SSH 使用原理 與解釋

用SSH替代Telnet 獲得更安全連線

如果你一直利用Telnet控制網路裝置，你可以考慮採用其他更安全的方式。本文告訴你如何用SSH替換Telnet。
Click here to find out more!

使用Telnet這個用來訪問遠端電腦的TCP/IP協議以控制你的網路裝置相當於在離開某個建築時大喊你的使用者名稱和口令。很快地，會有人進行監聽，並且他們會利用你安全意識的缺乏。

SSH是替代Telnet和其他遠端控制台管理應用程式的行業標準。SSH命令是加密的並以幾種方式進行保密。

在使用SSH的時候，一個數位憑證將認證用戶端（你的工作站）和伺服器（你的網路裝置）之間的串連，並加密受保護的口令。SSH1使用RSA加密金鑰，SSH2使用數位簽章演算法（DSA）密鑰保護串連和認證。

密碼編譯演算法包括Blowfish，資料加密標準（DES），以及三重DES（3DES）。SSH保護並且有助於防止欺騙，“中間人”攻擊，以及資料包監聽。

實施SSH的第一步是驗證你的裝置支援SSH。請登入你的路由器或交換器，並確定你是否載入了一個支援SSH的IPSec IOS鏡像。

在我們的例子中，我們將使用Cisco IOS命令。運行下面的命令：
Router> Show flash

該命令顯示已載入的IOS鏡像名稱。你可以用結果對比你的供應商的支援特性列表。

在你驗證了你的裝置支援SSH之後，請確保裝置擁有一個主機名稱和配置正確的主機域，就像下面的一樣：
Router> config terminal
Router (config)# hostname hostname
Router (config)# ip domain-name domainname

在這個時候，你就可以啟用路由器上的SSH伺服器。要啟用SSH伺服器，你首先必須利用下面的命令產生一對RSA密鑰：
Router (config)# crypto key generate rsa

在路由器上產生一對RSA密鑰就會自動啟用SSH。如果你刪除這對RSA密鑰，就會自動禁用該SSH伺服器。

實施SSH的最後一步是啟用認證，授權和審計（AAA）。在你配置AAA的時候，請指定使用者名稱和口令，會話逾時時間，一個串連允許的嘗試次數。像下面這樣使用命令：
Router (config)# aaa new-model
Router (config)# username password
Router (config)# ip ssh time-out
Router (config)# ip ssh authentication-retries

要驗證你已經配置了SSH並且它正運行在你的路由器上，執行下面的命令：
Router# show ip ssh

在驗證了配置之後，你就可以強制那些你在AAA配置過程中添加的使用者使用SSH，而不是Telnet。你也可以在虛擬終端（vty）串連中應用SSH而實現同樣的目的。這裡給出一個例子：
Router (config)# line vty 0 4
Router (config-line)# transport input SSH

在你關閉現存的Telnet會話之前，你需要一個SSH終端用戶端程式以測試你的配置。我極力推薦PuTTY；它是免費的，而且它是一個優秀的終端軟體。

最後的想法
當你在你的路由器和交換器上啟用了SSH之後，保證你修改了所有現存的存取控制清單以允許對這些裝置的串連。你現在可以向你的上級報告你已經堵上了一個巨大的安全性漏洞：現在所有的網路管理會話都被加密並且被保護著。