站内搜索
SSH简单原理及在Cisco IOS设备上启用SSH
日期:2009-07-09     作者:51cto

SSH(Secure Shell)是什么呢?权威的说法是:‘Secure shell is a de facto standard for remote logins and encrypted file transfers.’。SSH由芬兰赫尔辛基大学的Tatu Ylonen在1995年发明,其主要目的就是通过认证和加密手段在互联网提供一条安全的连接(并不仅是Terminal),默认运行于TCP 22号端口。目前有两种协议版本:SSH-1和SSH-2。

  要理解SSH首先要明白它的几把Key: Host Key / Server Key / Session Key / User Key

  具体见下表: Name Lifetime Created by Type Purpose Host key Persistent Administrator Public Identify a server/machine Server key One hour Server Public Encrypt the session key(SSH1 only) Session key One session Client (and server) Secret Protect communications User key Persistent User Public Identify a user to the server

  SSH简单的运行过程如下:

  1、Client端向Server端发起SSH连接请求。

  2、Server端向Client端发起版本协商。

  3、协商结束后Server端发送Host Key公钥 Server Key公钥,随机数等信息。到这里所有通信是不加密的。

  4、Client端返回确认信息,同时附带用公钥加密过的一个随机数,用于双方计算Session Key。

  5、进入认证阶段。从此以后所有通信均加密。

  6、认证成功后,进入交互阶段。

  我这里写的极其简单,有兴趣参考这本书:SSH the Secure Shell 2nd Edition

  或者参看RFC:http://www.ietf.org/rfc/rfc4251.txt

  也可看看这里:http://www.51cto.com/art/200511/12308.htm

  在Cisco IOS设备上启用SSH

  Cisco 在SSH的支持上动作迟缓,12.0开始引入SSH-1,12.1开始引入SSH-2,至今都只实现了一个精简版的SSH,很多东西都不支持,比如 BlowFish算法。Cisco似乎并不是很热心于SSH带来的安全性。可能在Cisco的逻辑中,对网络设备的访问处于严格受限专网当中,想从中进行 Sniffer非常不容易。我也亲见过许多大型运营商的DCN网里面完全采用了Telnet,似乎也没有什么大的问题。因为,如果入侵者是处心积虑的高手,SSH也存在着问题,比如man-in-the-middle攻击,处理起来就会加大管理成本。还是那句话,安全是没有绝对的。

  对于没有专网,同时在限定访问地址范围内存在Sniffer可能性的网络设备,开启SSH还是有必要的,下面就是配置步骤:

  1、设定IOS设备主机名

  Router(config)#host SSH-Test

  2、设定IOS设备所在域名

  SSH-Test(config)#ip domain-name test.com

  3、建立RSA公钥(这是我们前面提到的哪一个Key?)

  SSH-Test(config)#crypto key generate rsa

  这时系统会提示你输入modulus的长度,默认为512,取值范围是360-2048,越长安全性越好,但Key的生成时间也会越长,这是个2500上的耗时参考表:

  Router 360 bits 512 bits 1024 bits 2048 bits (maximum) Cisco 2500 11 seconds 20 seconds 4 minutes 38 seconds more than 1 hour

  注意,这条命令是一次性的,不会被保存到startup-config中。但是在执行这条命令后再保存配置,所生成的RSA Key会被保存到nvram的Private-Config中。

  RSA Key可以用这条命令查看:

  SSH-Test#sh crypto key mypubkey rsa

  4、设置ssh访问特性(可选)

  SSH-Test(config)#ip ssh time-out 60

  !ssh会话超时时间,以秒为单位

  SSH-Test(config)#ip ssh authentication-retries 3

  !ssh登录认证重试次数

  5、开启本地用户认证

  SSH-Test(config)#username test password test

  SSH-Test(config)#line vty 0 4

  SSH-Test(config-line)#login local

  !也可以用aaa new-model命令

  6、限定只能用SSH登录

  SSH-Test(config)#line vty 0 4

  SSH-Test(config-line)#transport input ssh

  7、用access-class限定特定IP可以向本设备发起SSH连接

  略

  好了,可以用PuTTY测试一下了。

  补充:

  1、Cisco上的3DES Feature是要花钱买的,如果你用的是普通DES加密的时候,PuTTY会提示你,确认即可。

  2、将Cisco IOS作为SSH客户端时,使用ssh命令即可,参数很简单。注意从一个3DES设备访问一个DES设备的时候,要用-c参数将加密算法改为DES。

  3、开启SSH服务后,banner login将不被显示,banner motd将在登录后显示。

  相关参考资料:

  http://www.Cisco.com/en/US/tech/tk583/tk617/technologies_tech_note09186a00800949e2.shtml

  http://www.Cisco.com/en/US/tech/tk583/tk617/tsd_technology_support_protocol_home.html

相关新闻>>
· 加快发展工业互联网 推动经济高质量发展 2019-08-15
· 苗圩赴上海调研工业互联网发展情况 2019-08-15
· 全球逾30个国家宣布部署5G商用网络 2019-08-15
· 中国工业互联网标识解析体系初现“东西南北中”格局 2019-08-15
· 加快建设现代产业体系 2019-08-14
· 年底前北京5G基站将超万个 2019-08-14
· 重点城市5G试商用将开启 运营商密集推出5G体验计划 2019-08-14
· 鸿蒙出世剑指万亿市场 华为欲一统物联网领域 2019-08-10
· 北京冬奥会三大场馆启动5G智慧场馆建设 2019-08-10
· 频谱管理和WRC-19议题分论坛成功举办 2019-08-09
      版权声明:
1 网站注明“来源:中国通信工业协会”的所有作品,其他媒体、网站或个人转载使用时必须注明:“来源:中国通信工业协会”。
2 凡本网站注明“来源:XXX”的作品,均转载其它媒体,转载目的在于传递更多信息,并不代表本网赞同其观点和对其真实性负责。本网站提供的资料如与相关纸质文本不符,以纸质文本为准。
 
      最新文章
· 中国工业互联网标识解析体系初现“东西
· 全球逾30个国家宣布部署5G商用网络
· 苗圩赴上海调研工业互联网发展情况
· 加快发展工业互联网 推动经济高质量发
· 重点城市5G试商用将开启 运营商密集
· 年底前北京5G基站将超万个
· 加快建设现代产业体系
· 北京冬奥会三大场馆启动5G智慧场馆建
· 鸿蒙出世剑指万亿市场 华为欲一统物联
· 宁夏首例5G技术远程实时手术指导成功
      随机阅读
· 电信将全面升级2M宽带至4M
· 中国联通公布第一季度业绩 净利大
· 40G/100G以太网标准制订正式启动
· 陈清州:国产数字集群标准大有可为
· 高质量发展阶段的制造强国战略
· 清华大学教学无线网升级至802.11n
· 我国通信村村通工程取得明显成效
· 张峰出席智能交通、车载通信与自动
· 2019年APEC工商领导人中国
· 联通iPhone终获WIFI 十月或将正
政府机关,相关协会网站链接
相关媒体网站链接
会员单位网站链接
关于我们 | 帮助信息 | 合作项目 | 联系我们 | 版权说明 | 诚聘英才 | 网站地图
版权所有: 中国通信工业协会 备案号:京公网安备 11010800739 京ICP备05085487号-1