基于SSH的網(wǎng)絡(luò)安全解決方案-技術(shù)方案

精品文檔-下載后可編輯基于SSH的網(wǎng)絡(luò)安全解決方案-技術(shù)方案Ｉｎｔｅｒｎｅｔ是當(dāng)今廣泛使用的計(jì)算機(jī)網(wǎng)絡(luò)，ＴＣＰ／ＩＰ協(xié)議則是Ｉｎｔｅｒｎｅｔ采用的網(wǎng)絡(luò)通信協(xié)議。由于ＴＣＰ／ＩＰ協(xié)議本身缺乏可靠的安全機(jī)制以及Ｉｎｔｅｒｎｅｔ的開(kāi)放性，其安全性就顯得更加脆弱。目前有多種網(wǎng)絡(luò)安全的解決方案，分別實(shí)現(xiàn)在ＴＣＰ／ＩＰ協(xié)議棧的不同層次上：在物理層上使用機(jī)械或電器方法防止信息被非法竊取，如電磁泄漏保護(hù)；在數(shù)據(jù)鏈路層上使用硬件加密設(shè)備直接加／解密鏈路兩端的數(shù)據(jù)或采用用于組建遠(yuǎn)程訪問(wèn)ＶＰＮ的安全協(xié)議ＰＰＴＰ和Ｌ２ＴＰ創(chuàng)建安全通道；在網(wǎng)絡(luò)層上通過(guò)基于ＩＰＳｅｃ規(guī)范的安全協(xié)議實(shí)現(xiàn)各種方式的ＶＰＮ；在傳輸層使用ＳＳＬ，ＴＬＳ等安全協(xié)議提供端對(duì)端的安全通訊；在應(yīng)用層則可以實(shí)現(xiàn)對(duì)某些特殊服務(wù)進(jìn)行單獨(dú)保護(hù)，如Ｓ－ＨＴＴＰ等。在眾多的網(wǎng)絡(luò)安全解決方案中，當(dāng)然可以采用ＶＰＮ和防火墻來(lái)保護(hù)自己的信息安全。然而，除了這些措施以外，很多公司實(shí)際上遺漏了一種不起眼但卻很健壯有效的解決方案－－－（ＳＳＨ（ＳｅｃｕｒｅＳｈｅｌｌ）。

１ＳＳＨ協(xié)議

１．１ＳＳＨ協(xié)議介紹

ＳＳＨ，即ＳｅｃｕｒｅＳｈｅｌｌ，是一種介于傳輸層和應(yīng)用層之間的加密隧道協(xié)議，具有Ｃ／Ｓ的體系結(jié)構(gòu)。ＳＳＨ可以在本地主機(jī)和遠(yuǎn)程服務(wù)器之間設(shè)置“加密隧道”，并且這樣設(shè)置的“加密隧道”可以跟常見(jiàn)的ＦＴＰ，ＳＭＴＰ，ＰＯＰ應(yīng)用程序，Ｘ應(yīng)用程序相結(jié)和。目的是要在非安全的網(wǎng)絡(luò)上提供安全的遠(yuǎn)程登陸和相應(yīng)的網(wǎng)絡(luò)安全服務(wù)。既然ＳＳＨ是以提供安全服務(wù)為目標(biāo)的協(xié)議，其中必不可少的是一套完備的密匙機(jī)制。由于ＳＳＨ協(xié)議是面向互聯(lián)網(wǎng)中主機(jī)之間的互訪與信息交換，所以主機(jī)密匙成為基本的密匙機(jī)制。即ＳＳＨ要求每一個(gè)使用本協(xié)議的主機(jī)都必須至少有一個(gè)自己的主機(jī)密匙對(duì)，服務(wù)器方通過(guò)對(duì)客戶方主機(jī)密匙的之后，才允許其連接請(qǐng)求。一個(gè)主機(jī)可以使用多個(gè)密匙，針對(duì)不同的密匙算法而擁有不同的密匙。

ＳＳＨ在運(yùn)行方式上，不像其他ＴＣＰ／ＩＰ應(yīng)用，被設(shè)計(jì)為工作于自己的基礎(chǔ)之上，而不是利用包裝（Ｗｒａｐｐｅｒｓ）或通過(guò)Ｉｎｔｅｒｎｅｔ守護(hù)進(jìn)程ｉｎｅｔｄ運(yùn)行。

１．２ＳＳＨ協(xié)議工作機(jī)制

根據(jù)ＩＥＴＦ關(guān)于ＳＳＨ草案的定義，ＳＳＨ協(xié)議包含３個(gè)組成部分（層次）。

（１）傳輸層協(xié)議（ＳＳＨ－ＴＲＡＮＳ）

ＳＳＨ的傳輸層協(xié)議負(fù)責(zé)進(jìn)行服務(wù)器，數(shù)據(jù)加密和完整性保護(hù)，并可以提供數(shù)據(jù)壓縮的功能。ＳＳＨ傳輸層協(xié)議是建立在提供“底層”可靠的ＴＣＰ連接之上的，當(dāng)然，也可以用在其他可靠的數(shù)據(jù)流協(xié)議中。傳輸層的是基于主機(jī)的（并非面向用戶的），目的就在于為真正的上層應(yīng)用提供安全保證。當(dāng)ＳＳＨ用在ＴＣＰ／ＩＰ協(xié)議上時(shí)，ＳＳＨ服務(wù)器一端一般會(huì)監(jiān)聽(tīng)ＴＣＰ２２端口，一旦客戶端和服務(wù)器端的ＴＣＰ連接建立起來(lái)，ＳＳＨ傳輸層協(xié)議就開(kāi)始發(fā)揮作用了。在這個(gè)階段，客戶端和服務(wù)器要約定使用的ＳＳＨ協(xié)議版本，要協(xié)商選定雙方都支持的算法、加密算法、哈希算法和數(shù)據(jù)壓縮算法。協(xié)商好算法和密匙交換方法后，服務(wù)器端會(huì)向客戶端發(fā)送自己的主機(jī)密匙（ＨｏｓｔＫｅｙ），即服務(wù)器的公匙（ＰｕｂｌｉｃＫｅｙ），以驗(yàn)證服務(wù)器的身份。雙方還要依據(jù)協(xié)商好的加密算法生成性加密密匙，用于對(duì)整個(gè)商變更加密密匙。此外，傳輸層協(xié)議需要生成一個(gè)會(huì)話ＩＤ（ＳｅｓｓｉｏｎＩｄｅｎｔｉｆｉｅｒ），用于惟一標(biāo)識(shí)本次會(huì)話連接。等所有這些過(guò)程結(jié)束后，客戶端就可以向服務(wù)器發(fā)送服務(wù)請(qǐng)求了，服務(wù)器接受２類請(qǐng)求：用戶服務(wù)（ＳＳＨ－ＵＳＥＲＡＵＴＨ）和連接服務(wù)（ＳＳＨ－ＣＯＭＭＥＣＴＩＯＮ）。

ＳＳＨ支持的公匙算法有ＤＳＡ和ＲＳＡ，支持的對(duì)稱密匙算法包括ＤＥＳ，３ＤＥＳ，Ｂｌｏｗｆｉｓｈ，Ｔｗｏｆｉｓｈ，ＩＤＥＡ，ＡＲＣＦＯＵＲ和ＣＡＳＴ－１２８，支持的哈希算法有ＳＨＡ－１，ＭＤ５等，支持Ｄｉｆｆｉｅ－Ｈｅｌｌｍａｎ密匙交換方法。

（２）用戶協(xié)議（ＳＳＨ－ＵＸＥＲＡＵＴＨ）

用戶協(xié)議是建立在傳輸層協(xié)議之上的，當(dāng)用戶進(jìn)行時(shí)，假定底層（傳輸層）協(xié)議已經(jīng)提供了數(shù)據(jù)完整性和機(jī)密性保護(hù)。用戶協(xié)議接受傳輸層協(xié)議確定的會(huì)話ＩＤ，作為本次會(huì)話過(guò)程的惟一標(biāo)識(shí)。服務(wù)器首先會(huì)發(fā)起用戶，他他會(huì)告訴客戶端服務(wù)器所支持的方式，客戶端可以從中選擇。一旦用戶成功，根據(jù)客戶端的請(qǐng)求，服務(wù)器將會(huì)啟動(dòng)相應(yīng)的服務(wù)（在連接協(xié)議建立的邏輯通道中進(jìn)行數(shù)據(jù)傳輸）。ＳＳＨ支持的用戶方法包括：公匙方法、口令方法、基于主機(jī)的和ＰＡＭ等。

（３）連接協(xié)議（ＳＳＨ－ＣＯＮＮＥＣＴ）

連接協(xié)議可以提供交互的Ｓｈｅｌｌ會(huì)話，支持遠(yuǎn)程命令執(zhí)行，提供ＴＣＰ端口以及Ｘ１１連接轉(zhuǎn)發(fā)功能。通過(guò)將惟一一個(gè)加密隧道（ｔｕｎｎｅｌ）多路復(fù)用成若干個(gè)邏輯通道，提供給更高層的應(yīng)用協(xié)議使用。邏輯通道是由兩端的通道號(hào)來(lái)惟一標(biāo)識(shí)的。要啟動(dòng)某個(gè)應(yīng)用服務(wù)，首先要建立一個(gè)新的邏輯通道，這期間，先要分配兩端的通道號(hào)，協(xié)商緩存窗口的大小，然后是建立正式的會(huì)話，啟動(dòng)應(yīng)用程序。各種高層應(yīng)用協(xié)議可以相對(duì)獨(dú)立于ＳＳＨ基本體系之外，并依靠這個(gè)基本框架，通過(guò)連接協(xié)議使用ＳＳＨ的安全機(jī)制。

１．３算法

以ＳＳＨ協(xié)議２．０為例，其常用公匙算法ＲＳＡ或ＤＳＡ進(jìn)行身份，用對(duì)稱密匙算法３ＤＥＳ進(jìn)行傳輸數(shù)據(jù)加密，用Ｄｉｆｆｉｅ－Ｈｅｌｌｍａｎ密匙協(xié)議算法交換密匙，用散列函數(shù)ＳＨＡ－１或ＭＤ５進(jìn)行完整性檢測(cè)，用ｚｌｉｂ進(jìn)行數(shù)據(jù)壓縮。

２具體應(yīng)用及安全模型

具體應(yīng)用時(shí)，ＳＳＨ可以提供３類服務(wù)：

２．１安全遠(yuǎn)程登錄和安全遠(yuǎn)程命令執(zhí)行：替代傳統(tǒng)的ｔｅｌｎｅｔ和ｒｌｏｇｉｎ，ｒｓｈ命令

網(wǎng)絡(luò)遭受攻擊，很多情況是由于服務(wù)器提供了Ｔｅｌｎｅｔ服務(wù)引起的。對(duì)于ＵＮＩＸ系統(tǒng)，如果要遠(yuǎn)程管理他，必定要使用遠(yuǎn)程終端，而要使用遠(yuǎn)程終端，自然要在服務(wù)器上啟動(dòng)Ｔｅｌｎｅｔ服務(wù)。但是Ｔｅｌｎｅｔ服務(wù)有一個(gè)致命的弱點(diǎn)他以明文的方式傳輸用戶名及口令，所以，很容易被第三者竊取口令。一種有效代替Ｔｅｌｎｅｔ服務(wù)的工具就是ＳＳＨ。用戶要登錄到遠(yuǎn)程計(jì)算機(jī)用戶賬號(hào)中，可以使用命令：

＃ｓｓｈｕｓｅｒｎａｍｅ＠ｒｅｍｏｔｅｃｏｍｐｕｔｅｒ

整個(gè)登錄會(huì)話在客戶端和服務(wù)器之間傳輸時(shí)都是經(jīng)過(guò)加密的，從而實(shí)現(xiàn)了安全遠(yuǎn)程登錄。

對(duì)系統(tǒng)管理員來(lái)說(shuō)，如果要查看局域網(wǎng)中４臺(tái)計(jì)算機(jī)（Ａ，Ｂ，Ｃ，Ｄ）上的每個(gè)用戶啟動(dòng)的進(jìn)程，按傳統(tǒng)方法，可以使用ｒｓｈ：

＃?。猓椋睿螅?/p>

ｆｏｒｍａｃｈｉｎｅｉｎＡＢＣＤｄｏ

ｒｓｈ￥ｍａｃｈｉｎｅ／ｕｓｒ／ｕｃｂ／ｗ

ｄｏｎｅ

雖然這種方法可以達(dá)到目的，卻不安全。／ｕｓｒ／ｕｃｂ／ｗ的結(jié)果在網(wǎng)絡(luò)上是明文傳輸?shù)?。可以利用ＳＳＨ代替ＲＳＨ，?shí)現(xiàn)安全遠(yuǎn)程命令執(zhí)行。

２．２安全文件傳輸：替代傳統(tǒng)的ｒｃｐ，ｆｔｐ命令

傳統(tǒng)的文件傳輸程序（ｆｔｐ．ｒｃｐ或Ｅ－ｍａｉｌ）都不能提供一種安全的解決方案。當(dāng)文件在網(wǎng)絡(luò)上傳輸時(shí)，第三方總可以將其截獲并讀取其中的數(shù)據(jù)包。要防止這種問(wèn)題，可以采取很多措施，例如，在源計(jì)算機(jī)上使用ＰＧＰ（ＰｒｅｔｔｙＧｏｏｄＰｒｉｖａｃｙ）之類的程序?qū)ξ募M(jìn)行加密，然后使用傳統(tǒng)的方法把文件傳輸?shù)侥康挠?jì)算機(jī)，并在此處解密文件。然而，這個(gè)過(guò)程比較復(fù)雜，而且對(duì)用戶不是透明的。利用ＳＳＨ，用戶只需使用一個(gè)拷貝命令ｓｃｐ就可以在兩臺(tái)計(jì)算機(jī)之間安全的傳輸文件：＃ｓｃｐｎａｍｅ－ｏｆ－ｓｏｕｒｃｅｎａｍｅ－ｏｆ－ｄｅｓｔｉｎａｔｉｏｎ，文件在離開(kāi)源計(jì)算機(jī)時(shí)加密，到達(dá)目的計(jì)算機(jī)時(shí)自動(dòng)解密。雖然ｓｃｐ命令十分有效，但用戶可能更熟悉ｆｔｐ的命令。ｓｆｔｐ是在ＳＳＨ之上的一個(gè)基于ＳＦＴＰ協(xié)議的獨(dú)立的文件傳輸工具：

＃ｓｆｔｐｕｓｅｒｎａｍｅ＠ｒｅｍｏｔｅｃｏｍｐｕｔｅｒｓｆｔｐ＞

ｓｆｔｐ＞

在一個(gè)ｓｆｔｐ會(huì)話中可以調(diào)用多個(gè)命令進(jìn)行文件拷貝和處理，而ｓｃｐ每次調(diào)用時(shí)都要打開(kāi)一個(gè)新會(huì)話。

其實(shí)，ＳＳＨ并不執(zhí)行文件傳輸。在ＳＳＨ協(xié)議中沒(méi)有任何傳輸文件的內(nèi)容，ＳＳＨ通信者不能請(qǐng)求對(duì)方通過(guò)ＳＳＨ協(xié)議來(lái)發(fā)送或接收文件。ｓｃｐ，ｓｆｔｐ程序并沒(méi)有真正實(shí)現(xiàn)ＳＳＨ協(xié)議，也根本沒(méi)有融合什么安全特性。實(shí)際上，他們只是在一個(gè)子進(jìn)程中調(diào)用ＳＳＨ進(jìn)行遠(yuǎn)程登錄，然后傳輸文件，調(diào)用ＳＳＨ關(guān)閉本次連接而已。

２．３轉(zhuǎn)發(fā)：包括對(duì)各種ＴＣＰ應(yīng)用的端口轉(zhuǎn)發(fā)以及Ｘ１１連接轉(zhuǎn)發(fā)

ＳＳＨ可以增加基于ＴＣＰ／ＩＰ的應(yīng)用程序的安全性。這是通過(guò)一種稱為轉(zhuǎn)發(fā)（ｆｏｒｗａｒｄｉｎｇ）或隧道（ｔｕｎｎｅｌｉｎｇ）的技術(shù)來(lái)實(shí)現(xiàn)的。該技術(shù)通過(guò)對(duì)ＴＣＰ／ＩＰ連接進(jìn)行重新路由，使其通過(guò)ＳＳＨ連接傳輸，并且透明地進(jìn)行端到端的加密（實(shí)際上，這已經(jīng)算是基本的ＶＰＮ功能了）。

２．３．１端口轉(zhuǎn)發(fā)（ｐｏｒｔｆｏｒｗａｒｄｉｎｇ）

ＳＳＨ使用的傳輸機(jī)制是ＴＣＰ／ＩＰ，通常使用的都是服務(wù)器的ＴＣＰ端口２２，并對(duì)經(jīng)過(guò)連接傳輸?shù)臄?shù)據(jù)進(jìn)行加解密操作。用ＳＳＨ對(duì)其他應(yīng)用程序在別的ＴＣＰ端口上建立的ＴＣＰ／ＩＰ傳輸進(jìn)行加密和解密，這一過(guò)程稱為端口轉(zhuǎn)發(fā)。端口轉(zhuǎn)發(fā)可以使ｔｅｌｎｅｔ，ｐｏｐ３，ｓｍｔｐ，ｎｎｔｐ和ｉｍａｐ等基于ＴＣＰ／ＩＰ的不安全協(xié)議變得安全。

假設(shè)用戶要在家里的主機(jī)Ｈ上運(yùn)行一個(gè)Ｅｍａｉｌ閱讀程序，訪問(wèn)位于企業(yè)局域網(wǎng)內(nèi)部的一臺(tái)ＩＭＡＰ服務(wù)器Ｓ。要使ＩＭＡＰ連接通過(guò)ＳＳＨ隧道，就得在主機(jī)Ｈ上選擇一個(gè)本地端口（１０２４～６５５３５），將其發(fā)送至遠(yuǎn)程套接字（Ｓ，１４３）。假設(shè)隨機(jī)選取本地端口２００３，則創(chuàng)建隧道的命令為：＃ｓｓｈＬ２００３：ｌｏｃａｌｈｏｓｔ：１４３Ｓ，其中，－Ｌ表明是本地轉(zhuǎn)發(fā)，此時(shí)ＴＣＰ客戶端與ＳＳＨ客戶端同在本地主機(jī)上。現(xiàn)在，Ｅｍａｉｌ閱讀程序連接本地套接字（ｌｏｃａｌｈｏｓｔ，２００３）即可安全的閱讀ＩＭＡＰ服務(wù)器上的郵件。

遠(yuǎn)程轉(zhuǎn)發(fā)與本地轉(zhuǎn)發(fā)幾乎完全相同，只是方向相反，此時(shí)ＴＣＰ客戶端在遠(yuǎn)程，服務(wù)器在本地，轉(zhuǎn)發(fā)連接由遠(yuǎn)程主機(jī)發(fā)起（其創(chuàng)建隧道的命令為＃ｓｓｈ－Ｒ２００３：ｌｏｃａｌｈｏｓｔ：１４３Ｈ）。

一般意義上講，ＳＳＨ端口轉(zhuǎn)發(fā)是ＴＣＰ使用的一種通用代理機(jī)制，而且只能用于ＴＣＰ／ＩＰ協(xié)議，如果協(xié)議不是基于ＴＣＰ的，比如基于ＵＤＰ的ＤＮＳ，ＤＨＣＰ，ＮＦＳ和ＮｅｔＢＩＯＳ或者非ＩＰ類協(xié)議，如ＡｐｐｌｅＴａｌｋ或Ｎｏｖｅｌｌ的ＳＰＸ／ＩＰＸ，就不能使用端口轉(zhuǎn)發(fā)機(jī)制。

２．３．２Ｘ轉(zhuǎn)發(fā)

ＸＷｉｎｄｏｗ是Ｕｎｉｘ工作站上很流行的窗口系統(tǒng)，其中一項(xiàng)重要功能就是他的透明性。用戶可以運(yùn)行遠(yuǎn)程Ｘ應(yīng)用程序，并將其顯示在本地機(jī)器上。但是機(jī)器間的通訊不安全，他完全暴露在窺探器之下。利用ＳＳＨ，可以將Ｘ協(xié)議連接導(dǎo)入ＳＳＨ連接，以保障其安全性，并提供更強(qiáng)的，此項(xiàng)功能稱為Ｘ轉(zhuǎn)發(fā)。Ｘ轉(zhuǎn)發(fā)是端口轉(zhuǎn)發(fā)的一個(gè)特例，ＳＳＨ對(duì)此提供特別支持。

以ＳＳＨ２．０協(xié)議的實(shí)現(xiàn)為例，在客戶端配置文件中將關(guān)鍵字ＦｏｒｗａｒｄＸ１１設(shè)置成ｙｅｓ或ｎｏ來(lái)啟用或禁用Ｘ轉(zhuǎn)發(fā)。服務(wù)器范圍配置關(guān)鍵字Ｘ１１Ｆｏｒｗａｒｄｉｎｇ及其同義詞ＦｏｒｗａｒｄＸ１１和ＡｌｌｏｗＸ１１Ｆｏｒｗａｒｄｉｎｇ可以在服務(wù)器端啟用／禁用Ｘ轉(zhuǎn)發(fā)。

在以上ＳＳＨ所提供的３種服務(wù)的基礎(chǔ)上，可以建構(gòu)基于ＳＳＨ的網(wǎng)絡(luò)安全模型，如圖１所示。

企業(yè)實(shí)際部署時(shí)可將防火墻與ＳＳＨ服務(wù)器實(shí)現(xiàn)于同一臺(tái)計(jì)算機(jī)，即企業(yè)局域網(wǎng)的網(wǎng)關(guān)主機(jī)中。ＳＳＨ可采用的ＯｐｅｎＳＳＨ或商業(yè)產(chǎn)品Ｆ－ＳｅｃｕｒｅＳＳＨ，而防火墻則采用普通的軟件防火墻產(chǎn)品，例如東大阿爾派ＮｅｔＥｙｅ２．０。

３安全性分析

ＳＳＨ解決了許多和網(wǎng)絡(luò)有關(guān)的安全漏洞，有效地防止了網(wǎng)絡(luò)竊聽(tīng)（Ｓｎｉｆｆｅｒ）、ＩＰ欺騙、ＤＮＳ欺騙、連接劫持（ＣｏｎｎｅｃｔｉｏｎＨｉｊａｃｋｉｎｇ）、插入攻擊（ＣｏｍｐｅｎｓａｔｉｏｎＡｔｔａｃｋ）和中間人攻擊（ｍａｎ－ｉｎ－ｔｈｅ－ｍｉｄｄｌｅ）等，但并沒(méi)有解決全部問(wèn)題，尤其是他仍然容易受到針對(duì)底層ＴＣＰ／ＩＰ缺陷而發(fā)起的服務(wù)器拒絕攻擊（ＤｏＳ）；他也不能解決一些考慮環(huán)境因素而產(chǎn)生的攻擊方法，例如流量分析和隱秘通道；也不能防止出現(xiàn)病毒，Ｔｒｏｊｉｎ木馬和咖啡豆（ｃｏｆｆｅｅｓｐｉｌｌ）。對(duì)于ＴＣＰ／ＩＰ的缺陷引起的問(wèn)題，只能通過(guò)更低級(jí)的網(wǎng)絡(luò)層技術(shù)才能很好的解決，例如硬件鏈路加密或ＩＰＳｅｃ；對(duì)于流量分析攻擊，ＳＳＨ可以在空閑時(shí)發(fā)送一些隨機(jī)的，非操作性的信息來(lái)干擾活動(dòng)狀態(tài)的分析（目前的ＳＳＨ產(chǎn)品還沒(méi)有實(shí)現(xiàn)這種特性）；對(duì)于病毒等則需要病毒防火墻來(lái)解決。

４結(jié)