Протоколы SSH, CMIP, Telnet
МИНИСТЕРСТВО ТРАНСПОРТА И СВЯЗИ УКРАИНЫ
ОДЕССКАЯ НАЦИОНАЛЬНАЯ АКАДЕМИЯ СВЯЗИ им. А.С.ПОПОВА
Кафедра сетей связи
Реферат
на тему: «Протоколы SSH, CMIP, Telnet»
Одесса 2013
Оглавление
Стандарты и программные реализациисерверыклиенты и оболочки
Советы по безопасности использования SSH
Примеры использования SSHтуннелирование
Техническая информация о протоколе
Основные характеристики протокола CMIP
Протокол CMIP и услуги CMIS
Обзор
Фильтрация
Синхронизация
Сравнение протоколов SNMP и CMIP
Устройство
Опции
Принтер и клавиатура NVT
Применения
Безопасностьи другие протоколы
Стандарты и программные реализации
SSH (англ. <#"justify">SSH-клиенты и оболочки
·GNU/Linux, *BSD: kdessh, lsh-client, openssh-client, putty, ssh, Vinagre
·MS Windows и Windows NT: PuTTY <#"justify">Советы по безопасности использования SSH
1.Запрещение удалённого root <#"justify">Примеры использования SSH
Команда подключения к локальному SSH-серверу из командной строки GNU/Linux или FreeBSD для пользователя pacify (сервер прослушивает нестандартный порт 30000): $ ssh -p 30000 pacify@127.0.0.1
Генерация пары ключей (в UNIX-подобных ОС) осуществляется командой $ ssh-keygen
Генерация пары SSH-2 RSA-ключей длиной 4096 бита программой puttygen под UNIX‐подобными ОС:
$ puttygen -t rsa -b 4096 -o sample
Некоторые клиенты, например, PuTTY, имеют и графический интерфейс пользователя <#"justify">Техническая информация о протоколе
SSH - это протокол прикладного уровня. SSH-сервер обычно прослушивает соединения на TCP-порту 22. Спецификация протокола SSH-2 содержится в RFC 4251 <#"justify">Протокол CMIP и услуги CMIS
Доступ к управляющей информации, хранящейся в управляемых объектах, обеспечивается с помощью элемента системы управления, называемого службой CMSIE (Common Management Information Service Element). Служба CMSIE построена в архитектуре распределенного приложения, где часть функций выполняет менеджер, а часть - агент. Взаимодействие между менеджером и агентом осуществляется по протоколу CMIP. Услуги, предоставляемые службой CMSIE, называются услугами CMIS (Common Management Information Services).
Протокол CMIP и услуги CMIS определены в стандартах Х.710 и Х.711 ITU-T. Услуги CMIS разделяются на две группы - услуги, инициируемые менеджером (запросы), и услуги, инициируемые агентом (уведомления).
Услуги, инициируемые менеджером, включают следующие операции:
·M-CREATE инструктирует агента о необходимости создать новый экземпляр объекта определенного класса или новый атрибут внутри экземпляра объекта;
·M-DELETE инструктирует агента о необходимости удаления некоторого экземпляра объекта определенного класса или атрибута внутри экземпляра объекта;
·M-GET инструктирует агента о возвращении значения некоторого атрибута определенного экземпляра объекта;
·M-SET инструктирует агента об изменении значения некоторого атрибута определенного экземпляра объекта;
Агент инициирует только одну операцию:EVENT_REPORT - отправка уведомления менеджеру.
Для реализации своих услуг служба CMISE должна использовать службы прикладного уровня стека OSI - ACSE, ROSE.
Отличие услуг CMIS от аналогичных услуг SNMP состоит в большей гибкости. Если запросы GET и SET протокола SNMP применимы только к одному атрибуту одного объекта, то запросы M-GET, M-SET, M-ACTION и M-DELETE могут применяться к более чем одному объекту. Для этого стандарты CMIP/CMIS вводят такие понятия, как обзор (scoping), фильтрация (filtering) и синхронизация (synchronization).
Обзор
Запрос CMISE может использовать обзор, чтобы опросить одновременно несколько объектов. Вводятся четыре уровня обзора:
·базовый объект, определенный своим отличительным именем FDN;
·объекты, расположенные на n-м уровне подчинения относительно базового в дереве включения;
·базовый объект и все объекты, расположенные на подчиненных ему уровнях до n-го (включительно) в дереве включения;
·поддерево - базовый объект и все ему подчиненные в дереве включения.
Фильтрация
Фильтрация заключается в применении булевого выражения к запросу менеджера. Запрос применяется только к тем объектам и их атрибутам, для которых данное булево выражение верно. Булевы выражения могут включать операторы отношения =>, <=,<,> или определенные атрибуты. Возможно построение сложных фильтров на основе объединения нескольких фильтров в один составной.
Синхронизация
При выполнении запросов к нескольким объектам используется одна из двух схем синхронизации: атомарная или «по возможности». При атомарной схеме запрос выполняется только в том случае, когда все объекты, попадающие в область действия обзора или фильтра, могут успешно выполнить данный запрос. Синхронизация «по возможности» подразумевает передачу запроса всем объектам, к которым запрос относится. Операция завершается при выполнении запроса любым количеством объектов.
Протокол CMIP представляет собой набор операций, прямо соответствующих услугам CMIS. Таким образом, в протоколе CMIP определены операции M-GET, M-SET, M-CREATE и т. д. Для каждой операции определен формат блока данных, переносимых по сети от менеджера агенту, и наоборот. Формат протокольных блоков данных CMIP описывается нотацией ASN.1 и имеет гораздо более сложную структуру, чем блоки SNMP. Например, блок данных операции M-GET имеет поля для задания имен атрибутов, значения которых запрашивает менеджер, а также поля задания параметров обзора и фильтрации, определяющих множество экземпляров объектов, на которые будет воздействовать данный запрос. Имеются также поля для задания параметров прав доступа к объекту.
Сравнение протоколов SNMP и CMIP
·Применение протокола SNMP позволяет строить как простые, так и сложные системы управления, а применение протокола CMIP определяет некоторый, достаточно высокий начальный уровень сложности системы управления, так как для его работы необходимо реализовать ряд вспомогательных служб, объектов и баз данных объектов.
·Агенты CMIP выполняют, как правило, более сложные функции, чем агенты SNMP. Из-за этого операции, которые менеджеру можно выполнить над агентом SNMP, носят атомарный характер, что приводит к многочисленным обменам между менеджером и агентом.
·Уведомления (traps) агента SNMP посылаются менеджеру без ожидания подтверждения, что может привести к тому, что важные сетевые проблемы останутся незамеченными, так как соответствующее уведомление окажется потерянным, в то время как уведомления агента CMIP всегда передаются с помощью надежного транспортного протокола и в случае потери будут переданы повторно.
·Решение части проблем SNMP может быть достигнуто за счет применения более интеллектуальных MIB (к которым относится RMON MIB), но для многих устройств и ситуаций таких MIB нет (или нет стандарта, или нет соответствующей MIB в управляемом оборудовании).
·Протокол CMIP рассчитан на интеллектуальных агентов, которые могут по одной простой команде от менеджера выполнить сложную последовательность действий.
Telnet
сетевой протокол операционный текстовый
TELNET (англ. <#"justify">Устройство
Хотя в сессии Telnet выделяют клиентскую и серверную сторону, протокол на самом деле полностью симметричен. После установления транспортного соединения (как правило, TCP) оба его конца играют роль «сетевых виртуальных терминалов» (англ. <#"justify">Хотя Telnet-сессии, выполняющейся по TCP, свойственен полный дуплекс, NVT должен рассматриваться как полудуплексное устройство, работающее по умолчанию в буферизированном строковом режиме.
Прикладные данные проходят через протокол без изменений[2] <#"justify">Опции
Протокол предоставляет по умолчанию минимальную функциональность и набор расширяющих её опций. Принцип оговоренных опций требует проводить переговоры при включении каждой из опций. Одна сторона инициирует запрос, а другая сторона может либо принять, либо отвергнуть предложение. Если запрос принимается, то опция немедленно вступает в силу. Опции описаны отдельно от протокола как такового, и их поддержка программным обеспечением произвольна. Клиенту протокола (сетевому терминалу) предписывается отвергать запросы на включение неподдерживаемых и неизвестных опций.
Принтер и клавиатура NVT
Принтер NVT имеет неопределённую ширину каретки и длину страницы и должен иметь представление всех 95 печатных символов US-ASCII (коды с 32 по 126). Управляющие символы имеют следующие значения:
Таблица
НазваниеКод (десятичный/ шестнадцатеричный)ОписаниеNULL (NUL) *0/0x00Нет операцииLineFeed (LF) *10/0x0AПереводит принтер на следующую строку печати, оставаясь на той же горизонтальной позиции.CarriageReturn (CR) *13/0x0DПеремещает принтер к левой границе текущей строки.BELL (BEL)7/0x07Производит аудио или видеосигнал (но НЕ перемещает головку принтера).BackSpace (BS)8/0x08Перемещает головку принтера на один символ по направлению к левой границе.HorizontalTab (HT)9/0x09Перемещает принтер на следующую остановку горизонтальной табуляции. Остается неопределённым как сторона определяет и устанавливает эти остановки табуляции.VerticalTab (VT)11/0x0BПеремещает принтер на следующую остановку вертикальной табуляции. Остается неопределённым как сторона определяет и устанавливает эти остановки табуляции.FormFeed (FF)12/0x0CПеремещает принтер к верхней части следующей страницы, оставаясь на той же горизонтальной позиции.
Поддержка действия символов, помеченных как *, обязательна. Прочие могут производить заданное действие или не производить никакого; одна сторона не обязана предполагать ничего определённого о поддержке конкретных необязательных управляющих символов другой стороной.
Последовательность «CR LF» должна обрабатываться как единый символ перевода строки и использоваться всякий раз, когда требуется их объединённое действие; последовательность «CR NUL» должна использоваться, где требуется только возврат каретки; и использования символа CR следует избегать в других контекстах.
Структура команд Telnet
Каждая команда TELNET является многобайтовой последовательностью, начинающейся с кода \377 (десятичное: 255) «InterpretasCommand» (IAC) и кода команды. Команды, отвечающие за договоренности по опции, являются трехбайтовыми последовательностями, где третий байт является кодом опции. Нижеперечисленные коды и кодовые последовательности имеют соответственный смысл только когда следуют сразу за IAC.
НазваниеКод (десятичный/ шестнадцатеричный)ОписаниеSE240/0xF0Завершает согласование, начатое командой SBNOP241/0xF1Нет операции.DataMark242/0xF2Синхронизация (Synch) обмена данными. Эта команда всегда сопровождается TCP Urgentnotification.Break243/0xF3Нажатакнопка «Break» или «Attention».InterruptProcess244/0xF4Приостанавливает, прерывает, аварийно прекращает или завершает процесс.Abortoutput245/0xF5Подавление вывода текущего процесса. Также отправляет сигнал Synch пользователю.AreYouThere246/0xF6Отправляет обратно ответ терминала, состоящий из печатных символов.Erasecharacter247/0xF7Получатель должен удалить предыдущий символ, если это возможно.EraseLine248/0xF8Стереть последнюю введённую строку, то есть все данные, полученные после последнего перевода строки.Goahead249/0xF9Ожидается передача данных.SB250/0xFAНачало согласования опции, требующего передачи параметров.WILL опция251/0xFBУказывает на желание исполнять или подтверждает, что сейчас исполняется указанная опция.WONT опция252/0xFCУказывает на отказ начать или продолжить исполнять указанную опцию.DO опция253/0xFDЗапрос на то, чтобы другая сторона исполнила или подтвердила исполнение указанной опции.DONT опция254/0xFEТребование на то, чтобы другая сторона остановила исполнение или подтвердила то, что указанная опция более не исполняется.IAC255/0XFFБайт данных 255.
Применения
Исторически Telnet служил для удалённого доступа к интерфейсу командной строки <#"justify">Безопасность
В протоколе не предусмотрено использование ни шифрования <#"justify">Telnet и другие протоколы
В среде специалистов по технологиям internet распространено мнение, что клиент Telnet пригоден для осуществления ручного доступа (например, в целях отладки) к таким протоколам прикладного уровня как HTTP <#"justify">·Клиент может передать данные, которые вы не вводили (опции Telnet);
·Клиент не будет принимать октет \377;
·Клиент вообще может отказаться передавать октеты со старшим битом 1 <http://ru.wikipedia.org/w/index.php?title=%D0%9E%D0%BA%D1%82%D0%B5%D1%82%D1%8B_%D1%81%D0%BE_%D1%81%D1%82%D0%B0%D1%80%D1%88%D0%B8%D0%BC_%D0%B1%D0%B8%D1%82%D0%BE%D0%BC_1&action=edit&redlink=1>.
Такие программы как netcat <http://ru.wikipedia.org/wiki/Netcat> действительно обеспечивают чистый доступ к TCP, однако требуются специальные ухищрения (как то stty <http://ru.wikipedia.org/w/index.php?title=Stty&action=edit&redlink=1> -icrnl на UNIX-системе) для передачиперевода строки <http://ru.wikipedia.org/wiki/%D0%9F%D0%B5%D1%80%D0%B5%D0%B2%D0%BE%D0%B4_%D1%81%D1%82%D1%80%D0%BE%D0%BA%D0%B8> как CR LF (что требуется многими протоколами). Обычно клиент Telnet по умолчанию передаёт любой перевод строки как CR LF, независимо от его кодирования в системе клиента. Также для отладочного доступа к прикладным протоколам (кроме FTP и, собственно, Telnet) является использование клиента PuTTY <http://ru.wikipedia.org/wiki/PuTTY> в режиме «Raw» (чистый доступ к TCP) - PuTTY преобразует переводы строки отдельно от поддержки протокола Telnet.