Cisco 在SSH的支持上动作迟缓,12。0开始引入SSH-1,12。1开始引入SSH-2,至今都只实现了一个精简版的SSH,很多东西都不支持,比如 BlowFish算法。Cisco似乎并不是很热心于SSH带来的安全性。可能在Cisco的逻辑中,对网络设备的访问处于严格受限专网当中,想从中进行 Sniffer非常不容易。
我也亲见过许多大型运营商的DCN网里面完全采用了Telnet,似乎也没有什么大的问题。因为,如果入侵者是处心积虑的高手,SSH也存在着问题,比如man-in-the-middle攻击,处理起来就会加大管理成本。还是那句话,安全是没有绝对的。 对于没有专网,同时在限定访问地址范围内存在Sniffer可能性的网络设备,开启SSH还是有必要的,下面就是配置步骤: 1、设定IOS设备主机名 Router(config)#host SSH-Test 2、设定IOS设备所在域名 SSH-Test(config)#ip domain-name test。
com 3、建立RSA公钥(这是我们前面提到的哪一个Key?) SSH-Test(config)#crypto key generate rsa 这时系统会提示你输入modulus的长度,默认为512,取值范围是360-2048,越长安全性越好,但Key的生成时间也会越长,这是个2500上的耗时参考表: Router 360 bits 512 bits 1024 bits 2048 bits (maximum) Cisco 2500 11 seconds 20 seconds 4 minutes 38 seconds more than 1 hour 注意,这条命令是一次性的,不会被保存到startup-config中。
但是在执行这条命令后再保存配置,所生成的RSA Key会被保存到nvram的Private-Config中。 RSA Key可以用这条命令查看: SSH-Test#sh crypto key mypubkey rsa 4、设置ssh访问特性(可选) SSH-Test(config)#ip ssh time-out 60 !ssh会话超时时间,以秒为单位 SSH-Test(config)#ip ssh authentication-retries 3 !ssh登录认证重试次数 5、开启本地用户认证 SSH-Test(config)#username test password test SSH-Test(config)#line vty 0 4 SSH-Test(config-line)#login local !也可以用aaa new-model命令 6、限定只能用SSH登录 SSH-Test(config)#line vty 0 4 SSH-Test(config-line)#transport input ssh 7、用access-class限定特定IP可以向本设备发起SSH连接 略 好了,可以用PuTTY测试一下了。
补充: 1、Cisco上的3DES Feature是要花钱买的,如果你用的是普通DES加密的时候,PuTTY会提示你,确认即可。 2、将Cisco IOS作为SSH客户端时,使用ssh命令即可,参数很简单。注意从一个3DES设备访问一个DES设备的时候,要用-c参数将加密算法改为DES。
3、开启SSH服务后,banner login将不被显示,banner motd将在登录后显示。 相关参考资料: http://www。cisco。com/en/US/tech/tk583/tk617/technologies_tech_note09186a00800949e2。
shtml http://www。cisco。com/en/US/tech/tk583/tk617/tsd_technology_support_protocol_home。html。
答:互联网充满着各种安全威胁,其中之一就是IP地址欺骗。IP欺骗技术就是伪造某台主机的IP地址的技术。通过IP地址的伪装使得某台主机能够伪装另外的一台主机,而这台主...详情>>
