Protocol Secure Shell (SSH) is een zekerheid in een onzekere netwerk inloggen op afstand en andere beveiligde netwerk-overeenkomst van dienstverlening te bieden. Secure Shell, maar ook geregistreerd als SSH, oorspronkelijk een programma op UNIX-systemen, en later een snelle expansie van de overige huishoudelijke platforms. SSH is een goede applicatie, wanneer goed gebruikt, kan het goedmaken voor netwerk kwetsbaarheden.
SSH heeft drie belangrijke componenten:
Transport layer protocol [SSH-TRANS] biedt server-authenticatie, vertrouwelijkheid en integriteit. Daarnaast is het soms ook is bepaald compressie. SSH-TRANS wordt meestal uitgevoerd op TCP / IP-verbinding kan ook worden gebruikt voor andere betrouwbare data stream. SSH-TRANS biedt sterke encryptie, authenticatie en wachtwoord host integriteit bescherming. De host-gebaseerde authenticatie protocol en het protocol niet uitvoert voor authenticatie van gebruikers. Hoger niveau van authenticatie van de gebruiker protocol kan worden ontworpen in de overeenkomsten.
User Authentication Protocol [SSH-USERAUTH] voor de client naar de server authenticatie van de gebruiker de functie te geven. Het loopt op de top van transport protocollen SSH-TRANS. Wanneer de SSH-USERAUTH begon, waar hij ontvangt van de lagere protocol sessie-identificatie (vanaf de eerste sleutel-uitwisseling in de uitwisseling hash H). Sessie ter identificatie van deze sessie en unieke toepassing tags om de eigendom van de private sleutel te bewijzen. SSH-USERAUTH moeten ook weten of low-level protocollen geheimhouding bescherming te bieden.
Verbindingsprotocolmodel [SSH-connect] zal worden versleutelde tunnel in verschillende logische kanalen. Het loopt in de authenticatie van de gebruiker protocol. Het biedt interactieve login, dan over de weg, op afstand commando-uitvoering, forwarding TCP / IP-verbindingen en verbindingen X11 forwarding.
Door het gebruik van SSH, kunt u coderen sturen alle gegevens, zoals een "tussenpersoon" Deze aanval kan niet worden bereikt, maar ook naar IP DNS misleiding en bedrog te voorkomen. Gebruik van SSH, er is een bijkomend voordeel is dat de transmissie van gegevens wordt gecomprimeerd, zodat het kan de transmissiesnelheid te versnellen. SSH heeft vele functies, kan vervangen Telnet, en het kan ook FTP, POP, zelfs voor de PPP om een veilige "kanaal te bieden."
Veel gevallen biedt een Telnet service omdat de server veroorzaakt. Inderdaad, voor UNIX-systemen, indien u extern wilt beheren, willen naar een afgelegen terminal te gebruiken, en op het remote terminals, natuurlijke gebruiken om de Telnet-service te starten op de server. Maar de Telnet service heeft een fatale zwakte - het is uitgezonden in duidelijke tekst gebruikersnaam en wachtwoord, zodat het gemakkelijk is om wachtwoorden te stelen door mensen met bijbedoelingen. Op dit moment, op een doeltreffende dienstverlening te vervangen Telnet SSH-service is een nuttig instrument. SSH-client-en server-side communicatie, zijn de gebruikersnaam en wachtwoord versleuteld, effectief te voorkomen afluisteren van wachtwoorden. De opkomst van SSH afstandsbediening beter te beveiligen.
SSH Ondanks de hierboven vermelde voordelen, maar toch zou hackers, en dan praten over hoe de volgende SSH aanvallen te voorkomen:
1, de basis configuratie:
Er is geen authenticatie, authenticatie wachtwoord, de gebruikersnaam en wachtwoord authenticatie methode III, de voorgestelde gebruikersnaam en wachtwoord gebaseerde authenticatie. Als u rekening te houden met de eenheid van alle netwerkapparatuur certificering, kunt u gebruik maken van dezelfde RADIUS-server voor authenticatie. Als volgt:
Toestemming tot een niveau van telnet-gebruikers in acht te nemen:
lokale-user-test
wachtwoord cipher 3M] * QF / H] KL `K & @ YU8 4)!
service-type telnet niveau 0
In de tty 0 4 interface om gebruikersnaam en wachtwoord authenticatie:
user-interface vty 0 4
authenticatie-mode regeling
2, rekening houdend met de veiligheid kunt u authenticeren van de gebruiker toestemming is ingesteld op niveau 0 te bezoeken. Dan is de super commando te gebruiken tot escalatie, gelet op de gebruikersnaam, wachtwoord, super vergeten, kan worden gezegd voor de hacker ingestelde drie lijnen van de verdediging. Als volgt:
super vergeten niveau 3 cipher / C] JIDTXNUC8BT :.'_^ U $ A!
3, kan worden ingesteld in de tty-interface, acl, alleen maar om bepaalde IP-remote telnet, voor de vierde regel van de verdediging, als volgt:
Een IP-gebaseerde bronnen van acl:
acl nummer 2000
regel 0 vergunning bron 192.168.1.0 0.0.0.255
Zullen worden toegepast op vty 0 4 acl de inkomende richting:
user-interface vty 0 4
acl 2000 inkomende
4, gecombineerd met het verleden ervaring, zien we vaak ssh aanslagen op netwerkapparatuur, maar materieel zal niet leiden tot de invasie, but het duurt cpu en het geheugen en andere middelen, kan worden gemeld in de tty-interface, is de niet de mogelijkheid ssh access, is de vijfde lijn van defensie, de specifieke als volgt:
In vty 0 4 telnet-interface kan de gebruiker toegang tot:
user-interface vty 0 4
protocol inkomende telnet
SSH-service kan echt goed gebruik maken van de afstandsbediening om de veiligheid te verbeteren, voorkomen wachtwoord diefstal.