为什么使用Stelnet与sftp协议,而不用telnet与ftp协议
網(wǎng)絡(luò)工程師了解本文的必要性:
本文所述為網(wǎng)絡(luò)工程師的操作基礎(chǔ)第一課,大中型企業(yè)一般地理范圍寬,尤其在要求效率高、業(yè)務(wù)連續(xù)性強(qiáng),對(duì)網(wǎng)絡(luò)的可用性、穩(wěn)定性和可靠性要求高的企業(yè),一般不采用跑腿的方式,使用筆記本電腦連接到物理設(shè)備的console口直接對(duì)設(shè)備進(jìn)行配置,而是通過(guò)網(wǎng)絡(luò)連接到遠(yuǎn)端的網(wǎng)絡(luò)設(shè)備實(shí)現(xiàn)配置與控制。本文屬于下述預(yù)備知識(shí)中的(3)網(wǎng)絡(luò)安全的傳輸控制連接。
如果采用telnet的方式,有可能被捕獲到數(shù)據(jù)包,進(jìn)而分析出工程師所輸入的用戶(hù)名與密碼,本文針對(duì)這一問(wèn)題的安全性管理與控制,也是安全傳輸?shù)囊粋€(gè)技術(shù)點(diǎn)進(jìn)行闡述。
預(yù)備知識(shí):
1、網(wǎng)絡(luò)的安全主要包含以下幾方面:
(1)物理安全:
防震、水、火、雷等,一般與聲光報(bào)警系統(tǒng)聯(lián)動(dòng)及時(shí)發(fā)現(xiàn)問(wèn)題,也包含強(qiáng)弱電的分開(kāi)綜合布線規(guī)劃、UPS不間斷電源部署等,即OSI參考模型的物理層安全。
(2)主機(jī)安全:
服務(wù)器的防火墻開(kāi)啟、安全防護(hù)開(kāi)啟、更新補(bǔ)丁、病毒防護(hù)、暫不用的服務(wù)和端口關(guān)閉、安全策略、網(wǎng)絡(luò)訪問(wèn)的認(rèn)證接入等。
(3)網(wǎng)絡(luò)安全:
網(wǎng)絡(luò)的訪問(wèn)控制,如僅允許授權(quán)的用戶(hù)對(duì)某些資源或網(wǎng)段的訪問(wèn);數(shù)據(jù)傳輸過(guò)程中的加密等。如二層的VRRP協(xié)議網(wǎng)關(guān)冗余安全、MSTP多生成樹(shù)協(xié)議、ACL訪問(wèn)控制、防ARP欺騙等;三層的防VPN隧道技術(shù)、ipsec隧道加密、防ip欺騙攻擊、防偽DHCP攻擊、部署ids與硬件防火墻聯(lián)動(dòng)等;四層以上部署ips,ips側(cè)重于OSI參考模型的第四層到第七層的的安全防護(hù),主要實(shí)現(xiàn)入侵防御,病毒防護(hù),安全威脅防護(hù)及訪問(wèn)控制等功能;能夠防范的威脅類(lèi)型包括:針對(duì)系統(tǒng)的漏洞攻擊、蠕蟲(chóng)、木馬、SQL注入等。
(4)應(yīng)用安全:
部署WAF防火墻之類(lèi)的安全硬件,對(duì)WEB服務(wù)器進(jìn)行保護(hù),尤其是現(xiàn)在BS模式的廣泛應(yīng)用下,對(duì)WEB的安全防護(hù)就更顯重要,可以防XSS跨站腳本攻擊、遠(yuǎn)程代碼執(zhí)行攻擊等。
(5)數(shù)據(jù)安全:
數(shù)據(jù)的備份與恢復(fù),遠(yuǎn)程災(zāi)備,NAS、SAN(ip san、fc san、vsan)、iSCSI存儲(chǔ)等、冷備份(需要N多年保存的數(shù)據(jù)不常調(diào)用的數(shù)據(jù)可使用磁帶庫(kù))與熱備份(raid陣列技術(shù)或主備存儲(chǔ))相結(jié)合,手工備份(數(shù)據(jù)庫(kù))與自動(dòng)備份(通過(guò)腳本指定凌晨以后自動(dòng)備份)相結(jié)合,完整備份(如每個(gè)月執(zhí)行一次完整備份)與增量備份(每周或每天執(zhí)行一次對(duì)新增數(shù)據(jù)的備份)相結(jié)合。
2、本例通過(guò)ENSP華為模擬器,來(lái)完成對(duì)telnet與FTP的明文傳輸過(guò)程中的數(shù)據(jù)包抓取,然后分析,并不是說(shuō)華為設(shè)備就不安全,而是任何品牌的智能網(wǎng)管型的設(shè)備都有此特性。
3、根據(jù)telnet協(xié)議與FTP協(xié)議的特征,它們本就是明文傳輸數(shù)據(jù)包,沒(méi)有對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密,設(shè)計(jì)之初主要是為了方便工程師們進(jìn)行遠(yuǎn)程的調(diào)試與配置。所以在抓包分析時(shí),大家注意多觀察。
4、注意對(duì)比telnet與stelnet協(xié)議(用于遠(yuǎn)程登錄管理與配置設(shè)備),對(duì)比f(wàn)tp與sftp協(xié)議(用于對(duì)網(wǎng)絡(luò)設(shè)備配置文件的備份)。
**
一、環(huán)境準(zhǔn)備
**(下載并安裝好以下工具軟件,注:以下版本的工具在win10-64位專(zhuān)業(yè)版下正常測(cè)試通過(guò))
1、安裝ENSP
(1)安裝winpcap4.13
(2)安裝wireshark_64位3.2.2
(3)安裝virtualbox5.2.16
(4)安裝ENSP1.3.100
2、打開(kāi)ENSP,拖出拓?fù)鋱D如下:
(1)從ENSP中拖出1臺(tái)client,1臺(tái)傻瓜交換機(jī)(可用S3700),1臺(tái)AR1220路由器,1臺(tái)server
(2)習(xí)慣性的把需要部署的IP地址與子網(wǎng)掩碼標(biāo)識(shí)在拓?fù)渲?br /> (3)連線并將各接口顯示出來(lái)(方便后面配置)
(4)啟動(dòng)各設(shè)備
二、開(kāi)始配置
1、配置client設(shè)置的IP地址與子網(wǎng)掩碼、網(wǎng)關(guān),網(wǎng)關(guān)指向路由器的接口IP
(本例把交換機(jī)當(dāng)傻瓜交換機(jī),所以不做VLAN的配置)
2、配置路由器的接口IP地址與子網(wǎng)掩碼
雙擊啟動(dòng)的路由器后,進(jìn)入命令模式:
system-view #進(jìn)入系統(tǒng)視圖
interface GigabitEthernet0/0/0 #配置g0/0/0端口
ip address 192.168.1.254 255.255.255.0 #給G0/0/0端口配置IP地址與子網(wǎng)掩碼
quit #返回到上一級(jí)
interface GigabitEthernet0/0/1 #配置g0/0/1端口
ip address 192.168.2.254 255.255.255.0 #給G0/0/1端口配置IP地址與子網(wǎng)掩碼
quit #返回到上一級(jí)
3、配置路由器上用于訪問(wèn)FTP服務(wù)器的用戶(hù)名與密碼
ftp server enable #開(kāi)啟路由器上的FTP服務(wù)(路由器也可以用FTP服務(wù)下載保存好的配置文件)
aaa #配置aaa
local-user huawei password cipher huawei #創(chuàng)建用戶(hù)huawei
local-user huawei privilege level 15 #將huawei用戶(hù)的權(quán)限調(diào)整為3-15之間的管理員級(jí)均可
local-user huawei ftp-directory flash: #配置FTP服務(wù)的主目錄為路由器的rom
local-user huawei service-type ftp #配置服務(wù)類(lèi)型為FTP
quit #返回到上一級(jí)
user-interface vty 0 4 #進(jìn)入用戶(hù)視圖
authentication-mode password #配置用戶(hù)認(rèn)證方式為通過(guò)密碼訪問(wèn)
set authentication password cipher huawei #配置認(rèn)證密碼為huawei
4、配置FTP server
(1)配置FTP server的IP地址、子網(wǎng)掩碼和網(wǎng)關(guān)
(2)配置FTP server的根目錄(根目錄選擇好后,點(diǎn)啟動(dòng))
三、驗(yàn)證登錄
1、配置client
2、點(diǎn)登錄后,能看到在FTP server端設(shè)置的根目錄內(nèi)相關(guān)內(nèi)容
四、wireshark對(duì)數(shù)據(jù)包進(jìn)行分析,抓取用戶(hù)名和密碼
1、在拓?fù)鋱D上右擊連線節(jié)點(diǎn),開(kāi)始抓包
2、點(diǎn)client中的登錄后,分析抓取到的FTP協(xié)議的明文數(shù)據(jù)包,user用戶(hù),pass密碼如下:
不用通過(guò)暴力破解或字典分析,輕松獲得FTP用戶(hù)登錄服務(wù)端的過(guò)程中抓取的數(shù)據(jù)包中的用戶(hù)名(user)和密碼(password)。
3、我們?cè)賮?lái)看一下telnet協(xié)議的數(shù)據(jù)包。下圖中10.1.1.2是用戶(hù)端,10.1.1.254是telnet的網(wǎng)絡(luò)設(shè)備端。
我們只看用戶(hù)提交的給網(wǎng)絡(luò)設(shè)備端的telnet數(shù)據(jù),即source源是用戶(hù)端,destination目標(biāo)是網(wǎng)絡(luò)設(shè)備端的數(shù)據(jù)包,如下:
(1)從上圖中可看到,telnet的data是字符ad,記下后繼續(xù):
(2)從上圖中可看到,telnet的data是字符m,記下后繼續(xù):
(3)從上圖中可看到,telnet的data是字符i,記下后繼續(xù):
(4)從上圖中可看到,telnet的data是字符n,記下后繼續(xù):
(5)從上圖中可看到,telnet的data是字符\r\n,代表用戶(hù)已經(jīng)敲了回車(chē)鍵確認(rèn),把上面4步的字符組合,說(shuō)明用戶(hù)輸入的字符就是admin,回車(chē),此時(shí)網(wǎng)絡(luò)設(shè)備端接收到了字符串a(chǎn)dmin,下一個(gè)數(shù)據(jù)包,我們看網(wǎng)絡(luò)設(shè)備端要求用戶(hù)接下來(lái)輸入什么:
注意此時(shí)的源是設(shè)備端10.1.1.254,目標(biāo)是用戶(hù)端10.1.1.2
(6)上圖即為網(wǎng)絡(luò)設(shè)備端要求用戶(hù)端輸入的是password,即密碼,接下來(lái)繼續(xù)看源是用戶(hù)端,目標(biāo)是網(wǎng)絡(luò)設(shè)備端的數(shù)據(jù)包
(7)從上圖可以看出,用戶(hù)輸入密碼時(shí),第一個(gè)字符是h,繼續(xù)往下看
(8)從上圖可以看出,用戶(hù)輸入密碼時(shí),第二個(gè)字符是e,繼續(xù)往下看
(9)從上圖可以看出,用戶(hù)輸入密碼時(shí),第三個(gè)字符是l,繼續(xù)往下看
(10)從上圖可以看出,用戶(hù)輸入密碼時(shí),第四個(gè)字符也是l,繼續(xù)往下看
(11)從上圖可以看出,用戶(hù)輸入密碼時(shí),第五個(gè)字符也是o,繼續(xù)往下看
(11)從上圖可以看出,用戶(hù)輸入密碼時(shí),第六個(gè)字符是\r\n,即回車(chē)鍵確認(rèn),把上面的5個(gè)步聚組合起來(lái),即密碼是hello。
密碼從抓取的數(shù)據(jù)包當(dāng)中就能獲得,所以,telnet傳輸過(guò)程中的安全性并不高。
4、所以我們配置Stelnet遠(yuǎn)程登錄,Stelnet采用的是ssh協(xié)議,抓包如下,所有數(shù)據(jù)包都通過(guò)了加密算法加密,得到的只是加密后的編碼,如下圖:encrypted packet后的即為加密后傳輸?shù)臄?shù)據(jù)。
5、SFTP協(xié)議的服務(wù)端在訪問(wèn)時(shí),提示如下:
從上圖可以看出,Sftp采用了rsa非對(duì)稱(chēng)加密算法、安全散列算法SHA(計(jì)算的值不可逆運(yùn)算得到源碼)、MD5完整性驗(yàn)證,所以在傳輸數(shù)據(jù)的過(guò)程中,安全性相當(dāng)高。
希望對(duì)各網(wǎng)絡(luò)工程師有一定幫助,需要補(bǔ)充或解釋不周之處,敬請(qǐng)指點(diǎn)。
總結(jié)
以上是生活随笔為你收集整理的为什么使用Stelnet与sftp协议,而不用telnet与ftp协议的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: 面向对象嵌入式系统开发7-嵌入式系统的实
- 下一篇: 微信中禁止网页下拉出现网页由XXX提供