互聯(lián)網(wǎng)給人們生活帶來了極大的便利，然而信息技術的不斷發(fā)展使得互聯(lián)網(wǎng)的雙刃劍效應日漸顯現(xiàn)。許多不法分子、不法組織或間諜機構也充分利用網(wǎng)絡隱蔽資源的“暗房”，將罪惡之手伸向他人、別國的個人隱私、戰(zhàn)略秘密，肆意竊取或非法傳播這些信息，以達到特定的目的。

對于企業(yè)來說，企業(yè)的財政開支狀況、項目申請及研發(fā)文檔等都是非常機密的材料，一些不法的競爭者經(jīng)常通過技術手段竊取機密，使受害者遭受巨大的經(jīng)濟損失，因而我們的網(wǎng)絡管理人員在做好網(wǎng)絡防護和管理的同時，應該注意做好網(wǎng)絡保密工作。

SSH助力 企業(yè)數(shù)據(jù)傳輸保密

數(shù)據(jù)傳輸?shù)谋Ｃ苄允蔷W(wǎng)絡保密的一個重要內(nèi)容，在企業(yè)網(wǎng)絡信息系統(tǒng)中，我們可以采用SSH技術來達到這個目的。

通過使用SSH，用戶可以把所有傳輸?shù)臄?shù)據(jù)進行加密，這樣，“中間人”這種攻擊方式就不可能實現(xiàn)了，而且也能夠防止DNS和IP欺騙。還有一個額外的好處就是傳輸?shù)臄?shù)據(jù)是經(jīng)過壓縮的，所以可以加快傳輸?shù)乃俣?。SSH有很多功能，它既可以代替Telnet，又可以為FTP、POP，甚至PPP提供一個安全的“通道”。

SSH協(xié)議主要由三部分組成

SSH協(xié)議是建立在應用層和傳輸層基礎上的安全協(xié)議，其主要由以下三部分組成，共同實現(xiàn)SSH的安全保密機制:

● 傳輸層協(xié)議。該協(xié)議提供諸如認證、信任和完整性檢驗等安全措施，此外還可以提供數(shù)據(jù)壓縮功能。通常情況下，這些傳輸層協(xié)議都建立在面向連接的TCP數(shù)據(jù)流之上。

● 用戶認證協(xié)議層。用來實現(xiàn)服務器與客戶端用戶之間的身份認證，運行在傳輸層協(xié)議之上。

● 連接協(xié)議層。分配多個加密通道至一些邏輯通道上，它運行在用戶認證層協(xié)議之上。

從客戶端來看，SSH提供兩種級別的安全驗證:

第一種級別是基于口令的安全驗證。只要用戶知道自己的賬號和口令，就可以登錄到遠程主機。所有傳輸?shù)臄?shù)據(jù)都會被加密，但是不能保證用戶正在連接的服務器就是用戶想連接的服務器?？赡軙袆e的服務器在冒充真正的服務器，也就是受到“中間人”這種方式的攻擊。

第二種級別是基于密鑰的安全驗證。需要依靠密鑰，也就是用戶必須為自己創(chuàng)建一對密鑰，并把公用密鑰放在需要訪問的服務器上。如果用戶連接到SSH服務器上，客戶端軟件就會向服務器發(fā)出請求，請求用用戶的密鑰進行安全驗證。服務器收到請求之后，在指定目錄下尋找用戶的公用密鑰，然后把它和用戶發(fā)送過來的公用密鑰進行比較。如果兩個密鑰一致，服務器就用公用密鑰加密“質(zhì)詢”(challenge)并把它發(fā)送給客戶端軟件。客戶端軟件收到“質(zhì)詢”之后就可以用用戶的私人密鑰解密再把它發(fā)送給服務器。

用這種方式，必須知道自己密鑰的口令。但是，與第一種級別相比，第二種級別不需要在網(wǎng)絡上傳送口令。第二種級別由于加密所有傳送的數(shù)據(jù)，所以“中間人”這種攻擊方式是不可能的(因為他沒有用戶的私人密鑰)。

在用戶使用SSH的過程中，需要注意SSH是由客戶端和服務端的軟件組成的，有兩個不兼容的版本分別是: 1.x和2.x。用SSH 2.x的客戶程序不能連接到SSH 1.x的服務程序上。當前，SSH技術在Windows和Linux平臺互訪及數(shù)據(jù)交換時應用非常普遍。一般情況是通過使用Linux下的SSH服務器，然后使用Putty、Secure Shell Client等Windows下的客戶端軟件來訪問。

admin

收藏 海報分享