安全連線:用SSH替代Telnet

使用Telnet這個用來訪問遠端電腦的TCP/IP協定以控制你的網路設備相當於在離開某個建築時大喊你的使用者名和口令。 很快地，會有人進行監聽，並且他們會利用你安全意識的缺乏。 SSH是替代Telnet和其他遠端主控台管理應用程式的行業標準。 SSH命令是加密的並以幾種方式進行保密。 在使用SSH的時候，一個數位憑證將認證用戶端（你的工作站）和伺服器（你的網路設備）之間的連接，並加密受保護的口令。 SSH1使用RSA加密金鑰，SSH2使用數位簽章演算法（DSA）金鑰保護連接和認證。 加密演算法包括Blowfish，資料加密標準（DES），以及三重DES（3DES）。 SSH保護並且有助於防止欺騙，「中間人」攻擊，以及資料包監聽。 實施SSH的第一步是驗證你的設備支援SSH。 請登錄你的路由器或交換器，並確定你是否載入了一個支援SSH的IPSecIOS鏡像。 在我們的例子中，我們將使用CiscoIOS命令。 運行下面的命令： Router>Showflash 該命令顯示已載入的IOS鏡像名稱。 你可以用結果對比你的供應商的支援特性清單。 在你驗證了你的設備支援SSH之後，請確保設備擁有一個主機名稱和配置正確的主機域，就像下面的一樣： Router>configterminal Router(config)#hostnamehostname Router( config)#ipdomain-namedomainname 在這個時候，你就可以啟用路由器上的SSH伺服器。 要啟用SSH伺服器，你首先必須利用下面的命令產生一對RSA金鑰： Router(config)#cryptokeygeneratersa 在路由器上產生一對RSA金鑰就會自動啟用SSH。 如果你刪除這對RSA金鑰，就會自動禁用該SSH伺服器。 實施SSH的最後一步是啟用認證，授權和審計（AAA）。 在你配置AAA的時候，請指定使用者名和口令，會話超時時間，一個連接允許的嘗試次數。 像下面這樣使用命令： Router(config)#aaanew-model Router(config)#usernamepassword Router(config)#ipsshtime-out Router(config) #ipsshauthentication-retries 要驗證你已經配置了SSH並且它正運行在你的路由器上，執行下面的命令： Router#showipssh 在驗證了配置之後，你就可以強制那些你在AAA配置過程中添加的使用者使用SSH，而不是Telnet。 你也可以在虛擬終端（vty）連接中應用SSH而實現同樣的目的。 這裡給出一個例子： Router(config)#linevty04 Router(config-line)#transportinputSSH 在你關閉現存的Telnet會話之前，你需要一個SSH終端用戶端程式以測試你的配置。 我極力推薦PuTTY；它是免費的，而且它是一個優秀的終端軟體。 最後的想法 當你在你的路由器和交換器上啟用了SSH之後，保證你修改了所有現存的存取控制清單以允許對這些設備的連接。 你現在可以向你的上級報告你已經堵上了一個巨大的安全性漏洞：現在所有的網路管理會話都被加密並且被保護著。 （責任編輯 zhaohb musicemail#sohu.com TEL:（010）68476636-8007） 給力(0票)動心(0票)廢話(0票)專業(0票)標題党(0票)路過(0票) 原文：安全連線:用SSH替代Telnet 返回網路安全首頁