一個(gè)惡意用戶(hù)完全可能通過(guò)類(lèi)似Sniffer這樣的嗅探工具，在管理員主機(jī)或者適當(dāng)?shù)慕涌谶M(jìn)行本地監(jiān)聽(tīng)獲取管理員登錄Cisoc路由器的密碼。那么我們?nèi)绾卫肧SH加強(qiáng)思科路由器遠(yuǎn)程管理呢？

1、安全測(cè)試

筆者在本地安裝了sniffer，然后利用Telnet登錄Cisco路由器。停止嗅探然后解碼查看，如圖1所示筆者登錄路由器進(jìn)入用戶(hù)模式和全局模式是輸入的密碼都明文顯示出來(lái)了。雖然密碼被拆分成了兩部分，但一個(gè)有經(jīng)驗(yàn)的攻擊者完全可能將它們進(jìn)行組合從而獲取Cisco路由器的登錄密碼。其實(shí)，不僅僅是這些，利用嗅探工具管理員所有在路由器上輸入的命令都會(huì)被嗅探到。這樣，就算是管理員更改了路由器的密碼，并且進(jìn)行了加密但都可以嗅探得到。

2、SSH的安全性

SSH的英文全稱(chēng)為Secure Shell，它默認(rèn)的連接端口是22。通過(guò)使用SSH，可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這樣類(lèi)似上面的“中間人”攻擊方式就不可能實(shí)現(xiàn)了，而且它也能夠防止DNS和IP欺騙。另外，它還有一個(gè)額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過(guò)壓縮的，所以可以加快傳輸?shù)乃俣取?/p>

3、SSH部署

基于上面的測(cè)試和SSH的安全特性，要實(shí)現(xiàn)Cisco路由器的安全管理用SSH代替Telnet是必要的。當(dāng)然，要實(shí)現(xiàn)SSH對(duì)CISOC的安全管理，還需要在路由器上進(jìn)行相關(guān)設(shè)置。下面筆者就在虛擬環(huán)境中演示SSH的部署、連接的技術(shù)細(xì)節(jié)。
(1).Cisco配置
下面是在Cisco上配置SSH的相關(guān)命令和說(shuō)明：
ra#config terminal
ra(config)#ip domain-name ctocio.com.cn
//配置一個(gè)域名
ra(config)#crypto key generate rsa general-keys modulus 1024
//生成一個(gè)rsa算法的密鑰，密鑰為1024位
(提示：在Cisoc中rsa支持360-2048位，該算法的原理是：主機(jī)將自己的公用密鑰分發(fā)給相關(guān)的客戶(hù)機(jī)，客戶(hù)機(jī)在訪問(wèn)主機(jī)時(shí)則使用該主機(jī)的公開(kāi)密鑰來(lái)加密數(shù)據(jù)，主機(jī)則使用自己的私有的密鑰來(lái)解密數(shù)據(jù)，從而實(shí)現(xiàn)主機(jī)密鑰認(rèn)證，確定客戶(hù)機(jī)的可靠身份。
ra(config)#ip ssh time 120
//設(shè)置ssh時(shí)間為120秒
ra(config)#ip ssh authentication 4
//設(shè)置ssh認(rèn)證重復(fù)次數(shù)為4，可以在0-5之間選擇
ra(config)#line vty 0 4
//進(jìn)入vty模式
ra(config-line)#transport input ssh
//設(shè)置vty的登錄模式為ssh，默認(rèn)情況下是all即允許所有登錄
ra(config-line)#login
ra(config-line)#exit
ra(config)#aaa authentication login default local
//啟用aaa認(rèn)證，設(shè)置在本地服務(wù)器上進(jìn)行認(rèn)證
ra(config-line)#username ctocio password ctocio
//創(chuàng)建一個(gè)用戶(hù)ctocio并設(shè)置其密碼為ctocio用于SSH客戶(hù)端登錄
這樣SSH的CISCO設(shè)置就完成了。
(2).SSH登錄
上面設(shè)置完成后就不能Telnet到cisco了，必須用專(zhuān)門(mén)的SSH客戶(hù)端進(jìn)行遠(yuǎn)程登錄。為了驗(yàn)證SSH登錄的安全性，我們?cè)诘卿浀倪^(guò)程中啟用網(wǎng)絡(luò)抓包軟件進(jìn)行嗅探。
筆者采用的SSH客戶(hù)端為PuTTY，啟動(dòng)該軟件輸入路由器的IP地址192.168.2.1，然后進(jìn)行扥兩個(gè)會(huì)彈出一個(gè)對(duì)話框，讓我們選擇是否使用剛才設(shè)置的SSH密鑰，點(diǎn)擊“是”進(jìn)入登錄命令行，依次輸入剛才在路由器上設(shè)置的SSH的登錄用戶(hù)及其密碼ctocio，可以看到成功登錄到路由器
然后我們查看嗅探工具抓包的結(jié)果，如圖所示所有的數(shù)據(jù)都進(jìn)行了加密，我們看不到注入用戶(hù)、密碼等敏感信息。由此可見(jiàn)，利用SSH可以確保我們遠(yuǎn)程登錄Cisco路由器的安全
總結(jié)：其實(shí)，SSH不僅可用于路由器的安全管理。在我們進(jìn)行系統(tǒng)的遠(yuǎn)程管理、服務(wù)器的遠(yuǎn)程維護(hù)等實(shí)際應(yīng)用中都可以部署基于SSH遠(yuǎn)程管理。另外，當(dāng)下的SSH工具不僅有命令行下的，也有一些GUI圖形界面下的工具。網(wǎng)絡(luò)管理，安全第一，SSH能夠極大程度地預(yù)防來(lái)自“中間人”的攻擊，希望本文對(duì)大家提升網(wǎng)絡(luò)管理的安全性有所幫助幫助。
 

【編輯推薦】

1. 華為路由器與CISCO路由器在配置上的差別
2. 華為路由器簡(jiǎn)單配置詳解
3. 理解華為路由器配置命令中清除列表規(guī)則
4. 應(yīng)用視點(diǎn)：看華為路由器接入的實(shí)際應(yīng)用
5. 應(yīng)用視點(diǎn)：華為路由器網(wǎng)守配合技巧