Telnet到Cisco路由器進行遠程管理是很多網管的選擇,但是通過Telnet傳輸的數據都是明文,因此這種登錄方式存在很大的安全隱患。一個惡意用戶完全可能通過類似Sniffer這樣的嗅探工具,在管理員主機或者適當的接口進行本地監聽獲取管理員登錄Cisoc路由器的密碼。
筆者在本地安裝了sniffer,然後利用Telnet登錄Cisco路由器。停止嗅探然後解碼查看,如圖1所示筆者登錄路由器進入用戶模式和全局模式是輸入的密碼都明文顯示出來了。雖然密碼被拆分成了兩部分,但一個有經驗的***者完全可能將它們進行組合從而獲取Cisco路由器的登錄密碼。其實,不僅僅是這些,利用嗅探工具管理員所有在路由器上輸入的命令都會被嗅探到。這樣,就算是管理員更改了路由器的密碼,並且進行了加密但都可以嗅探得到。
2、SSH的安全性
SSH的英文全稱爲Secure Shell,它默認的連接端口是22。通過使用SSH,可以把所有傳輸的數據進行加密,這樣類似上面的“中間人”***方式就不可能實現了,而且它也能夠防止DNS和IP欺騙。另外,它還有一個額外的好處就是傳輸的數據是經過壓縮的,所以可以加快傳輸的速度。
3、SSH部署
基於上面的測試和SSH的安全特性,要實現Cisco路由器的安全管理用SSH代替Telnet是必要的。當然,要實現SSH對CISOC的安全管理,還需要在路由器上進行相關設置。下面筆者就在虛擬環境中演示SSH的部署、連接的技術細節。
(1).Cisco配置
下面是在Cisco上配置SSH的相關命令和說明:
ra#config terminal
ra(config)#ipdomain-name ctocio.com.cn
//配置一個域名
ra(config)#crypto keygenerate rsa general-keys modulus 1024
//生成一個rsa算法的密鑰,密鑰爲1024位
(提示:在Cisoc中rsa支持360-2048位,該算法的原理是:主機將自己的公用密鑰分發給相關的客戶機,客戶機在訪問主機時則使用該主機的公開密鑰來加密數據,主機則使用自己的私有的密鑰來解密數據,從而實現主機密鑰認證,確定客戶機的可靠身份。
ra(config)#ip ssh time 120
//設置ssh時間爲120秒
ra(config)#ip sshauthentication 4
//設置ssh認證重複次數爲4,可以在0-5之間選擇
ra(config)#line vty 0 4
//進入vty模式
ra(config-line)#transportinput ssh
//設置vty的登錄模式爲ssh,默認情況下是all即允許所有登錄
ra(config-line)#login
這樣設置完成後,就不能telnet到Cisoc路由器了。
ra(config-line)#exit
ra(config)#aaaauthentication login default local
//啓用aaa認證,設置在本地服務器上進行認證
ra(config-line)#usernamectocio password ctocio
//創建一個用戶ctocio並設置其密碼爲ctocio用於SSH客戶端登錄
這樣SSH的CISCO設置就完成了。
(2).SSH登錄
上面設置完成後就不能Telnet到cisco了,必須用專門的SSH客戶端進行遠程登錄。爲了驗證SSH登錄的安全性,我們在登錄的過程中啓用網絡抓包軟件進行嗅探。
筆者採用的SSH客戶端爲PuTTY,啓動該軟件輸入路由器的IP地址192.168.2.1,然後進行扥兩個會彈出一個對話框,讓我們選擇是否使用剛纔設置的SSH密鑰,點擊“是”進入登錄命令行,依次輸入剛纔在路由器上設置的SSH的登錄用戶及其密碼ctocio,可以看到成功登錄到路由器。
然後我們查看嗅探工具抓包的結果,如圖所示所有的數據都進行了加密,我們看不到注入用戶、密碼等敏感信息。由此可見,利用SSH可以確保我們遠程登錄Cisco路由器的安全。
總結:其實,SSH不僅可用於路由器的安全管理。在我們進行系統的遠程管理、服務器的遠程維護等實際應用中都可以部署基於SSH遠程管理。另外,當下的SSH工具不僅有命令行下的,也有一些GUI圖形界面下的工具。網絡管理,安全第一,SSH能夠極大程度地預防來自“中間人”的***,希望本文對大家提升網絡管理的安全性有所幫助幫助。