在网络工程师的日常网络维护、排错等过程中,通常都会通过远程的方式来登录到交换机或者路由器进行相关配置检验、排错等。那么通常会有两种远程登录方式,Telnet和SSH。那么他们之间是有怎样的区别,我们应该使用那种远程方式会更安全一些呢?下面我们就来讲讲这两种远程方式。
Telnet和SSH的对比:
很明显两种远程方式除了使用的端口号不一致外,我们可以看到Telnet这种远程方式是不加密的、不安全的,也就是说服务端与客户端的数据交互是明文进行的。
下面我们就来看一下,Telnet这种方式是怎样在Cisco设备上配置的,以及是否可以被抓包破解数据。
这里我们实验环境是GNS3,使用两台路由器模拟,端口IP地址配置就不详述了。
Telnet
在R1上:
R1(config)#username cisco privilege 15 password cisco123 – 创建本地用户名和密码用户名cisco密码cisco123用户等级15
R1(config)#line vty 0 4 — 配置0到4的远程会话
R1(config-line)#login local — 使用本地用户验证登录
R1(config-line)#session-timeout 15 — 15分钟无操作关闭会话
R1(config-line)#transport input telnet — 接收Telnet连接会话
这样R1的Telnet的配置就完成了,下面我们从R2上进行Telnet测试。
可以看到Telnet已经成功登录,那么之前说过Telnet是不加密的交互,我们抓包看一下会得到什么。
很明显我们抓包后,跟踪TCP的Stream。发现了登录R1的用户名和密码,所以可以看出Telnet这种远程方式是非常不安全的。接下来我们在看一下SSH这种远程方式,先来看一下SSH是怎样工作的。
SSH:SSH 为 Secure Shell 的缩写,由 IETF 的网络小组(Network Working Group)所制定;SSH 为建立在应用层基础上的安全协议。SSH 是较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题—摘自百度百科。
SSH的数据交互是安全的、加密的,这个加密的过程是需要使用到密钥的。因此我们必须在SSH服务端,创建相应的密钥才可进行安全的数据交互传输。
下面就看一下在Cisco设备上是怎样配置SSH的远程登录,并抓包看一下是否可以看到交互数据。
我们还是延用之前那两台路由器,重新配置R1.
1.配置IP domian-name, 因为rsa的秘钥是用hostname和domain name产生的
R1(config)#ip domain-name cisco
2.配置生成密钥,如果启用SSH v2版本,那么至少要768bits以上的RSA Key size才可以,这里用2048.
R1(config)#crypto key generate rsa
The name for the keys will be: R1.cisco
Choose the size of the key modulus in the range of 360 to 4096 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 2048
% Generating 2048 bit RSA keys, keys will be non-exportable…
[OK] (elapsed time was 0 seconds)
*Feb 18 15:09:51.272: %SSH-5-ENABLED: SSH 1.99 has been enabled
3.配置本地用户名密码
R1(config)#username cisco privilege 15 password cisco123
4.配置仅使用SSH方式登录
R1(config)#line vty 0 4
R1(config-line)#transport input ssh
5.配置SSH登录超时120秒
R1(config)#ip ssh time-out 120
6.配置SSH登录尝试次数3次
R1(config)#ip ssh authentication-retries 3
7.启用SSH 版本2
R1(config)#ip ssh version 2
至此,关于R1的SSH登录就差不多了。我们从R2上SSH登录R1看一下效果。
成功登录,我们在抓包看一下数据交互过程是否可以抓到信息。
可以看到SSH远程登录的过程是完全加密的,可靠的数据传输,抓包的数据都是不可读取的。
综上,在网络运维过程中,为了更安全的数据传输,我们应该使用SSH远程方式来进行网络设备的配置,排错。Telnet方式慎用。