安全是使用路由器用戶最關(guān)心的問題之一，這里我們主要介紹Cisco路由器怎樣實現(xiàn)遠(yuǎn)程管理安全。Telnet到Cisco路由器進(jìn)行遠(yuǎn)程管理是很多網(wǎng)管的選擇，但是通過Telnet傳輸?shù)臄?shù)據(jù)都是明文，因此這種登錄方式存在很大的安全隱患。一個惡意用戶完全可能通過類似Sniffer這樣的嗅探工具，在管理員主機(jī)或者適當(dāng)?shù)慕涌谶M(jìn)行本地監(jiān)聽獲取管理員登錄Cisoc路由器的密碼。

1、安全測試

筆者在本地安裝了sniffer，然后利用Telnet登錄Cisco路由器。停止嗅探然后解碼查看，如圖1所示筆者登錄Cisoc路由器進(jìn)入用戶模式和全局模式是輸入的密碼都明文顯示出來了。雖然密碼被拆分成了兩部分，但一個有經(jīng)驗的攻擊者完全可能將它們進(jìn)行組合從而獲取Cisco路由器的登錄密碼。其實，不僅僅是這些，利用嗅探工具管理員所有在Cisoc路由器上輸入的命令都會被嗅探到。這樣，就算是管理員更改了Cisoc路由器的密碼，并且進(jìn)行了加密但都可以嗅探得到。(圖1)

2、SSH的安全性

SSH的英文全稱為Secure Shell，它默認(rèn)的連接端口是22。通過使用SSH，可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這樣類似上面的“中間人”攻擊方式就不可能實現(xiàn)了，而且它也能夠防止DNS和IP欺騙。另外，它還有一個額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，所以可以加快傳輸?shù)乃俣取?/p>

3、SSH部署

基于上面的測試和SSH的安全特性，要實現(xiàn)Cisco路由器的安全管理用SSH代替Telnet是必要的。當(dāng)然，要實現(xiàn)SSH對CISOC的安全管理，還需要在Cisoc路由器上進(jìn)行相關(guān)設(shè)置。下面筆者就在虛擬環(huán)境中演示SSH的部署、連接的技術(shù)細(xì)節(jié)。

提示：在Cisoc中rsa支持360-2048位，該算法的原理是：主機(jī)將自己的公用密鑰分發(fā)給相關(guān)的客戶機(jī)，客戶機(jī)在訪問主機(jī)時則使用該主機(jī)的公開密鑰來加密數(shù)據(jù)，主機(jī)則使用自己的私有的密鑰來解密數(shù)據(jù)。