvero fare un buon uso del telecomando per migliorare la sicurezza, prevenire il furto di password.