SSH如何加強cisco路由器遠程管理安全

　　cisco依靠自身的技術和對網絡經濟模式的深刻理解，使其成為了網絡應用的成功實踐者之一，其制造的路由器也是全球頂尖的，那么你知道SSH如何加強cisco路由器遠程管理安全嗎?下面是學習啦小編整理的一些關于SSH如何加強cisco路由器遠程管理安全的相關資料，供你參考。

　　SSH加強cisco路由器遠程管理安全的方法：

　　安全測試

　　筆者在本地安裝了sniffer，然后利用Telnet登錄Cisco路由器。停止嗅探然后解碼查看，如圖1所示筆者登錄路由器進入用戶模式和全局模式是輸入的密碼都明文顯示出來了。雖然密碼被拆分成了兩部分，但一個有經驗的攻擊者完全可能將它們進行組合從而獲取Cisco路由器的登錄密碼。其實，不僅僅是這些，利用嗅探工具管理員所有在路由器上輸入的命令都會被嗅探到。這樣，就算是管理員更改了路由器的密碼，并且進行了加密但都可以嗅探得到。(圖1)

　　SSH的安全性

　　SSH的英文全稱為Secure Shell，它默認的連接端口是22。通過使用SSH，可以把所有傳輸的數據進行加密，這樣類似上面的“中間人”攻擊方式就不可能實現了，而且它也能夠防止DNS和IP欺騙。另外，它還有一個額外的好處就是傳輸的數據是經過壓縮的，所以可以加快傳輸的速度。

　　SSH部署

　　基于上面的測試和SSH的安全特性，要實現Cisco路由器的安全管理用SSH代替Telnet是必要的。當然，要實現SSH對CISOC的安全管理，還需要在路由器上進行相關設置。下面筆者就在虛擬環境中演示SSH的部署、連接的技術細節。

　　(1).Cisco配置

　　下面是在Cisco上配置SSH的相關命令和說明：

　　ra#config terminal

　　ra(config)#ip domain-name ctocio.com.cn

　　//配置一個域名

　　ra(config)#crypto key generate rsa general-keys modulus 1024

　　ra(config)#ip ssh time 120

　　//設置ssh時間為120秒

　　ra(config)#ip ssh authentication 4

　　//設置ssh認證重復次數為4，可以在0-5之間選擇

　　ra(config)#line vty 0 4

　　//進入vty模式

　　ra(config-line)#transport input ssh

　　//設置vty的登錄模式為ssh，默認情況下是all即允許所有登錄

　　ra(config-line)#login

　　這樣設置完成后，就不能telnet到Cisoc路由器了。(圖3)

　　ra(config-line)#exit

　　ra(config)#aaa authentication login default local

　　//啟用aaa認證，設置在本地服務器上進行認證

　　ra(config-line)#username ctocio password ctocio

　　//創建一個用戶ctocio并設置其密碼為ctocio用于SSH客戶端登錄

　　這樣SSH的CISCO設置就完成了。

　　//生成一個rsa算法的密鑰，密鑰為1024位

　　(提示：在Cisoc中rsa支持360-2048位，該算法的原理是：主機將自己的公用密鑰分發給相關的客戶機，客戶機在訪問主機時則使用該主機的公開密鑰來加密數據，主機則使用自己的私有的密鑰來解密數據，從而實現主機密鑰認證，確定客戶機的可靠身份。

　　(2).SSH登錄

　　上面設置完成后就不能Telnet到cisco了，必須用專門的SSH客戶端進行遠程登錄。為了驗證SSH登錄的安全性，我們在登錄的過程中啟用網絡抓包軟件進行嗅探。

　　筆者采用的SSH客戶端為PuTTY，啟動該軟件輸入路由器的IP地址192.168.2.1，然后進行扥兩個會彈出一個對話框，讓我們選擇是否使用剛才設置的SSH密鑰，點擊“是”進入登錄命令行，依次輸入剛才在路由器上設置的SSH的登錄用戶及其密碼ctocio，可以看到成功登錄到路由器。(圖4)

　　然后我們查看嗅探工具抓包的結果，如圖所示所有的數據都進行了加密，我們看不到注入用戶、密碼等敏感信息。由此可見，利用SSH可以確保我們遠程登錄Cisco路由器的安全。(圖5)

　　其實，SSH不僅可用于路由器的安全管理。在我們進行系統的遠程管理、服務器的遠程維護等實際應用中都可以部署基于SSH遠程管理。