您当前的位置:首页 > 电脑百科 > 安全防护 > 网络安全

详解网络安全协议SSH(Secure Shell)

时间:2020-12-29 12:11:10  来源:  作者:

Telnet缺少安全的认证方式,而且传输过程采用TCP进行明文传输,存在很大的安全隐患。单纯提供Telnet服务容易招致DoS(Deny of Service)、主机IP地址欺骗、路由欺骗等恶意攻击。

随着人们对网络安全的重视,传统的Telnet和FTP通过明文传送密码和数据的方式,已经慢慢不被人接受。SSH(Secure Shell)是一个网络安全协议,通过对网络数据的加密,解决了这个问题。它在一个不安全的网络环境中,提供了安全的远程登录和其他安全网络服务。

SSH通过TCP进行数据交互,它在TCP之上构建了一个安全的通道。另外SSH服务除了支持标准端口22外,还支持其他服务端口,以防止受到非法攻击。

SSH支持的客户端功能

SSH客户端功能允许用户与支持SSH Server的路由器、UNIX主机等建立SSH连接。如图4-1、图4-2所示,可以建立SSH通道进行本地连接或广域网连接。

图4-1 在局域网内建立SSH通道

详解网络安全协议SSH(Secure Shell)

 

图4-2 通过广域网建立SSH通道

详解网络安全协议SSH(Secure Shell)

 

SFTP

SFTP(SSH File Transfer Protocol)是SSH FTP的简称,是一种安全的FTP。SFTP建立在SSH连接的基础之上,远程用户可以安全地登录设备,进行文件管理和文件传送等操作,为数据传输提供了更高的安全保障。同时,由于设备提供了SFTP客户端功能,可以从本设备安全登录到远程SSH服务器上,进行文件的安全传输。

STelnet

STelnet是基于SSH的安全Telnet服务。与Telnet相比,SSH服务器通过对客户端进行认证及双向的数据加密,为网络终端访问提供了安全的服务。

SCP

SCP(Secure Copy)是基于SSH的安全协议,对客户端进行认证和数据加密,以保证在传统的非安全网络环境下进行安全的文件传输。

SCP使用SSH进行数据传输和用户认证,从而确保数据传输的可靠性和机密性。客户端可以发送(上传)文件到服务器,亦可从服务器请求(下载)文件或目录。缺省情况下,SCP运行于TCP协议下的22号端口。

SSH服务支持其他端口

SSH协议的标准侦听端口号为22,攻击者不断访问标准端口,导致带宽的浪费和服务器性能的下降,致使其他正常用户无法访问,这是一种DoS(拒绝服务)攻击。

设定SSH服务端的侦听端口号为其他端口,攻击者不知道SSH侦听端口号的更改,可有效防止攻击者对SSH服务标准端口访问消耗带宽和系统资源。正常用户通过对非标准端口的SSH服务的访问,降低遭受DoS(拒绝服务)攻击可能性。

图4-3是一个通过其他端口访问SSH服务器的组网应用。

图4-3 SSH服务器支持其他端口访问

详解网络安全协议SSH(Secure Shell)

 

只有合法的用户采用SSH服务器设定的非标准侦听端口才能建立Socket连接,进行SSH协议的版本号协商、算法协商及会话密钥生成、认证、会话请求、会话阶段等过程。

SSH服务可以应用在网络中的中间交换设备、边缘设备上,可以实现用户对设备的安全访问和管理。

安全的远程访问

SSH通过以下措施实现在不安全网络上提供安全的远程访问:

  • 支持RSA(Revist-Shamir-Adleman Algorithm)/DSA(Digital-Signature Algorithm)/ECC(Elliptic Curves Cryptography)公钥验证方式,根据非对称加密体系的加密原则,通过生成公钥和私钥,实现密钥的安全交换,最终实现安全的会话全过程。
  • 支持证书验证方式,客户端通过证书签名来进行服务器端验证,有效防止中间人攻击。
  • 支持数据加密标准DES(Data Encryption Standard)、3DES、AES(Advanced Encryption Standard)。
  • SSH客户端与服务器端通信时,对传输的数据进行加密,包括用户名及口令,有效防止对口令的窃听。
  • 支持SM2椭圆曲线密码算法SM2算法与RSA算法一样,同属于非对称密码算法体系,是基于ECC(Elliptic Curves Cryptography)算法的非对称算法。与RSA算法不同的是:RSA算法是基于大数的因子分解算法,导致了RSA算法的密钥的长度也越来越长。而长密钥带来了运算速度较慢、密钥存储和管理不方便问题。ECC算法是基于离散对数的算法,很难破解,具有更高的安全性。与RSA算法相比,在相同安全性条件下,ECC算法可以大大减少密钥的长度。相较于RSA,椭圆曲线密码算法使用更短的密钥长度就能实现比较牢固的加密强度,同时由于密钥长度相对较短,加密速度也就相对较快。总而言之,ECC椭圆曲线密码算法具有以下优点:相同的安全性,ECC算法的密钥长度比RSA算法更短。计算量小,处理速度快。存储空间小。带宽要求低。

为了保证更好的安全性,建议不要使用DES/3DES/小于2048位的RSA算法做为SSH用户的认证和数据加密方式,推荐使用更安全的ECC认证算法。

支持ACL应用

ACL是访问控制列表。通过ACL对SSH类型的用户界面限制呼入呼出权限,防止一些非法地址的用户进行TCP连接,避免其进入SSH协商,借此提高SSH服务器安全性。

图4-4 SSH支持ACL应用

详解网络安全协议SSH(Secure Shell)

 

SSH特性IPv6支持情况

目前,SSH客户端支持连接IPv6主机地址,SSH服务器支持IPv6的连接。

SSH应用

支持Stelnet协议

STelnet基于SSH2.0协议,客户端和服务器之间经过协商,建立安全连接,客户端可以像操作Telnet一样登录服务器。如图所示,

图4-5 SSH支持Stelnet协议

详解网络安全协议SSH(Secure Shell)

 

如图4-5所示,

  • 设备支持STelnet客户端、STelnet服务器功能为了方便用户的使用,设备不仅提供STelnet服务器功能,同时也可以做为STelnet客户端访问其他STelnet服务器。
  • 支持使能/去使能STelnet服务器功能(默认关闭)在不需要STelnet服务器情况下可以将其去使能,该功能在全局模式下配置。

支持SFTP协议

SFTP是基于SSH2.0的安全协议。SSH支持的认证方式为:密码认证、RSA认证、password-rsa认证、DSA认证、password-dsa认证、ECC认证、SM2认证、password-ecc认证。合法用户通过客户端登录时,输入正确的用户名以及对应的密码和私钥,通过服务器的验证。此时用户可以像使用FTP一样使用,实现对网络文件的远程传输管理,而系统会对用户的数据采用协商出来的会话密钥对数据加密。

攻击者没有正确的私钥和密码,无法通过服务器的认证。并且攻击者无法获得其他用户和服务器之间的会话密钥,因此后续服务器和指定客户端的通讯报文只有指定客户端和服务器才能解密。即使攻击者窃听到通讯报文,也不能解密,实现了网络数据传输的安全性。

  • 支持SFTP客户端、SFTP服务器功能为了方便用户的使用,设备不仅提供SFTP服务器功能,也可以做为SFTP客户端访问其他SFTP服务器
  • 支持使能/去使能SFTP服务器功能(默认关闭)在不需要SFTP服务器情况下可以将其去使能,该功能在全局模式下配置。
  • 支持对应用户的SFTP访问默认目录设定对于不同的用户,服务器允许访问的文件目录不同。用户只能访问SFTP服务设定目录,因此通过对应用户的SFTP访问默认目录设定实现不同用户文件隔离。
  • 支持客户端与服务器之间通过透明文件系统进行的运转。即对于所有的文件操作来说,一个标准的文件系统可以用来访问远端板子上的文件。
  • 支持NETCONF文件传输操作,在文件传输成功或失败时提供确认机制。

图4-6 SSH支持SFTP协议

详解网络安全协议SSH(Secure Shell)

 

支持SCP协议

SCP是基于SSH2.0的安全协议。SSH2.0支持的认证方式为:密码认证、RSA认证、password-rsa认证、DSA认证、password-dsa认证、ECC认证、SM2认证、password-ecc认证。合法用户通过客户端登录时,输入正确的用户名以及对应的密码和私钥。通过服务器的验证后,用户可以实现对网络文件的远程传输管理,而系统会对用户的数据采用协商出来的会话密钥对数据加密。

攻击者没有正确的私钥和密码,无法通过服务器的认证。并且攻击者无法获得其他用户和服务器之间的会话密钥,因此后续服务器和指定客户端的通讯报文只有指定客户端和服务器才能解密。即使攻击者窃听到通讯报文,也不能解密,实现了网络数据传输的安全性。

  • 支持SCP客户端、服务器功能为了方便用户的使用,设备既支持SCP客户端功能,同时也支持SCP服务器功能。即设备既可以作为SCP服务器也可以作为SCP客户端接入SCP服务器。
  • 支持使能/去使能SCP服务器功能(默认关闭)。在不需要SCP服务器情况下,可以将其去使能。该功能在全局模式下配置。
  • 支持客户端与服务器之间通过透明文件系统进行的运转。即对于所有的文件操作来说,一个标准的文件系统可以用来访问远端单板上的文件。
  • 支持文件目录中多文件的递归传输。例如,文件目录directory下包含多个文件以及子目录,SCP可实现将整个directory目录下的文件进行传输,并保持原有的文件目录格式。

图4-7 SCP组网图

详解网络安全协议SSH(Secure Shell)

 

私网访问

HUAWEI NE20E-S支持STelnet客户端、SFTP客户端、SNETCONF客户端,因此可以建立基于VPN的Socket连接,在公网设备实现如下访问:

  • STelnet客户端访问私网SSH服务器
  • SFTP客户端访问私网SSH服务器
  • SNETCONF客户端访问私网SSH服务器

图4-8 SSH支持私网访问

详解网络安全协议SSH(Secure Shell)

 

SSH服务器支持其他端口访问

SSH协议的标准侦听端口号为22,如果攻击者不断访问标准端口,将致带宽和服务器性能的下降,导致其他正常用户无法访问。

通过设定SSH服务器端的侦听端口号为其他端口号,攻击者不知道SSH侦听端口号的更改,仍然发送标准端口号22的Socket连接,SSH服务器检测发现请求连接端口号不是侦听的端口号,就不建立Socket连接。

图4-9是一个通过其他端口访问SSH服务器的组网应用。

图4-9 SSH服务器支持其他端口访问

详解网络安全协议SSH(Secure Shell)

 

只有合法的用户采用SSH服务器设定的非标准侦听端口才能建立Socket连接,进行SSH协议的版本号协商、算法协商及会话密钥生成、认证、会话请求、会话阶段等过程。

SSH服务可以应用在网络中的中间交换设备、边缘设备上,可以实现用户对设备的安全访问和管理。

支持ACL应用

ACL是Access Control List的简称,中文是访问控制列表。通过ACL对SSH类型的用户界面限制呼入呼出权限,防止一些非法地址的用户进行TCP连接,避免其进入SSH协商,借此提高SSH服务器安全性。

图4-10 SSH支持ACL应用

详解网络安全协议SSH(Secure Shell)

 

支持SNETCONF

NETCONF Agent是运行于SSH Server之上的一种应用。使用SSH建立的安全传输通道。NETCONF被用来访问配置、声明信息和修改配置信息,因此访问此协议的能力应当被限制为用户和系统。在SSH上运行NETCONF,Client需要先使用SSH传输协议来建立SSH传输连接。Client和Server为了消息的完整性而交换密钥并对密钥加密。一旦用户认证成功,Client就调用“SSH-连接”服务,即SSH连接协议。在SSH连接服务建立后,Client为SSH会话打开一个会话类型的通道。一旦SSH会话建立,用户(或者应用)调用SNETCONF作为SSH的一个子系统,这个是SSHv2的一个特性。SSH Sever确保SNETCONF子系统传输数据的可靠性和数据顺序。

图4-11 在SSH Server上应用NETCONF组网图

详解网络安全协议SSH(Secure Shell)


Tags:SSH   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
转自: https://kermsite.com/p/wt-ssh/由于格式问题,部分链接、表格可能会失效,若失效请访问原文密码登录 以及 通过密钥实现免密码登录Dec 15, 2021阅读时长: 6 分钟简介Windo...【详细内容】
2021-12-17  Tags: SSH  点击:(16)  评论:(0)  加入收藏
在本教程中,将展示如何使用Centos8的DVD镜像引导Rescue救援模式,并在救援模式中启用网络、配置SSH服务,供用户远程登录该服务器 系统环境Centos8加载ISO镜像,进入救...【详细内容】
2021-11-30  Tags: SSH  点击:(29)  评论:(0)  加入收藏
事件起因从安全分析系统里面发现一条带有病毒的下载,然后针对这条记录展开了一系列的分析分析过程1.登录到被感染服务器,查看系统状况,hadoop 这个用户在 2020/6/18 20:32 从这...【详细内容】
2021-11-23  Tags: SSH  点击:(32)  评论:(0)  加入收藏
1.背景介绍几乎每一个玩渗透的人都会接触到metasploit framework,简称msf。这是一个渗透测试框架,用ruby语言编写的,该框架集成了很多可用的exploit,比如著名的ms08_067等。你可...【详细内容】
2021-11-15  Tags: SSH  点击:(37)  评论:(0)  加入收藏
老配置文件导到新交换机上,SSH不能登陆,会提示Received disconnect from 192.168.2.163: 2: The connection is closed by SSH ServerCurrent FSM is SSH_Main_VersionMatch其...【详细内容】
2021-10-26  Tags: SSH  点击:(157)  评论:(0)  加入收藏
背景上次给大家介绍了实现基础的运维系统功能—webssh,今日书接上回,继续给大家介绍一个web远程ssh终端录像回放功能。 一、思路网上查了一下资料,搜索了一下关于实现webs...【详细内容】
2021-10-13  Tags: SSH  点击:(40)  评论:(0)  加入收藏
一、背景介绍Metasploit就是一个漏洞框架。它的全称叫做The Metasploit Framework,简称叫做MSF。Metasploit作为全球最受欢迎的工具,不仅仅是因为它的方便性和强大性,更重要的...【详细内容】
2021-09-28  Tags: SSH  点击:(64)  评论:(0)  加入收藏
目的本文的目的是指导在Windows操作系统下面,如何配置通过ssh key来访问gerrit服务器。检查并生成本地的ssh key检查是否已经存在ssh key在生成本地的ssh key之前,我们需要首...【详细内容】
2021-07-23  Tags: SSH  点击:(127)  评论:(0)  加入收藏
作者:左右里编辑:釉子 据BitDefender安全研究人员称,他们发现了一个黑客组织正在以SSH暴力破解的方式攻击Linux设备,目的是在这些设备上安装门罗币恶意挖矿软件。SSH,一种为远程...【详细内容】
2021-07-22  Tags: SSH  点击:(185)  评论:(0)  加入收藏
今天在虚拟机里面安装了docker,利用docker起了一个centos。里面配置完成openssh后,利用xsheel连接docker里面的centos,发现特别慢,差不多要的1分钟才能连接上去。这肯定是有问题...【详细内容】
2021-07-21  Tags: SSH  点击:(131)  评论:(0)  加入收藏
▌简易百科推荐
(报告出品方:德勤)数字化转型网络安全及转型挑战在任何行业,保持竞争力都需要快速开发新产品和 服务并推向市场。创新型业务模式不仅仅是简单地将现有 流程数字化,其正在覆盖供应...【详细内容】
2021-12-22  认是    Tags:网络安全   点击:(19)  评论:(0)  加入收藏
10月18号, W3C中网络平台孵化器小组(Web Platform Incubator Community Group)公布了HTML Sanitizer API的规范草案。这份草案用来解决浏览器如何解决XSS攻击问题。 网络安全中...【详细内容】
2021-12-07  实战Java  博客园  Tags:脚本攻击   点击:(18)  评论:(0)  加入收藏
一、背景介绍大家在Linux的日常使用中都晓得如何通过命令行去配置Linux的端口开放规则,但是大家知道如何配置Windows入站出站规则吗?有哪些常见的危险端口呢?如何解决上述问题...【详细内容】
2021-12-01  Kali与编程    Tags:防火墙   点击:(30)  评论:(0)  加入收藏
网络安全服务商Randori公司日前发布了一份调查报告,列出了网络攻击者最有可能攻击或利用的IT资产。在遭遇Solarwinds黑客攻击一周年之际,以及在网络安全(尤其是勒索软件和供应...【详细内容】
2021-10-28  企业网D1net   企鹅号  Tags:网络攻击   点击:(57)  评论:(0)  加入收藏
0x01.背景实验利用Dns Administrators 组成员,通过远程配置Dns服务,进行Dll inject从而实现特权提升。 在域内,Dns server 通常为Dc Server,Dns服务器管理基于rpc,通过调用c:\wi...【详细内容】
2021-10-22  IT影子    Tags:特权提升   点击:(37)  评论:(0)  加入收藏
本文主要介绍和总结了CSRF跨站请求伪造的基本原理和主要防范措施,工作中有用到的朋友不妨收藏转发一下,以备您参考。什么是CSRF?CSRF跨站点请求伪造(Cross—Site Request...【详细内容】
2021-10-13  快乐中恒    Tags:CSRF   点击:(49)  评论:(0)  加入收藏
waf拦截在打某市 Hvv 第一天就找到一个文件上传的点,经过测试,可以直接任意文件上传,没有什么道理。 直接尝试上传 Php 文件,被 waf 拦截了 2021最新整理网络安全/渗透测试/安...【详细内容】
2021-10-11  KaliMa    Tags:防火墙   点击:(56)  评论:(0)  加入收藏
应用程序与文件系统的交互始终是高度安全敏感的,因为较小的功能漏洞很容易成为可利用漏洞的来源。这种观察在web文件管理器的情况下尤其正确,其作用是复制完整文件系统的功能...【详细内容】
2021-09-17  IT野涵    Tags:漏洞链   点击:(56)  评论:(0)  加入收藏
您的苹果手机尽管iPhone比Android更安全,但也可以通过各种方式入侵。避免黑客入侵的最佳方法是警惕奇怪的链接或粗略的应用程序,并仅在必要时提供信息。电池寿命差和性能低下...【详细内容】
2021-09-16  Hackers爱好者    Tags:黑客入侵   点击:(631)  评论:(0)  加入收藏
防火墙一般布置在逻辑区域的入口处,位于三层网络架构的核心和汇聚之间,起到隔离逻辑区域,为逻辑区域创建安全策略的作用。 上面就是应用区的防火墙布置方式,他布置在应用区,可以...【详细内容】
2021-09-03  知来知去    Tags:主备模式防火墙   点击:(109)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条