SSH方式登录交换机
攻击行为
1、暴力破解密码
攻击者在侦听到SSH端口后,尝试进行连接,交换机提示认证,则会进行暴力破解尝试通过认证,获取访问权限。
2、拒绝服务式攻击
SSH Server支持的用户数有限,在用户登录达到上限后,其他用户将无法登录。这个可能是正常使用造成,也可能是攻击者造成。
安全策略
针对以上攻击行为,可以在交换机上配置如下安全策略。
1、密码认证和Public-Key认证
SSH Server支持密码认证和Public-Key认证,只有通过认证的用户才能登录交换机,进入命令行界面。
2、关闭服务
当开启SSH Server服务器时,交换机将开启Socket服务,易被攻击者扫描。当不使用SSH Server时,可以关闭SSH Server。
3、变更端口号
缺省情况下,SSH服务器的端口号为22。端口号22属于知名端口号,易被扫描和攻击。可以修改SSH Server的端口为私有端口,减小被扫描攻击的概率。
4、ACL
在用户界面视图(user-interface)可以配置各个VTY通道的ACL过滤规则,通过ACL控制允许登录的客户端IP。
5、配置SSH服务器源接口
V200R020C00之前版本,SSH服务器端缺省接收来自所有接口登录连接请求,存在安全风险,建议使用ssh server-source -i命令指定SSH服务器端的源接口。V200R020C00及之后版本,SSH服务器端缺省不接收来自任何接口登录连接的请求,需要通过ssh server-source -i命令指定SSH服务器端的源接口,不建议配置ssh server-source all-interface命令配置SSH服务器的源接口为设备上所有配置了IPv4地址的接口。
成功指定SSH服务器端的源接口后,系统只允许SSH用户通过指定的源接口登录服务器,通过其他接口登录的SSH用户都将被拒绝。但对于已登录到服务器的SSH用户不会产生影响,只限制后续登录的SSH用户。
配置方法
配置密码认证或者RSA认证
密码认证:配置用户testuser的认证方式为密码认证
system-view
[HUAWEI] ssh user testuser
[HUAWEI] ssh user testuser authentication-type password
RSA认证:配置用户testuser的认证方式为RSA认证(RSA要采用2048位及以上算法)system-view
[HUAWEI] ssh user testuser
[HUAWEI] ssh user testuser authentication-type rsa
关闭SSH服务
system-view
[HUAWEI] undo stelnet server enable
变更SSH服务器端口号为55535
system-view
[HUAWEI] ssh server port 55535
配置ACL 2000,允许源IP地址为10.1.1.1的用户登录到交换机
system-view
[HUAWEI] acl 2000
[HUAWEI-acl-basic-2000] rule permit source 10.1.1.1 0
[HUAWEI-acl-basic-2000] quit
[HUAWEI] user-interface vty 14
[HUAWEI-ui-vty14] acl 2000 inbound //当需要限制某个地址或地址段的用户登录到交换机时,使用inbound;当需要限制已经登录的用户登录到其它交换机时,使用outbound。
[HUAWEI-ui-vty14] quit
配置SSH服务器端的源接口为Loopback0
system-view
[HUAWEI] ssh server-source -i loopback 0 //执行本命令前,必须已经成功创建LoopBack接口,且接口下已配置IP地址。