您现在的位置 : 路由人 > 路由器设置 > 正文 IP地址冲突 路由人教你更换IP地址 / 如何防蹭网的终极解决办法 / 连接上192.168.1.1没有账号、密码输入框 /

利用SSH代替Telnet远程管理路由器

路由器的安全非常重要,若一个恶意用户通过类似Sniffer这样的嗅探工具,很容易就能在管理员主机或者适当的接口进行本地监听获取管理员登录思科路由器的密码。其实,我们可以利用SSH加强思科路由器远程管理。一、...

路由器的安全非常重要,若一个恶意用户通过类似Sniffer这样的嗅探工具,很容易就能在管理员主机或者适当的接口进行本地监听获取管理员登录思科路由器的密码。其实,我们可以利用SSH加强思科路由器远程管理。

一、嗅探工具的危害

通常Telnet到思科路由器进行远程管理是很多网管的选择,但是通过Telnet传输的数据都是明文,因此这种登录方式存在很大的安全隐患。

事实上,只要利用嗅探工具,那么管理员所有在路由器上输入的命令都会被嗅探到,就算是管理员更改了路由器的密码,并且进行了加密但都可以嗅探得到。

二、SSH的作用

SSH的英文全称为Secure Shell,默认的连接端口是22,其传输的数据是经过压缩的,可以加快传输的速度;通过使用SSH,可以把所有传输的数据进行加密,也能够防止DNS和IP欺骗。

SSH不仅可用于路由器的安全管理。在我们进行系统的远程管理、服务器的远程维护等实际应用中都可以部署基于SSH远程管理;当下的SSH工具不仅有命令行下的,也有一些GUI图形界面下的工具。

三、SSH在思科路由器上具体部署

利用SSH代替Telnet是必要的,要实现SSH对CISOC的安全管理,还需要在路由器上进行相关设置。

(1)Cisco配置
ra#config terminal
ra(config)#ip domain-name ctocio.com.cn
//配置一个域名
ra(config)#crypto key generate rsa general-keys modulus 1024
//生成一个rsa算法的密钥,密钥为1024位
(提示:在Cisoc中rsa支持360-2048位,该算法的原理是:主机将自己的公用密钥分发给相关的客户机,客户机在访问主机时则使用该主机的公开密钥来加密数据,主机则使用自己的私有的密钥来解密数据,从而实现主机密钥认证,确定客户机的可靠身份。
ra(config)#ip ssh time 120
//设置ssh时间为120秒
ra(config)#ip ssh authentication 4
//设置ssh认证重复次数为4,可以在0-5之间选择
ra(config)#line vty 0 4
//进入vty模式
ra(config-line)#transport input ssh
//设置vty的登录模式为ssh,默认情况下是all即允许所有登录
ra(config-line)#login
ra(config-line)#exit
ra(config)#aaa authentication login default local
//启用aaa认证,设置在本地服务器上进行认证
ra(config-line)#username ctocio password ctocio
//创建一个用户ctocio并设置其密码为ctocio用于SSH客户端登录
SSH的思科路由器设置就完成了。

(2)SSH登录
上面设置完成后就不能Telnet到cisco了,必须用专门的SSH客户端进行远程登录,而且所有的数据都进行了加密,我们看不到注入用户、密码等敏感信息。

网络管理安全是第一,SSH能够极大程度地预防来自中间人的攻击,利用SSH可以确保我们远程登录Cisco路由器的安全。

延伸阅读:
  • 本月热点
  • 随机推荐
路由人提示:如需转载本站无线连接及路由器设置等技术文章请您注明出处,谢谢!
Copyright © www.LuYouRen.com, All Rights Reserved.
  苏ICP备12075116号