华为交换机SSH配置

一、 简介

1、SSH概念

SSH是一种用于通过网络连接到远程计算机并执行命令的协议。它提供了加密的通信会话，使得用户可以在不安全的网络中安全地传输数据。SSH协议最初由芬兰的Tatu Ylönen在1995年创建，旨在解决Telnet和非加密的远程登录方法存在的安全漏洞

2、SSH作用

• 安全远程登录： SSH允许用户通过网络远程登录到另一台计算机或网络设备上，而无需物理接触设备。这对于远程管理服务器、路由器、交换机等设备非常有用。

• 安全文件传输： SSH还提供了一种安全的文件传输机制，称为SCP（Secure Copy Protocol）和SFTP（SSH File Transfer Protocol），使用户可以在网络上安全地传输文件。

• 加密通信： SSH使用加密技术来保护通信数据，防止数据在传输过程中被窃听或篡改。这使得用户可以放心地在不安全的网络中进行通信。

• 端口转发： SSH还支持端口转发功能，可以在客户端和服务器之间建立安全的通信隧道，将本地端口上的流量转发到远程主机上，并使其似乎来自远程主机

3、SSH的重要性

• 数据安全性： SSH提供了加密的通信机制，可以有效地保护交换机与管理员之间的通信，防止数据在传输过程中被窃听或篡改。这对于保护敏感信息和网络安全至关重要。

• 远程管理安全： SSH允许管理员通过网络远程登录到交换机上进行管理操作，而无需物理接触设备。通过配置SSH，管理员可以安全地远程管理交换机，从而提高了管理的便捷性和效率。

• 防止未授权访问： 配置SSH可以限制只有经过授权的用户才能远程登录到交换机，并通过身份验证进行访问。这可以有效地防止未授权的访问和恶意攻击。

• 避免明文传输： SSH可以防止交换机管理数据以明文形式在网络中传输，这可以避免敏感信息被攻击者截取并窃取。相比之下，使用Telnet等明文传输协议存在安全风险。

• 符合安全合规性要求： 许多安全标准和法规要求网络设备的远程管理和通信必须采用安全的加密机制，如PCI DSS、HIPAA等。配置SSH可以帮助组织符合这些安全合规性要求

二、实战案例

1、实验拓扑图

2、交换机配置

#进入调试视图
<Huawei>system-view
#进入vlan1
[Huawei]interface vlan 1
#配置IP地址
[Huawei-Vlanif1]ip address 192.168.88.250 24
#退出
[Huawei-Vlanif1]quit
#最大连接数为4个
[Huawei]user-interface vty 0 4	
#采用aaa认证
[Huawei-ui-vty0-4]authentication-mode aaa
#使用ssh连接
[Huawei-ui-vty0-4]protocol inbound ssh
#退出
[Huawei-ui-vty0-4]quit 
#进入aaa认证配置
[Huawei]aaa
#创建账号为sword加密密码为123456
[Huawei-aaa]local-user sword password cipher 123456
#设置账号权限最高等级15
[Huawei-aaa]local-user test privilege level 15
#设置账号是用来连接ssh协议的
[Huawei-aaa]local-user test service-type ssh
#退出
[Huawei-aaa]quit 
#ssh创建账号
[Huawei]ssh user sword
#使用普通密码
[Huawei]ssh user sword authentication-type password
#账号用于ssh
[Huawei]ssh user sword service-type stelnet 
#开启ssh服务
[Huawei]stelnet server enable 

3、实验结果

三、 验证SSH配置

1、检查SSH服务状态

[Huawei]display ssh server status

2、测试SSH登录

四、额外安全措施

1、配置SSH超时时间

设置全局SSH超时时间,<timeout-value>是以分钟为单位的超时时间，表示连接空闲多长时间后自动断开连接

ssh server timeout <timeout-value>

设置用户级别SSH超时时间：也可以针对特定用户设置SSH会话的超时时间，<line-number>是虚拟终端线路的编号（通常为0到15），<timeout-value>是以分钟为单位的超时时间

user-interface vty 0 <line-number>
idle-timeout <timeout-value>

2、设置登录失败次数限制

<retry-count>是允许的最大登录失败次数。超过此次数后，将会暂时禁止该用户的SSH登录,合理设置登录失败次数的限制，可以有效防止暴力攻击和密码破解

ssh server authentication-retries <retry-count>

3、其他安全建议

• 禁用不必要的服务： 确保交换机上只运行必要的服务，并禁用不必要的远程访问服务以减少攻击面。

• 定期漏洞扫描： 定期对交换机进行漏洞扫描，及时发现并修补潜在的安全漏洞。

• 网络隔离： 将交换机部署在网络中时，采用网络隔离措施，限制对其进行直接访问，提高网络的安全性。

• 密钥管理： 妥善管理SSH密钥，定期轮换密钥，并及时吊销泄露或丢失的密钥。

• 监控和警报： 配置监控系统，对交换机的安全事件和异常行为进行实时监控，并设置警报以及时响应安全威胁

五、注意事项

1、安全实践

• 使用强密码： 确保SSH登录的密码足够强大和复杂，包含字母、数字和特殊字符，并定期更换密码。

• 限制登录尝试次数： 配置交换机以限制每个用户在一定时间内的SSH登录尝试次数，以防止暴力攻击。

• 禁用SSH版本1： SSH版本1存在安全漏洞，建议只使用SSH版本2，通过配置禁用SSH版本1。

• 使用公钥身份验证： 推荐使用公钥身份验证替代密码身份验证，这样可以提高安全性并减少密码泄露的风险。

• 限制SSH访问： 只允许必要的用户和IP地址访问SSH服务，可以通过访问控制列表（ACL）或防火墙规则来实现。

• 定期审计SSH日志： 定期审查SSH日志，以监控登录活动并及时发现异常或可疑行为

2、定期更新配置

• 定期检查配置： 定期审查交换机上的SSH配置，确保配置的完整性和安全性。

• 更新密钥对： 定期更新SSH密钥对，推荐每隔一段时间生成新的密钥对，并在交换机和相关设备上更新公钥。

• 更新软件版本： 定期检查并更新交换机的软件版本，以获取最新的安全补丁和功能改进，从而提高系统的安全性。

• 定期培训管理员： 定期培训管理员，使其了解最新的安全威胁和最佳实践，以及如何正确配置和管理SSH服务

3、其他注意事项

• 禁止共享账户： 不要共享SSH账户，每个管理员应该拥有自己的唯一账户，并根据需要分配适当的权限。

• 保护私钥： 确保私钥的安全存储和使用，避免私钥泄露或丢失。

• 启用二次认证： 考虑启用两因素认证（2FA）或多因素认证（MFA）以增加登录的安全性。

• 定期备份配置： 定期备份交换机的配置文件，以防止配置丢失或损坏，并能够在需要时快速恢复。

• 持续监控： 配置监控系统以持续监视SSH服务的运行状态和登录活动，及时发现并应对安全事件