1 00:00:01,300 --> 00:00:08,930 Como demonstrado em um vídeo separado, a Telenet envia tráfego em texto não criptografado e as senhas e dados podem ser 2 00:00:08,930 --> 00:00:10,420 facilmente capturados na rede. 3 00:00:10,670 --> 00:00:12,740 Portanto, é melhor usar o S-sh como 4 00:00:16,440 --> 00:00:19,830 exemplo ou capturar o tráfego entre o Ronald One e o escrever 5 00:00:23,210 --> 00:00:24,190 para e para comparação. 6 00:00:24,200 --> 00:00:35,220 Vou fazer um telnet para lê-lo no roteador 1 e entrar com o meu nome de usuário e senha em y shock. 7 00:00:36,600 --> 00:00:46,850 Eu posso simplesmente filtrar por telnet e na saída eu serei capaz de capturar a senha que é c ele é CEO 8 00:00:46,940 --> 00:00:49,040 e outra com a Cisco. 9 00:00:49,040 --> 00:00:57,900 Mas mais do que isso, se eles usam um top para entrar em um show desse tipo e olhar para a configuração 10 00:00:57,900 --> 00:01:01,830 em execução do Rodda ou fez qualquer tipo de configuração. 11 00:01:01,830 --> 00:01:04,680 Tudo isso é enviado em texto claro. 12 00:01:04,800 --> 00:01:10,470 Então, um hacker poderia simplesmente procurar os dados. 13 00:01:10,580 --> 00:01:19,720 Portanto, há um exemplo como o prompt do Rodda fora do log in e pesquisando através dos dados que 14 00:01:19,720 --> 00:01:25,190 podemos ver show run e aqui está a configuração atual do Rodda. 15 00:01:25,330 --> 00:01:32,380 Então, podemos ver a configuração completa do rattus como um exemplo, há um 16 00:01:32,380 --> 00:01:33,010 endereço 17 00:01:35,730 --> 00:01:45,090 IP em uma interface rolando mais configurações se houvesse senhas no console ou em outras portas, poderíamos 18 00:01:45,090 --> 00:01:47,100 ver essas senhas. 19 00:01:47,100 --> 00:01:51,860 Então, como exemplo, é a senha na linha Viti. 20 00:01:51,970 --> 00:02:00,760 Eu também poderia simplesmente olhar para a sessão do TCAP e a configuração completa do Rodda é simplesmente exibida através 21 00:02:02,030 --> 00:02:03,400 do Y shock. 22 00:02:03,620 --> 00:02:11,360 Portanto, não é uma ótima maneira de gerenciar dispositivos quando alguém farejando a rede pode capturar o tráfego. 23 00:02:11,360 --> 00:02:17,360 Isso é mais um problema quando você está usando uma rede pública, como a Internet, do que a sua rede local. 24 00:02:17,360 --> 00:02:22,460 Mas é importante estar ciente de que o telnet envia texto sem tráfego. 25 00:02:22,460 --> 00:02:30,020 Portanto, queremos ativar o shell seguro ou o S-sh e, para isso, primeiro precisamos especificar um nome de host. 26 00:02:30,230 --> 00:02:33,700 Não pode ser o padrão de switch ou roteador. 27 00:02:33,890 --> 00:02:39,150 O nome era ATI, mas redefini-o apenas para completar para mostrar o comando. 28 00:02:39,200 --> 00:02:44,450 Então você tem que definir um nome de host e, em seguida, você deve especificar um nome de domínio. 29 00:02:46,450 --> 00:02:52,450 Que é necessário para a geração de crianças, então especifique algum tipo de nome de domínio eu vou usar o 30 00:02:52,450 --> 00:02:53,510 Cisco dot com. 31 00:02:53,620 --> 00:02:54,900 Você tem que ter um nome de usuário. 32 00:02:54,900 --> 00:02:57,130 Agora eu já configurei um nome 33 00:02:59,880 --> 00:03:04,530 de usuário de David e uma senha, mas vou fazer isso novamente para completar. 34 00:03:04,810 --> 00:03:07,110 E então nós temos que gerar chaves. 35 00:03:07,150 --> 00:03:21,910 Então, a chave criptográfica para gerar RSA especificar módulo e, em seguida, especificar o tamanho que deve estar em 1024 Então deixe-me fazer isso 36 00:03:21,910 --> 00:03:23,040 de novo. 37 00:03:23,080 --> 00:03:29,790 Quanto maior o tamanho da chave, mais segura será a transmissão de dados. 38 00:03:29,920 --> 00:03:38,530 Portanto, os tamanhos modulares de 360 ​​a 2048 e, mais uma vez, eu especifiquei 1024 o ratable e, em seguida, 39 00:03:38,530 --> 00:03:41,380 gero as chamadas chaves privadas e públicas. 40 00:03:41,410 --> 00:03:48,070 Então, como você pode ver aqui, as chaves serão substituídas porque eu estou regenerando-as. Uma chave privada significa 41 00:03:48,460 --> 00:03:55,940 que uma chave que você não compartilha é privada para você. Uma chave pública é derivada de uma chave privada. 42 00:03:56,050 --> 00:03:59,790 E é isso que você compartilha com todos os outros em comunicações seguras. 43 00:03:59,980 --> 00:04:06,760 Então, se você quiser enviar algo para mim que ninguém mais possa ler, você o criptografaria 44 00:04:06,760 --> 00:04:14,050 com minha chave pública, o que significa que somente minha chave privada pode descriptografá-la se eu quiser 45 00:04:14,050 --> 00:04:22,650 enviar algo para você que só você pode ler. com sua chave pública e somente sua chave privada pode descriptografá-la. 46 00:04:23,200 --> 00:04:30,400 Uma chave pública é derivada da minha chave privada, algo criptografado com uma chave pública só pode 47 00:04:30,430 --> 00:04:33,260 ser descriptografado pela chave privada relevante. 48 00:04:33,280 --> 00:04:40,400 Portanto, se você criptografar algo com minha chave pública, somente minha chave privada poderá descriptografá-la. 49 00:04:40,420 --> 00:04:51,710 Agora, no V-twin Por que linhas podemos especificar a entrada de transporte e especificar o protocolo e eu vou especificar telnet 50 00:04:52,130 --> 00:05:01,640 e S-sh por razões de segurança você só pode permitir S-sh em vez de telnet e S-sh especificado 51 00:05:01,640 --> 00:05:02,910 log local. 52 00:05:03,030 --> 00:05:12,370 Portanto, os bancos de dados locais de nome de usuário e senha usados ​​e, em seguida, especificar uma versão da versão 2 do 53 00:05:12,370 --> 00:05:15,370 S-sh são mais seguros que a versão 1. 54 00:05:15,390 --> 00:05:25,100 IP S-sh, podemos ver que S-sh está agora habilitado show S-sh eles não são conexões no momento. 55 00:05:25,100 --> 00:05:32,030 Agora eu ainda posso telnet para o Rodda porque permitimos sessões 56 00:05:35,930 --> 00:05:48,560 de telnet, mas se fizéssemos a seguinte linha Vittie y 0 para transporte, as sessões de telnet S-sh não seriam 57 00:05:48,560 --> 00:05:49,410 mais permitidas. 58 00:05:49,670 --> 00:05:56,860 Então mostre o canal de execução e comece o Viti porque estamos usando o log local. 59 00:05:56,870 --> 00:05:58,580 Então isso não é necessário. 60 00:05:58,970 --> 00:06:06,070 Estamos permitindo apenas sessões S-sh e as sessões interativas terão o tempo limite após cinco minutos. 61 00:06:06,470 --> 00:06:13,780 Então, S-sh, temos algumas opções para especificar 10 1 para notar. 62 00:06:13,790 --> 00:06:16,050 Nenhum usuário é especificado. 63 00:06:16,920 --> 00:06:19,080 Temos que especificar um usuário. 64 00:06:19,170 --> 00:06:20,700 Então eu vou dizer David. 65 00:06:20,900 --> 00:06:24,730 E então o endereço IP do Rodda. 66 00:06:24,840 --> 00:06:36,260 Agora eu posso logar choque de NY nós ainda capturando se nós procurarmos por S-sh agora nós podemos ver o tráfego S-sh nós podemos ver 67 00:06:36,260 --> 00:06:44,750 a criptografia usada neste caso é uma bagunça um Schumacher Shaw não se preocupe muito com isso em 68 00:06:44,750 --> 00:06:49,840 no momento que é discutido em mais detalhes na seção VPN. 69 00:06:49,880 --> 00:06:54,790 Existem algumas trocas importantes que estão sendo feitas aqui. 70 00:06:55,250 --> 00:06:58,890 Assim, podemos ver toda a negociação entre os dois dispositivos. 71 00:07:00,520 --> 00:07:05,330 Mas uma vez ocorrido, não poderemos ver os dados. 72 00:07:05,350 --> 00:07:10,120 Observe que os dados são criptografados, por exemplo, digito 73 00:07:13,030 --> 00:07:16,510 show run, o tolo executando a 74 00:07:20,000 --> 00:07:24,290 configuração em choque, não podemos ver os dados. 75 00:07:24,360 --> 00:07:29,230 Acabamos de ver a saída criptografada aqui. 76 00:07:29,250 --> 00:07:33,810 Então, um hacker não seria capaz de ver os dados. 77 00:07:33,870 --> 00:07:40,100 O hacker só saberia que há uma sessão S-sh de um dispositivo para o outro. 78 00:07:40,470 --> 00:07:50,380 Então, em outras palavras, neste exemplo 10 1 1 1 é 10 1 1 2 o número da porta de origem é o número da porta 79 00:07:50,380 --> 00:07:52,000 de destino é 22. 80 00:07:52,000 --> 00:07:53,650 Em outras palavras, S-sh. 81 00:07:54,010 --> 00:07:57,020 Observe como isso é diferente de uma sessão de telnet em 82 00:08:04,730 --> 00:08:05,690 uma sessão de telnet. 83 00:08:05,690 --> 00:08:09,760 Podemos ver todos os dados em texto claro. 84 00:08:10,040 --> 00:08:18,500 Portanto, é muito melhor usar o S-sh e é melhor restringir o acesso aos seus dispositivos ao uso do S-sh 85 00:08:19,440 --> 00:08:26,000 putty que é um software gratuito que você pode baixar da Internet e suporta telnet e 86 00:08:26,400 --> 00:08:28,730 S-sh, mas usa S-sh por padrão. 87 00:08:30,350 --> 00:08:36,800 Então, se você estiver usando um computador com Windows, se estiver usando uma máquina Mac ou Linux, o SH 88 00:08:36,800 --> 00:08:38,440 estará embutido no sistema operacional. 89 00:08:38,540 --> 00:08:46,350 Se você estiver em uma estrada ou um switch, você pode simplesmente usar o cliente S-sh no dispositivo Cisco. 90 00:08:47,860 --> 00:08:58,780 Então vamos S-sh volta de Rotto um para roteador para colocar a senha conectada no show IP S-sh, podemos ver que a versão do 91 00:08:58,840 --> 00:09:01,330 S-sh é a versão 2. 92 00:09:01,330 --> 00:09:11,040 Mais uma vez, mostrar S-sh, podemos ver que uma sessão foi iniciada pelo usuário chamado David inconnection nossa 93 00:09:11,100 --> 00:09:11,840 conexão. 94 00:09:11,920 --> 00:09:13,300 Nós podemos ver a criptografia. 95 00:09:13,410 --> 00:09:18,560 Sim criptografia de 128 bits e autenticação é Schaal um. 96 00:09:18,640 --> 00:09:26,710 Shaw é um algoritmo de hashing semelhante ao M. D cinco está terminando algoritmo de corrupção semelhante a dias ou 97 00:09:26,710 --> 00:09:30,530 dias triplos, mas é muito melhor do que esses protocolos. 98 00:09:30,700 --> 00:09:38,340 Nenhum servidor S-sh versão 1 está rodando apenas a versão 2 está rodando e nós temos 99 00:09:39,180 --> 00:09:50,620 essas conexões com o Rodda quando eu deslogar show S-sh podemos ver que nenhuma conexão está rodando mais uma vez no porquê Shawk tudo 100 00:09:53,590 --> 00:10:01,720 é criptografado para que possamos veja o pacote criptografado, mas não podemos ver nenhum dado que compõe 101 00:10:01,720 --> 00:10:02,620 esse pacote criptografado.