基于SSH的网络安全解决方案

２．２　安全文件传输：替代传统的ｒｃｐ，ｆｔｐ命令

传统的文件传输程序（ｆｔｐ．ｒｃｐ或Ｅ－ｍａｉｌ）都不能提供一种安全的解决方案。当文件在网络上传输时，第三方总可以将其截获并读取其中的数据包。要防止这种问题，可以采取很多措施，例如，在源计算机上使用ＰＧＰ（ＰｒｅｔｔｙＧｏｏｄ　Ｐｒｉｖａｃｙ）之类的程序对文件进行加密，然后使用传统的方法把文件传输到目的计算机，并在此处解密文件。然而，这个过程比较复杂，而且对用户不是透明的。利用　ＳＳＨ，用户只需使用一个拷贝命令ｓｃｐ就可以在两台计算机之间安全的传输文件：＃ｓｃｐ　ｎａｍｅ－ｏｆ－ｓｏｕｒｃｅ　ｎａｍｅ－ｏｆ－ｄｅｓｔｉｎａｔｉｏｎ，文件在离开源计算机时　加密，到达目的计算机时自动解密。虽然ｓｃｐ命令十分有效，但用户可能更熟悉ｆｔｐ的命令。ｓｆｔｐ是在ＳＳＨ之上的一个基于ＳＦＴＰ协议的独立的文件传输工具：

＃ｓｆｔｐ　ｕｓｅｒｎａｍｅ＠ｒｅｍｏｔｅｃｏｍｐｕｔｅｒｓｆｔｐ＞

ｓｆｔｐ＞

在一个ｓｆｔｐ会话中可以调用多个命令进行文件拷贝和处理，而ｓｃｐ每次调用时都要打开一个新会话。

其实，ＳＳＨ并不执行文件传输。在ＳＳＨ协议中没有任何传输文件的内容，ＳＳＨ通信者不能请求对方通过ＳＳＨ协议来发送或接收文件。ｓｃｐ，ｓｆｔｐ程序并没有真正实现ＳＳＨ协议，也根本没有融合什么安全特性。实际上，他们只是在一个子进程中调用ＳＳＨ进行远程登录，然后传输文件，最后调用ＳＳＨ关闭本次连接而已。

２．３　转发：包括对各种ＴＣＰ应用的端口转发以及Ｘ１１连接转发

ＳＳＨ可以增加基于ＴＣＰ／ＩＰ的应用程序的安全性。这是通过一种称为转发（ｆｏｒｗａｒｄｉｎｇ）或隧道（ｔｕｎｎｅｌｉｎｇ）的技术来实现的。该技术通过对ＴＣＰ／ＩＰ连接进行重新路由，使其通过ＳＳＨ连接传输，并且透明地进行端到端的加密（实际上，这已经算是基本的ＶＰＮ功能了）。

２．３．１　端口转发（ｐｏｒｔ　ｆｏｒｗａｒｄｉｎｇ）

ＳＳＨ使用的传输机制是ＴＣＰ／ＩＰ，通常使用的都是服务器的ＴＣＰ端口２２，并对经过连接传输的数据进行加解密操作。用ＳＳＨ对其他应用程序在别的ＴＣＰ端口上建立的ＴＣＰ／ＩＰ传输进行加密和解密，这一过程称为端口转发。端口转发可以使ｔｅｌｎｅｔ，ｐｏｐ３，ｓｍｔｐ，ｎｎｔｐ和ｉｍａｐ等基于ＴＣＰ／ＩＰ的不安全协议变得安全。

假设用户要在家里的主机Ｈ上运行一个Ｅｍａｉｌ阅读程序，访问位于企业局域网内部的一台ＩＭＡＰ服务器Ｓ。要使ＩＭＡＰ连接通过ＳＳＨ隧道，就得在主机Ｈ上选择一个本地端口（１　０２４～６５　５３５），将其发送至远程套接字（Ｓ，１４３）。假设随机选取本地端口２００３，则创建隧道的命令为：＃ｓｓｈＬ２００３：ｌｏｃａｌｈｏｓｔ：１４３　Ｓ，其中，－Ｌ表明是本地转发，此时ＴＣＰ客户端与ＳＳＨ客户端同在本地主机上。现在，Ｅｍａｉｌ阅读程序连接本地套接字（ｌｏｃａｌｈｏｓｔ，２００３）即可安全的阅读ＩＭＡＰ服务器上的邮件。

远程转发与本地转发几乎完全相同，只是方向相反，此时ＴＣＰ客户端在远程，服务器在本地，转发连接由远程主机发起（其创建隧道的命令为＃ｓｓｈ－Ｒ２００３：ｌｏｃａｌｈｏｓｔ：１４３　Ｈ）。

一般意义上讲，ＳＳＨ端口转发是ＴＣＰ使用的一种通用代理机制，而且只能用于ＴＣＰ／ＩＰ协议，如果协议不是基于ＴＣＰ的，比如基于ＵＤＰ的ＤＮＳ，ＤＨＣＰ，ＮＦＳ和ＮｅｔＢＩＯＳ或者非ＩＰ类协议，如ＡｐｐｌｅＴａｌｋ或Ｎｏｖｅｌｌ的ＳＰＸ／ＩＰＸ，就不能使用端口转发机制。

２．３．２　Ｘ转发

ＸＷｉｎｄｏｗ是Ｕｎｉｘ工作站上很流行的窗口系统，其中一项重要功能就是他的透明性。用户可以运行远程Ｘ应用程序，并将其显示在本地机器上。但是机器间的通讯不安全，他完全暴露在窥探器之下。利用ＳＳＨ，可以将Ｘ协议连接导入ＳＳＨ连接，以保障其安全性，并提供更强的认证，此项功能称为Ｘ转发。Ｘ转发是端口转发的一个特例，ＳＳＨ对此提供特别支持。

以ＳＳＨ２．０协议的实现为例，在客户端配置文件中将关键字ＦｏｒｗａｒｄＸ１１设置成ｙｅｓ或ｎｏ来启用或禁用Ｘ转发。服务器范围配置关键字Ｘ１１Ｆｏｒｗａｒｄｉｎｇ及其同义词ＦｏｒｗａｒｄＸ１１和ＡｌｌｏｗＸ１１Ｆｏｒｗａｒｄｉｎｇ可以在服务器端启用／禁用Ｘ转发。

在以上ＳＳＨ所提供的３种服务的基础上，可以建构基于ＳＳＨ的网络安全模型，如图１所示。

企业实际部署时可将防火墙与ＳＳＨ服务器实现于同一台计算机，即企业局域网的网关主机中。ＳＳＨ可采用免费的ＯｐｅｎＳＳＨ或商业产品Ｆ－Ｓｅｃｕｒｅ　ＳＳＨ，而防火墙则采用普通的软件防火墙产品，例如东大阿尔派ＮｅｔＥｙｅ　２．０。

３　安全性分析

ＳＳＨ解决了许多和网络有关的安全漏洞，有效地防止了网络窃听（Ｓｎｉｆｆｅｒ）、ＩＰ欺骗、ＤＮＳ欺骗、连接劫持（Ｃｏｎｎｅｃｔｉｏｎ　Ｈｉｊａｃｋｉｎｇ）、插入攻击（Ｃｏｍｐｅｎｓａｔｉｏｎ　Ａｔｔａｃｋ）和中间人攻击（ｍａｎ－ｉｎ－ｔｈｅ－ｍｉｄｄｌｅ）等，但并没有解决全部问题，尤其是他仍然容易受到针对底层ＴＣＰ／ＩＰ缺陷而发起的服务器拒绝攻击（ＤｏＳ）；他也不能解决一些考虑环境因素而产生的攻击方法，例如流量分析和隐秘通道；也不能防止出现病毒，Ｔｒｏｊｉｎ木马和咖啡豆（ｃｏｆｆｅｅ　ｓｐｉｌｌ）。对于ＴＣＰ／ＩＰ的缺陷引起的问题，只能通过更低级的网络层技术才能很好的解决，例如硬件链路加密或ＩＰＳｅｃ；对于流量分析攻击，ＳＳＨ可以在空闲时发送一些随机的，非操作性的信息来干扰活动状态的分析（目前的ＳＳＨ产品还没有实现这种特性）；对于病毒等则需要病毒防火墙来解决。

４　结语

ＳＳＨ协议既可以提供主机认证，又提供用户认证，同时还提供数据压缩，数据机密性和完整性保护。ＳＳＨ的不足之处在于他使用的是手工分发并预配置的公匙而非基于证书的密匙管理。与ＳＳＬ和ＴＬＳ相比，这是ＳＳＨ的主要缺陷。但从ＳＳＨ２．０协议开始允许一同使用ＰＫＩ证书和密匙，将来在ＳＳＨ产品中把这种特性和通用的ＰＫＩ一起实现，这样可以降低密匙管理的负担并提供更强大的安全保障。虽然ＳＳＨ还有其不足之处，但相对于ＶＰＮ和专业防火墙的复杂性和费用来说，也不失为一种可行的网络安全解决方案，尤其适合中小企业部署应用。