理解并取证:SSH远程管理协议的工作原理

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

  SSH(Secure Shell)它默认的连接端口是22,可以把所有传输的数据进行加密。它是代替Telnet进行安全远程操作一种很好的方式。当然,事实上它不止能代替Telnet进行安全的工作,还能为FTP等应用服务提供安全的传输通道。


第一阶段:(基于口令的安全验证)只要用户知道自己的账号和口令,就可以登录到远程主机。所有传输的数据都会被加密。但是不能保证正在连接的服务器就是用户想连接的服务器。可能会有别的服务器在冒充真正的服务器,也就是受到“中间人”这种方式的攻击。


第二阶段:思科的路由器如果配置了SSH,那么就会在设备上产生一对非对称式的密钥对,一把私钥和一把公钥。私钥是不可公开的,所以设备要保密私钥;公钥是可公开的,所以设备可以将自己的公钥发送给SSH客户端,SSH的客户端拿着公钥来加密数据,所以数据在传送的过程中,是保密的,这样就免除了“中间者的攻击或窃取”。被公钥加密的数据被传送到路由器上时,路由器可以利用自己的私钥来解密数据。这样就保证了数据在传递过程中的安全性,如下图9.4所示。

085610678.png

SSH与Telnet的比较:

nSSH较Telnet具备了更好的安全性。

nSSH还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。


演示:思科路由器SSH的远程管理


演示目标:在路由器上配置SSH服务,并取证SSHTelnet的安全性高。

演示环境:如上9.4所示的演示环境。

演示步骤:


第一步:在思科的路由器上配置SSH。配置指令如下所示:


路由器R1的SSH配置:

R1(config)#line vty 0 4 * 进入vty线路模式。

R1(config-line)#loginlocal * 对远程SSH的用户采取本地安全数据库认证。

R1(config-line)#transportinput ssh * 允许SSH传入。

R1(config)#ip domain-name ccna.com

使用SSH必须为路由器配置域名,这里的域名是ccna.com。

R1(config)#usernameccna password ccna

建立一个路由器的本地安全数据库用户名为ccna密码为ccna

R1(config)#enablepassword ccna * 为路由器配置enable的密码。

R1(config)#crypto keygenerate rsa * 生成路由器的公钥和私钥对。


路由器会有如下提示:

The name for the keys willbe: r1.ccna.com

Choose the size of the keymodulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 maytake a few minutes.

How many bits in the modulus [512]:建立密钥对模数的长度,保持默认就可以了。

% Generating 512 bit RSA keys keys will be non-exportable...[OK]


路由器提示:SSH 1.99被正式启动。

*May 19 13:51:27.707: %SSH-5-ENABLED: SSH1.99 has been enabled


第二步:实现SSH客户机的登录。就目前而言,Windows还没有提供专用的SSH客户端软件,所以需要第三方软件进行支持。而PuTTY就是一款非常好的第三方SSH客户端软件,如下9.5所示。


085718963.png

第三步:利用协议分析器分析SSH的数据帧。在192.168.1.2SSH连接到路由器(192.168.1.1)以前打开的协议分析器,然后完成整个SSH的过程,再暂停协议分析器,可得到如下图9.6所示的数据帧和如下图9.7所示的SSH加密后的效果。

085817350.png

085817424.png



本文转自 kingsir827 51CTO博客,原文链接:http://blog.51cto.com/7658423/1315818,如需转载请自行联系原作者

相关文章
|
7月前
|
网络安全
检查使用IP协议远程维护的设备是否配置SSH协议,禁用telnet协议
检查使用IP协议远程维护的设备是否配置SSH协议,禁用telnet协议
219 0
|
7月前
|
移动开发 监控 安全
通过SSH协议实现的屏幕局域网电脑监控:屏幕安全访问代码
随着科技的不断发展,网络安全问题愈发突出。为了确保屏幕数据的安全,我们需要一种高效可靠的监控方法。本文介绍了一种基于SSH协议的屏幕局域网电脑监控方案,同时提供了相关代码示例,确保屏幕数据的安全传输和访问。
304 0
|
7月前
|
算法 安全 Shell
SSH:加密安全访问网络的革命性协议
SSH:加密安全访问网络的革命性协议
211 9
|
7月前
|
监控 安全 Linux
【专栏】Linux SSH 的安全对于远程管理至关重要,这几个小妙招安排上!
【4月更文挑战第28天】在数字化时代,Linux SSH 的安全对于远程管理至关重要。增强 SSH 安全包括:使用强密码,调整 SSH 配置文件,尤其是端口号和认证方式;采用密钥认证代替密码;限制登录用户,禁止密码登录;使用防火墙限制访问;定期更新系统和软件。此外,通过日志监控、入侵检测系统及及时应对攻击来提升安全监控。保持对安全知识的学习和更新,结合最佳实践,是保障 SSH 安全的关键。记得安全是个持续过程,时刻保持警惕!
156 1
|
4月前
|
运维 安全 网络安全
"革新远程访问体验:Docker化部署webssh2,一键启动Web SSH客户端,让远程管理如虎添翼!"
【8月更文挑战第2天】Docker作为软件开发与运维的关键工具,以其轻量级、可移植及强隔离特性简化了应用部署。结合webssh2这一开源Web SSH客户端,可通过浏览器安全便捷地访问SSH服务器,无需额外软件。首先确保已安装Docker,接着拉取webssh2镜像并运行容器,映射端口以便外部访问。配置好SSH服务器后,通过浏览器访问指定URL即可开始SSH会话。此方案不仅提升了用户体验,还加强了访问控制与系统安全。
406 7
|
7月前
|
安全 算法 Shell
ssh远程登录协议
ssh远程登录协议
|
7月前
|
网络安全
openstack 使用ssh远程管理云主机
在阿里云平台上,为云主机分配和配置浮动IP涉及以下步骤:首先,在“网络”部分分配一个公共IP,并将其关联到已创建的云主机。接着,在“浮动IP”页面确认绑定成功。然后,进入安全组,为默认安全组添加允许ping和SSH的新规则。通过控制台ping浮动IP以测试连通性。最后,从宿主机修改云主机的hostname并使用SSH登录。至此,SSH登录设置完成。
192 2
openstack 使用ssh远程管理云主机
|
7月前
|
网络安全 数据安全/隐私保护
银河麒麟v10系统SSH远程管理及切换root用户的操作方法
银河麒麟v10系统SSH远程管理及切换root用户的操作方法
3005 0
|
7月前
|
安全 前端开发 Shell
SSH原理与运用
SSH原理与运用
|
7月前
|
监控 前端开发 安全
【专栏】介绍了前端工程师如何掌握SSH命令,包括SSH协议的基础知识、命令行操作如登录、文件传输、目录管理和进程管理
【4月更文挑战第29天】本文介绍了前端工程师如何掌握SSH命令,包括SSH协议的基础知识、命令行操作如登录、文件传输、目录管理和进程管理。在前端开发中,SSH用于部署项目、协同后端开发及服务器监控。文章还强调了使用密钥认证、配置别名及安全注意事项,并提醒开发者面对问题时如何解决。学习和熟练运用SSH是前端工程师适应复杂项目需求的关键。
142 0