国产成人v爽在线免播放观看,日韩欧美色,久久99国产精品久久99软件,亚洲综合色网站,国产欧美日韩中文久久,色99在线,亚洲伦理一区二区

學(xué)習(xí)啦>學(xué)習(xí)電腦>網(wǎng)絡(luò)知識>路由器>路由器設(shè)置>cisco思科>

SSH如何加強cisco路由器遠(yuǎn)程管理安全

時間: 權(quán)威724 分享

  cisco依靠自身的技術(shù)和對網(wǎng)絡(luò)經(jīng)濟(jì)模式的深刻理解,使其成為了網(wǎng)絡(luò)應(yīng)用的成功實踐者之一,其制造的路由器也是全球頂尖的,那么你知道SSH如何加強cisco路由器遠(yuǎn)程管理安全嗎?下面是學(xué)習(xí)啦小編整理的一些關(guān)于SSH如何加強cisco路由器遠(yuǎn)程管理安全的相關(guān)資料,供你參考。

  SSH加強cisco路由器遠(yuǎn)程管理安全的方法

  安全測試

  筆者在本地安裝了sniffer,然后利用Telnet登錄Cisco路由器。停止嗅探然后解碼查看,如圖1所示筆者登錄路由器進(jìn)入用戶模式和全局模式是輸入的密碼都明文顯示出來了。雖然密碼被拆分成了兩部分,但一個有經(jīng)驗的攻擊者完全可能將它們進(jìn)行組合從而獲取Cisco路由器的登錄密碼。其實,不僅僅是這些,利用嗅探工具管理員所有在路由器上輸入的命令都會被嗅探到。這樣,就算是管理員更改了路由器的密碼,并且進(jìn)行了加密但都可以嗅探得到。(圖1)

  SSH的安全性

  SSH的英文全稱為Secure Shell,它默認(rèn)的連接端口是22。通過使用SSH,可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密,這樣類似上面的“中間人”攻擊方式就不可能實現(xiàn)了,而且它也能夠防止DNS和IP欺騙。另外,它還有一個額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的,所以可以加快傳輸?shù)乃俣取?/p>

  SSH部署

  基于上面的測試和SSH的安全特性,要實現(xiàn)Cisco路由器的安全管理用SSH代替Telnet是必要的。當(dāng)然,要實現(xiàn)SSH對CISOC的安全管理,還需要在路由器上進(jìn)行相關(guān)設(shè)置。下面筆者就在虛擬環(huán)境中演示SSH的部署、連接的技術(shù)細(xì)節(jié)。

  (1).Cisco配置

  下面是在Cisco上配置SSH的相關(guān)命令和說明:

  ra#config terminal

  ra(config)#ip domain-name ctocio.com.cn

  //配置一個域名

  ra(config)#crypto key generate rsa general-keys modulus 1024

  ra(config)#ip ssh time 120

  //設(shè)置ssh時間為120秒

  ra(config)#ip ssh authentication 4

  //設(shè)置ssh認(rèn)證重復(fù)次數(shù)為4,可以在0-5之間選擇

  ra(config)#line vty 0 4

  //進(jìn)入vty模式

  ra(config-line)#transport input ssh

  //設(shè)置vty的登錄模式為ssh,默認(rèn)情況下是all即允許所有登錄

  ra(config-line)#login

  這樣設(shè)置完成后,就不能telnet到Cisoc路由器了。(圖3)

  ra(config-line)#exit

  ra(config)#aaa authentication login default local

  //啟用aaa認(rèn)證,設(shè)置在本地服務(wù)器上進(jìn)行認(rèn)證

  ra(config-line)#username ctocio password ctocio

  //創(chuàng)建一個用戶ctocio并設(shè)置其密碼為ctocio用于SSH客戶端登錄

  這樣SSH的CISCO設(shè)置就完成了。

  //生成一個rsa算法的密鑰,密鑰為1024位

  (提示:在Cisoc中rsa支持360-2048位,該算法的原理是:主機將自己的公用密鑰分發(fā)給相關(guān)的客戶機,客戶機在訪問主機時則使用該主機的公開密鑰來加密數(shù)據(jù),主機則使用自己的私有的密鑰來解密數(shù)據(jù),從而實現(xiàn)主機密鑰認(rèn)證,確定客戶機的可靠身份。

  (2).SSH登錄

  上面設(shè)置完成后就不能Telnet到cisco了,必須用專門的SSH客戶端進(jìn)行遠(yuǎn)程登錄。為了驗證SSH登錄的安全性,我們在登錄的過程中啟用網(wǎng)絡(luò)抓包軟件進(jìn)行嗅探。

  筆者采用的SSH客戶端為PuTTY,啟動該軟件輸入路由器的IP地址192.168.2.1,然后進(jìn)行扥兩個會彈出一個對話框,讓我們選擇是否使用剛才設(shè)置的SSH密鑰,點擊“是”進(jìn)入登錄命令行,依次輸入剛才在路由器上設(shè)置的SSH的登錄用戶及其密碼ctocio,可以看到成功登錄到路由器。(圖4)

  然后我們查看嗅探工具抓包的結(jié)果,如圖所示所有的數(shù)據(jù)都進(jìn)行了加密,我們看不到注入用戶、密碼等敏感信息。由此可見,利用SSH可以確保我們遠(yuǎn)程登錄Cisco路由器的安全。(圖5)

  其實,SSH不僅可用于路由器的安全管理。在我們進(jìn)行系統(tǒng)的遠(yuǎn)程管理、服務(wù)器的遠(yuǎn)程維護(hù)等實際應(yīng)用中都可以部署基于SSH遠(yuǎn)程管理。

569867