安全外壳 (SSH) 是一种提供远程设备的安全(加密)管理连接的协议。 SSH 应替代 Telnet 来管理连接。 Telnet 是一种较早协议,对登录身份验证(用户名和密码)和通信设备之间传输的数据都采用不安全的明文传输。 SSH 通过在设备进行身份验证(用户名和密码)时以及在通信设备之间传输数据时提供强加密,确保远程连接的安全。 将 SSH 分配给 TCP 端口 22。 将 Telnet 分配给 TCP 端口 23。

在图 1 中,攻击者可以使用 Wireshark 监控数据包。 Telnet 数据流可用来捕获用户名和密码。

在图 2 中,攻击者可以从明文 Telnet 会话中捕获管理员的用户名和密码。

图 3 显示了通过 Wireshark 查看到的 SSH 会话。 攻击者可以使用管理员设备的 IP 地址跟踪会话。

但是,在图 4 中,用户名和密码是加密的。

为了在 Catalyst 2960 交换机上启用 SSH,交换机必须使用包含密码(加密)特征和功能的 IOS 软件版本。 在图 5 中,在交换机上使用 show version 命令查看交换机当前运行的 IOS,以及包含组合“k9”的 IOS 文件名,该 IOS 将支持密码(加密)特征和功能。