Secure Shellプロトコル(SSH)は不安定なネットワークのセキュリティ、リモートログインおよびその他の安全なネットワークサービス契約を提供することです。 Secure Shellのでなく、SSHの記録は、当初のUNIXシステム、プログラム、およびその他のオペレーティングプラットフォームに保存急速に拡大しています。 SSHは、優れたアプリケーションは、適切に使用されて、ネットワークの脆弱性を開くことができます。
SSHは、3つの主要コンポーネントがあります:
トランスポート層プロトコル[SSH - TRANS]のは、サーバー認証、機密性と整合性を提供します。また、それはは時々、圧縮を提供します。 SSHは、トランスジェニックは、通常のTCP / IP接続でも、他の信頼できるデータストリームに使用される可能性があります実行されます。 SSHは、トランスジェニックは、強力な暗号化、パスワード認証、ホストインテグリティ保護を提供します。ホストベースの認証プロトコルとプロトコルは、ユーザ認証を実行しません。ユーザ認証プロトコルの高いレベルは、契約で設計することができます。
ユーザ認証プロトコル[SSH - USERAUTH]サーバーへのクライアントのユーザ認証機能を提供する。これは、トランスポートプロトコルの上にSSHを-トランスジェニックを実行します。時のSSH - USERAUTHは、どこに交換ハッシュの最初の鍵交換はHから下位プロトコルのセッション識別子(から受け取る)から始まった。セッション識別子は一意にこのセッションを識別し、秘密鍵の所有権を証明するタグを適用します。 SSHは、USERAUTHかどうかも、低レベルのプロトコルは、機密保護を提供する知っている必要があります。
接続プロトコル[SSH - CONNECT]は複数の論理チャネルにトンネルを暗号化されます。これは、ユーザ認証プロトコルで動作します。それは、その後、リモートコマンドの実行、転送のTCP / IP接続と転送X11接続の道を対話的なログインを提供します。
SSHを使用することにより、あなたが達成することはできませんが、すべてのデータを送信、このような"仲介"この攻撃は暗号化することができますまた、IPのDNS偽装や偽りを防止します。を使用してSSHの、追加の利点は、データの伝達は圧縮されて、それが伝送速度を加速することができます。 SSHは、多くの機能を持って、それは、Telnetを置き換えることができ、また、FTPは、PoPは、PPPのも安全な"チャンネルを提供することができます。"
多くの場合は、Telnetサービスをサーバーが発生したために提供しています。実際、UNIXシステムの場合は、リモート管理にリモートターミナルを使用するだろうと欠乏場合、サーバー上でTelnetサービスを開始するリモート端末を、自然を使用する。しかし、Telnetサービスが致命的な弱点をある - それは不純な動機で人がパスワードを盗むのは簡単ですので、クリアテキストのユーザー名とパスワードでは、送信されます。現時点では、効果的なサービスは便利なツールですのTelnet SSHサービスを交換する。 SSHクライアントとサーバー側の通信は、ユーザー名とパスワードが、実質的にパスワードの盗聴を防ぐ暗号化されます。 SSHは、リモートコントロールの出現より安全です。
SSHの利点が、にもかかわらず、まだハッカーになるだろうし、次のSSHの攻撃を防ぐ方法について話:
1、基本的な構成:
また、認証、パスワード認証ではない、ユーザー名とパスワード認証方法III、提案ユーザ名とパスワードベースの認証。あなたのアカウントにすべてのネットワーク機器認証の統一を取る場合は、認証のために、同じRADIUSサーバを使用することができます。次のように:
アクセス許可は、telnetのユーザのレベルを観察する:
ローカルユーザテスト
パスワードを暗号メーカー] *吠/ Hは]クアラルンプール`のK&@ YU8 4)!
サービスタイプのtelnetレベル0
端末0 4インターフェイスで有効にするユーザー名とパスワードの認証:
ユーザーインターフェイスつのvty 0 4
認証モード方式
2、アカウントのセキュリティを考慮すると、レベル0を訪問する設定されて、ユーザーのアクセス許可レベルを認証することができます。して権限の昇格には、ユーザー名を、パスワード、スーパーパスワードconsidering超commandを使用して、それがハッカー防衛3 linesを設定したことができます。次のように:
スーパーパスワードレベル3の暗号/ C]はJIDTXNUC8BT :.'_^のU $!
3は、端末のインターフェイスは、acl、唯一のいくつかのIPリモートのtelnet、防衛の4行目は、次のようにできるように設定することができます:
ACLの作成IPベースのソース:
aclの番号2000
ルール0許可ソース192.168.1.0 0.0.0.255
VTYを0〜4 aclを着信方向に適用されます:
ユーザーインターフェイスつのvty 0 4
2000インバウンドACL
機器が侵略にはなりませんが、4は、過去の経験と組み合わせることで、多くの場合、しかし、ネットワーク機器上でssh攻撃をしてCPUとメモリやその他のリソースを取るつもりで、sshの端末のインターフェイスは、パケットのアクセスを許可することはできません、防衛、の5行される特定の次のように:
VTYを0〜4のtelnetインタフェースでは、ユーザーのアクセスを許可する:
ユーザーインターフェイスつのvty 0 4
プロトコル受信のtelnet
SSHサービスは本当に安全性を向上させるため、リモート制御を有効に利用することができますパスワードの盗難を防止します。