|
from: http://hi.baidu.com/wangluobaoku/blog/item/aadb31ec0907e1232df534d1.html SSH(Secure Shell)是什么呢?权威的说法是:lSecure shell is a de facto standard for remote logins and encrypted file transfers.r.SSH由芬兰赫尔辛基大学的Tatu Ylonen在1995年发明,其主要目的就是通过认证和加密手段在互联网提供一条安全的连接(并不仅是Terminal),默认运行于TCP 22号端口.目前有两种协议版本:SSH-1和SSH-2. 要理解SSH首先要明白它的几把Key: Host Key / Server Key / Session Key / User Key 具体见下表: Name Lifetime Created by Type Purpose Host key Persistent Administrator Public Identify a server/machine Server key One hour Server Public Encrypt the session key(SSH1 only) Session key One session Client (and server) Secret Protect communications User key Persistent User Public Identify a user to the server SSH简单的运行过程如下: 1、Client端向Server端发起SSH连接请求. 2、Server端向Client端发起版本协商. 3、协商结束后Server端发送Host Key公钥 Server Key公钥,百家乐论坛,随机数等信息.到这里所有通信是不加密的. 4、Client端返回确认信息,同时附带用公钥加密过的一his he licopter is dark www.5566001.com, and fly 随机数,用于中国的体育吧地址url是:www.laotiba.com方计算Session Key. 5、进入认证阶段.从此以后所有通信均加密. 6、认证成功后,进入交互阶段. 我这里写的极其简单,有兴趣参考这本书:SSH the Secure Shell 2nd Edition 或者参看RFC:http://www.ietf.org/rfc/rfc4251.txt 也可看看这里:http://www.51cto.com/art/200511/12308.htm 在Cisco IOS设备上启用SSH Cisco 在SSH的支持上动作迟缓,12.0开始引入SSH-1,12.1开始引入SSH-2,至今都只实现了一个精简版的SSH,很多东西都不支持,比如 BlowFish算法.Cisco似乎并不是很热心于SSH带来的安全性.可能在Cisco的逻辑中,对网络设备的访问处于严格受限专网当中,想从中进行 Sniffer非常不容易.我也亲见过许多大型运营商的DCN网里面完全采用了Telnet,似乎也没有什么大的问题.因为,如果入侵者是处心积虑的高手,SSH也存在着问题,比如man-in-the-middle攻击,处理起来就会加大管理成本.还是那句话,安全是没有绝对的. 对于没有专网,同时在限定访问地址范围内存在Sniffer可能性的网络设备,开启SSH还是有必要的,下面就是配置步骤: 1、设定IOS设备主机名 Router(config)#host SSH-Test 2、设定IOS设备所在域名 SSH-Test(config)#ip domain-name test.com 3、建立RSA公钥(这是我们前面提到的哪一个Key?) SSH-Test(config)#crypto key generate rsa 这时系统会提示你输入modulus的长度,默认为512,取值范围是360-2048,越长安全性越好,但Key的生成时间也会越长,这是个2500上的耗时参考表: Router 360 bits 512 bits 1024 bits 2048 bits (maximum) Cisco 2500 11 seconds 20 seconds 4 minutes 38 seconds more than 1 hour 注意,这条命令是一次性的,不会被保存到startup-config中.但是在执行这条命令后再保存配置,所生成的RSA Key会被保存到nvram的Private-Config中. RSA Key可以用这条命令查看: SSH-Test#sh crypto key mypubkey rsa 4、设置ssh访问特性(可选) SSH-Test(config)#ip ssh time-out 60 !ssh会话超时时间,以秒为单位 SSH-Test(config)#ip ssh authentication-retries 3 !ssh登录认证重试次数 5、开启本地用户认证 SSH-Test(config)#username test password test SSH-Test(config)#line vty 0 4 SSH-Test(config-line)#login local !也可以用aaa new-model命令 6、限定只能用SSH登录 SSH-Test(config)#line vty 0 4 SSH-Test(config-line)#transport input ssh 7、用access-class限定特定IP可以向本设备发起SSH连接 略 好了,可以用PuTTY测试一下了. 补充: 1、Cisco上的3DES Feature是要花钱买的,如果你用的是普通DES加密的时候,PuTTY会提示你,确认即可. 2、将Cisco IOS作为SSH客户端时,使用ssh命令即可,参数很简单.注意从一个3DES设备访问一个DES设备的时候,要用-c参数将加密算法改为DES. 3、开启SSH服务后,banner login将不被显示,banner motd将在登录后显示. 注意:最后如果从别的设备用ssh登录这台路由器会出现以下内容: R1#ssh -l best 192.168.0.2 Password: R2en% Error in authentication. 为什会出现以上内容? 因为在R2上没有配置enable password/secret xxxx R2配置上enable secret 5 $1$fJxo$suWiTzmfdj/vkvXfRHBcw/ 那么在R1上: R1#ssh -l best 192.168.0.2 Password: 相关参考资料: http://www.cisco.com/en/US/tech/tk583/tk617/technologies_tech_note09186a00800949e2.shtml http://www.cisco.com/en/US/tech/tk583/tk617/tsd_technology_support_protocol_home.html 配置PIX SSH 为了配置SSH来访问PIX,我们需要完成两组独立服务. .配置PIX来接受SSH连接. .配制我们的SSH客户端来连接到PIX. 1.下边开始配置PIX来接受SSH连接 pixfirewall(config)#hostname 21vianet 21vianet (config)#domain-name 21vianet.com 21vianet (config)#ca generate rsa key 2048 ca zeroize rsa 清空以前配置产生一对RSA密钥,并且存到FLASH里. 21vianet (config)#sh ca mypubkey rsa 查看刚刚产生的RSA公钥. 21vianet (config)#ca save all 产生这些密钥后,我们必须要把它存到FLASH中,如果这步指定失败,那么下次重启后重新加载时,博彩网,密钥会被删除. 21vianet (config)#ssh 211.99.223.50 255.255.255.255 outside 那些主机将允许使用SSH来访问PIX防火墙. 21vianet (config)#ssh timeout 60 设置超时时间. 21vianet (config)#password cisco 设定TELNET口令(这个口令将是我们在客户端进入PIX的口令) 以上PIX防火墙端配置完毕. 2.以下是配置SSH客户端来连接到PIX 我们拿SecureCRT 4.1为例子选择协议:ssh1 (因为现在CISCO设备不支持SSH2)端口号: 22hostname:防火墙外口IPusername:pix (一定要是pix)primary :password 以上步骤完成,那么我们开始连接到PIX. 点击connect以后,会让输入密码,这时候你输入刚才我们设定的cisco就可以连接上PIX了. 前几天玩PIX遇到一个小麻烦,想通过SSH的方式登陆到PIX,全讯网五湖四海,对PIX进行调试,可是怎么也弄不好SSH的设置,后来经过几位兄弟的热心帮忙,问题终于解决了,我整理了一下,大家一起分享好了. 配置PIX SSH 我们可以使用以下命令来配置本地SSH(非AAA Authentication方式):hostname goss-d3-pix515bdomain-name rtp.cisco.comca gen rsa key 1024ssh 0.0.0.0 0.0.0.0 outsidessh timeout 60passwd ciscowr mem 以上命令解释如下:第一句配置主机名称(可选).第二句配置域名,这一句必须有.ca gen rsa key 1024,配置rsa key,如果使用非AAA Authentication方式的ssh,这条命令不能少.ssh 0.0.0.0 0.0.0.0 outside,配置可以通过外部接口访问到pix的地址范围,实际使用中要注意地址范围,够用即可,不要开的太大,ssh timeout 60,配置ssh 延时,需要注意的是不同版本的pix,timeout 的是单位是不一样的,注意区分minute 和second,passwd cisco配置登陆pix使用的口令为cisco,wr mem保存配置.需要注意的是wr mem不能保存关于rsa key的配置,可以使用 ca save all来保存关于rsa key的配置.通过这种方式,我们不用为每一个需要登陆到pix的用户配置用户名,使用SSH客户端工具登陆pix的时候,默认的用户名为pix. 如何配置只允许固定IP远程连接cisco asa 防火墙的策略? pix(config)#username username password passwordpix(config)#aaa authentication telnet console LOCALExample :pix(config)#aaa authentication ssh console LOCALpix(config)#crypto key generate rsa modulus modulus_sizepix(config)#ssh 172.16.1.1 255.255.255.255 insidepix(config)#ssh 10.1.1.2 255.255.255.255 outside 注意: ssh 0.0.0.0 0.0.0.0 outside //0.0.0.0 0.0.0.0 表示任何外部主机都能通过SSH访问outside接口,当然你可以指定具体的主机或网络来进行访问,outside也可以改为inside即表示内部通过SSH访问防火墙原文出自【比特网】,转载请保留原文链接:http://network.chinabyte.com/363/11326363.shtml (责任编辑:admin) |