基于SSH的网络安全解决方案

２具体应用及安全模型

具体应用时，ＳＳＨ可以提供３类服务：

２．１　安全远程登录和安全远程命令执行：替代传统的ｔｅｌｎｅｔ和ｒｌｏｇｉｎ，ｒｓｈ命令

网络遭受攻击，很多情况是由于服务器提供了Ｔｅｌｎｅｔ服务引起的。对于ＵＮＩＸ系统，如果要远程管理他，必定要使用远程终端，而要使用远程终端，自然要在服务器上启动Ｔｅｌｎｅｔ服务。但是Ｔｅｌｎｅｔ服务有一个致命的弱点他以明文的方式传输用户名及口令，所以，很容易被第三者窃取口令。一种有效代替Ｔｅｌｎｅｔ服务的工具就是ＳＳＨ。用户要登录到远程计算机用户账号中，可以使用命令：

＃ｓｓｈ　ｕｓｅｒｎａｍｅ＠ｒｅｍｏｔｅｃｏｍｐｕｔｅｒ

整个登录会话在客户端和服务器之间传输时都是经过加密的，从而实现了安全远程登录。

对系统管理员来说，如果要查看局域网中４台计算机（Ａ，Ｂ，Ｃ，Ｄ）上的每个用户启动的进程，按传统方法，可以使用ｒｓｈ：

＃！／ｂｉｎ／ｓｈ

ｆｏｒ　ｍａｃｈｉｎｅ　ｉｎ　Ａ　Ｂ　ＣＤｄｏ

ｒｓｈ￥ｍａｃｈｉｎｅ／ｕｓｒ／ｕｃｂ／ｗ

ｄｏｎｅ

虽然这种方法可以达到目的，却不安全。／ｕｓｒ／ｕｃｂ／ｗ的结果在网络上是明文传输的。可以利用ＳＳＨ代替ＲＳＨ，实现安全远程命令执行。

２．２　安全文件传输：替代传统的ｒｃｐ，ｆｔｐ命令

传统的文件传输程序（ｆｔｐ．ｒｃｐ或Ｅ－ｍａｉｌ）都不能提供一种安全的解决方案。当文件在网络上传输时，第三方总可以将其截获并读取其中的数据包。要防止这种问题，可以采取很多措施，例如，在源计算机上使用ＰＧＰ（ＰｒｅｔｔｙＧｏｏｄ　Ｐｒｉｖａｃｙ）之类的程序对文件进行加密，然后使用传统的方法把文件传输到目的计算机，并在此处解密文件。然而，这个过程比较复杂，而且对用户不是透明的。利用　ＳＳＨ，用户只需使用一个拷贝命令ｓｃｐ就可以在两台计算机之间安全的传输文件：＃ｓｃｐ　ｎａｍｅ－ｏｆ－ｓｏｕｒｃｅ　ｎａｍｅ－ｏｆ－ｄｅｓｔｉｎａｔｉｏｎ，文件在离开源计算机时　加密，到达目的计算机时自动解密。虽然ｓｃｐ命令十分有效，但用户可能更熟悉ｆｔｐ的命令。ｓｆｔｐ是在ＳＳＨ之上的一个基于ＳＦＴＰ协议的独立的文件传输工具：

＃ｓｆｔｐ　ｕｓｅｒｎａｍｅ＠ｒｅｍｏｔｅｃｏｍｐｕｔｅｒｓｆｔｐ＞

ｓｆｔｐ＞

在一个ｓｆｔｐ会话中可以调用多个命令进行文件拷贝和处理，而ｓｃｐ每次调用时都要打开一个新会话。

其实，ＳＳＨ并不执行文件传输。在ＳＳＨ协议中没有任何传输文件的内容，ＳＳＨ通信者不能请求对方通过ＳＳＨ协议来发送或接收文件。ｓｃｐ，ｓｆｔｐ程序并没有真正实现ＳＳＨ协议，也根本没有融合什么安全特性。实际上，他们只是在一个子进程中调用ＳＳＨ进行远程登录，然后传输文件，最后调用ＳＳＨ关闭本次连接而已。

２．３　转发：包括对各种ＴＣＰ应用的端口转发以及Ｘ１１连接转发

ＳＳＨ可以增加基于ＴＣＰ／ＩＰ的应用程序的安全性。这是通过一种称为转发（ｆｏｒｗａｒｄｉｎｇ）或隧道（ｔｕｎｎｅｌｉｎｇ）的技术来实现的。该技术通过对ＴＣＰ／ＩＰ连接进行重新路由，使其通过ＳＳＨ连接传输，并且透明地进行端到端的加密（实际上，这已经算是基本的ＶＰＮ功能了）。

２．３．１　端口转发（ｐｏｒｔ　ｆｏｒｗａｒｄｉｎｇ）

ＳＳＨ使用的传输机制是ＴＣＰ／ＩＰ，通常使用的都是服务器的ＴＣＰ端口２２，并对经过连接传输的数据进行加解密操作。用ＳＳＨ对其他应用程序在别的ＴＣＰ端口上建立的ＴＣＰ／ＩＰ传输进行加密和解密，这一过程称为端口转发。端口转发可以使ｔｅｌｎｅｔ，ｐｏｐ３，ｓｍｔｐ，ｎｎｔｐ和ｉｍａｐ等基于ＴＣＰ／ＩＰ的不安全协议变得安全。

假设用户要在家里的主机Ｈ上运行一个Ｅｍａｉｌ阅读程序，访问位于企业局域网内部的一台ＩＭＡＰ服务器Ｓ。要使ＩＭＡＰ连接通过ＳＳＨ隧道，就得在主机Ｈ上选择一个本地端口（１　０２４～６５　５３５），将其发送至远程套接字（Ｓ，１４３）。假设随机选取本地端口２００３，则创建隧道的命令为：＃ｓｓｈＬ２００３：ｌｏｃａｌｈｏｓｔ：１４３　Ｓ，其中，－Ｌ表明是本地转发，此时ＴＣＰ客户端与ＳＳＨ客户端同在本地主机上。现在，Ｅｍａｉｌ阅读程序连接本地套接字（ｌｏｃａｌｈｏｓｔ，２００３）即可安全的阅读ＩＭＡＰ服务器上的邮件。

远程转发与本地转发几乎完全相同，只是方向相反，此时ＴＣＰ客户端在远程，服务器在本地，转发连接由远程主机发起（其创建隧道的命令为＃ｓｓｈ－Ｒ２００３：ｌｏｃａｌｈｏｓｔ：１４３　Ｈ）。

一般意义上讲，ＳＳＨ端口转发是ＴＣＰ使用的一种通用代理机制，而且只能用于ＴＣＰ／ＩＰ协议，如果协议不是基于ＴＣＰ的，比如基于ＵＤＰ的ＤＮＳ，ＤＨＣＰ，ＮＦＳ和ＮｅｔＢＩＯＳ或者非ＩＰ类协议，如ＡｐｐｌｅＴａｌｋ或Ｎｏｖｅｌｌ的ＳＰＸ／ＩＰＸ，就不能使用端口转发机制。

２．３．２　Ｘ转发

ＸＷｉｎｄｏｗ是Ｕｎｉｘ工作站上很流行的窗口系统，其中一项重要功能就是他的透明性。用户可以运行远程Ｘ应用程序，并将其显示在本地机器上。但是机器间的通讯不安全，他完全暴露在窥探器之下。利用ＳＳＨ，可以将Ｘ协议连接导入ＳＳＨ连接，以保障其安全性，并提供更强的认证，此项功能称为Ｘ转发。Ｘ转发是端口转发的一个特例，ＳＳＨ对此提供特别支持。

以ＳＳＨ２．０协议的实现为例，在客户端配置文件中将关键字ＦｏｒｗａｒｄＸ１１设置成ｙｅｓ或ｎｏ来启用或禁用Ｘ转发。服务器范围配置关键字Ｘ１１Ｆｏｒｗａｒｄｉｎｇ及其同义词ＦｏｒｗａｒｄＸ１１和ＡｌｌｏｗＸ１１Ｆｏｒｗａｒｄｉｎｇ可以在服务器端启用／禁用Ｘ转发。

在以上ＳＳＨ所提供的３种服务的基础上，可以建构基于ＳＳＨ的网络安全模型，如图１所示。