Secure Shell-protokollen (SSH) er en trygghet i et usikret nettverk for å skaffe ekstern pålogging og annet sikre nettverkstjenester avtale. Secure Shell, men også spilt inn som SSH, opprinnelig et program på UNIX-systemer, og senere rask ekspansjon til andre operativsystemer. SSH er en god søknad, når det brukes riktig, kan det gjøre opp for nettverk sårbarheter.
SSH har tre hovedkomponenter:
Transport Layer-protokollen [SSH-TRANS] gir servergodkjenning, konfidensialitet og integritet. I tillegg er det noen ganger gir også komprimering. SSH-TRANS er vanligvis kjører på TCP / IP-tilkobling kan også brukes til andre pålitelige datastrømmen. SSH-TRANS gir sterk kryptering, passord godkjenning og vert integritet beskyttelse. Verten-autentisering protokollen, og protokollen utfører ikke brukergodkjenning. Høyere nivå av brukergodkjenning protokollen kan utformes i avtalene.
User Authentication Protocol [SSH-USERAUTH] for klienten til serveren for å gi brukergodkjenning funksjon. Det kjører på toppen av transport protokoller SSH-TRANS. Når SSH-USERAUTH begynte, hvor den mottar fra lavere protokollen sesjonsidentifikasjon (fra første nøkkel utveksling i utveksling hash H). Session identifikatoren identifiserer unikt denne økten og gjelder kodene for å bevise eierskap av den private nøkkelen. SSH-USERAUTH trenger også å vite om lavnivå protokoller gir konfidensialitet beskyttelse.
Tilkobling protokoll [SSH-CONNECT] blir kryptert tunnel inn i flere logiske kanaler. Som går i brukergodkjenning protokollen. Det gir interaktiv login, deretter veien, ekstern kommando kjøring, videresending TCP / IP-tilkoblinger og videresending X11 tilkoblinger.
Tongguo ved hjelp av SSH, kan du kryptere alle data overføring, kan en slik "mellommann" måter vedrørende dette angrepet ikke oppnås, og men også for å forhindre svindel og DNS IP bedrag. Bruk av SSH, det er en annen fordel er at overføring av data er komprimert, slik at den kan akselerere overføringshastighet. SSH har mange funksjoner, kan den erstatte Telnet, og det kan også FTP, PoP, selv for PPP gir en sikker "kanal".
Mange tilfeller gir en Telnet-tjenesten fordi serveren forårsaket. Faktisk, for UNIX-systemer, hvis du ønsker å fjernt administrere det, vil ønske å bruke en ekstern terminal, og å bruke den eksterne terminaler, naturlig å starte Telnet-tjenesten på serveren. Men Telnet-tjenesten har en fatal svakhet - de blir overført i klartekst brukernavn og passord, så det er lett å stjele passord av personer med baktanker. I dag, til en effektiv tjeneste erstatte Telnet SSH-tjenesten er et nyttig verktøy. SSH klient og server-side kommunikasjon, er brukernavnet og passordet kryptert, effektivt hindre avlytting av passord. Fremveksten av SSH fjernkontrollen sikrere.
SSH tross for ovennevnte fordeler, men likevel ville være hackere, og så snakke om hvordan du kan forhindre følgende SSH angrepene:
1, den grunnleggende konfigurasjonen:
Det er ikke godkjenning, godkjenning av passord, brukernavn og passord autentiseringsmetode III, den foreslåtte bruker og passord godkjenning. Hvis du tar hensyn til enhet av alt nettverksutstyr sertifisering, kan du bruke samme radius server for autentisering. Som følger:
Tillatelse til å observere et nivå på telnet brukere:
lokal-user test
passord chiffer 3M] * QF / H] KL `K & @ YU8 4)!
service-type telnet level 0
I TTY 0 4 grensesnitt for å aktivere bruker og passord godkjenning:
brukergrensesnitt vty 0 4
godkjenning-modus ordningen
2, ta hensyn til sikkerheten, kan du godkjenne brukerens tillatelse er satt til nivå 0 til besøk. Deretter bruker du super-kommandoen til tilgangsoppgradering, vurderer brukernavn, passord, super passord, kan det sies for hacker satt opp tre linjer med forsvar. Som følger:
super passord nivå 3 cipher / C] JIDTXNUC8BT :.'_^ U $ A!
3, kan settes i tty grensesnittet, ACL, bare for å tillate noen ip eksterne telnet, for fjerde forsvarslinjen, som følger:
En ip baserte kilder til acl:
acl nummer 2000
Regelen 0 tillatelse kilde 192.168.1.0 0.0.0.255
Vil bli brukt til å vty 0 4 ACL i inngående retning:
brukergrensesnitt vty 0 4
acl 2000 inngående
4, kombinert med tidligere erfaringer, har ofte ssh angrep på nettverksutstyr, selv om utstyret ikke vil resultere i invasjonen, men vil ta opp CPU og minne og andre ressurser, kan ikke tillate ssh tty grensesnittet, Packet Access, er den femte linjen i forsvaret, den spesifikke som følger:
I vty 0 4 telnet grensesnitt gir brukeren tilgang til:
brukergrensesnitt vty 0 4
protokoll innkommende telnet
SSH-tjeneste kan virkelig gjøre god bruk av fjernkontrollen for å bedre sikkerheten, forebygge passord tyveri.