Протоколы SSH, CMIP, Telnet

 

МИНИСТЕРСТВО ТРАНСПОРТА И СВЯЗИ УКРАИНЫ

ОДЕССКАЯ НАЦИОНАЛЬНАЯ АКАДЕМИЯ СВЯЗИ им. А.С.ПОПОВА

Кафедра сетей связи

Реферат

на тему: «Протоколы SSH, CMIP, Telnet»

Одесса 2013

Оглавление

Стандарты и программные реализациисерверыклиенты и оболочки

Советы по безопасности использования SSH

Примеры использования SSHтуннелирование

Техническая информация о протоколе

Основные характеристики протокола CMIP

Протокол CMIP и услуги CMIS

Обзор

Фильтрация

Синхронизация

Сравнение протоколов SNMP и CMIP

Устройство

Опции

Принтер и клавиатура NVT

Структура команд Telnet

Применения

Безопасностьи другие протоколы

Стандарты и программные реализации

SSH (англ. <#"justify">SSH-клиенты и оболочки

·GNU/Linux, *BSD: kdessh, lsh-client, openssh-client, putty, ssh, Vinagre

·MS Windows и Windows NT: PuTTY <#"justify">Советы по безопасности использования SSH

1.Запрещение удалённого root <#"justify">Примеры использования SSH

Команда подключения к локальному SSH-серверу из командной строки GNU/Linux или FreeBSD для пользователя pacify (сервер прослушивает нестандартный порт 30000): $ ssh -p 30000 [email protected]

Генерация пары ключей (в UNIX-подобных ОС) осуществляется командой $ ssh-keygen

Генерация пары SSH-2 RSA-ключей длиной 4096 бита программой puttygen под UNIX?подобными ОС:

$ puttygen -t rsa -b 4096 -o sample

Некоторые клиенты, например, PuTTY, имеют и графический интерфейс пользователя <#"justify">Техническая информация о протоколе

SSH - это протокол прикладного уровня. SSH-сервер обычно прослушивает соединения на TCP-порту 22. Спецификация протокола SSH-2 содержится в RFC 4251 <#"justify">Протокол CMIP и услуги CMIS

Доступ к управляющей информации, хранящейся в управляемых объектах, обеспечивается с помощью элемента системы управления, называемого службой CMSIE (Common Management Information Service Element). Служба CMSIE построена в архитектуре распределенного приложения, где часть функций выполняет менеджер, а часть - агент. Взаимодействие между менеджером и агентом осуществляется по протоколу CMIP. Услуги, предоставляемые службой CMSIE, называются услугами CMIS (Common Management Information Services).

Протокол CMIP и услуги CMIS определены в стандартах Х.710 и Х.711 ITU-T. Услуги CMIS разделяются на две группы - услуги, инициируемые менеджером (запросы), и услуги, инициируемые агентом (уведомления).

Услуги, инициируемые менеджером, включают следующие операции:

·M-CREATE инструктирует агента о необходимости создать новый экземпляр объекта определенного класса или новый атрибут внутри экземпляра объекта;

·M-DELETE инструктирует агента о необходимости удаления некоторого экземпляра объекта определенного класса или атрибута внутри экземпляра объекта;

·M-GET инструктирует агента о возвращении значения некоторого атрибута определенного экземпляра объекта;

·M-SET инструктирует агента об изменении значения некоторого атрибута определенного экземпляра объекта;

·M-ACTION инструктирует агента о необходимости выполнения определенного действия над одним или несколькими экземплярами объектов.

Агент инициирует только одну операцию:EVENT_REPORT - отправка уведомления менеджеру.

Для реализации своих услуг служба CMISE должна использовать службы прикладного уровня стека OSI - ACSE, ROSE.

Отличие услуг CMIS от аналогичных услуг SNMP состоит в большей гибкости. Если запросы GET и SET протокола SNMP применимы только к одному атрибуту одного объекта, то запросы M-GET, M-SET, M-ACTION и M-DELETE могут применяться к более чем одному объекту. Для этого стандарты CMIP/CMIS вводят такие понятия, как обзор (scoping), фильтрация (filtering) и синхронизация (synchronization).

Обзор

Запрос CMISE может использовать обзор, чтобы опросить одновременно несколько объектов. Вводятся четыре уровня обзора:

·базовый объект, определенный своим отличительным именем FDN;

·объекты, расположенные на n-м уровне подчинения относительно базового в дереве включения;

·базовый объект и все объекты, расположенные на подчиненных ему уровнях до n-го (включительно) в дереве включения;

·поддерево - базовый объект и все ему подчиненные в дереве включения.

Фильтрация

Фильтрация заключается в применении булевого выражения к запросу менеджера. Запрос применяется только к тем объектам и их атрибутам, для которых данное булево выражение верно. Булевы выражения могут включать операторы отношения =>, <=,<,> или определенные атрибуты. Возможно построение сложных фильтров на основе объединения нескольких фильтров в один составной.

Синхронизация

При выполнении запросов к нескольким объектам используется одна из двух схем синхронизации: атомарная или «по возможности». При атомарной схеме запрос выполняется только в том случае, когда все объекты, попадающие в область действия обзора или фильтра, могут успешно выполнить данный запрос. Синхронизация «по возможности» подразумевает передачу запроса всем объектам, к которым запрос относится. Операция завершается при выполнении запроса любым количеством объектов.

Протокол CMIP представляет собой набор операций, прямо соответствующих услугам CMIS. Таким образом, в протоколе CMIP определены операции M-GET, M-SET, M-CREATE и т. д. Для каждой операции определен формат блока данных, переносимых по сети от менеджера агенту, и наоборот. Формат протокольных блоков данных CMIP описывается нотацией ASN.1 и имеет гораздо более сложную структуру, чем блоки SNMP. Например, блок данных операции M-GET имеет поля для задания имен атрибутов, значения которых запрашивает менеджер, а также поля задания параметров обзора и фильтрации, определяющих множество экземпляров объектов, на которые будет воздействовать данный запрос. Имеются также поля для задания параметров прав доступа к объекту.

Сравнение протоколов SNMP и CMIP

·Применение протокола SNMP позволяет строить как простые, так и сложные системы управления, а применение протокола CMIP определяет некоторый, достаточно высокий начальный уровень сложности системы управления, так как для его работы необходимо реализовать ряд вспомогательных служб, объектов и баз данных объектов.

·Агенты CMIP выполняют, как правило, более сложные функции, чем агенты SNMP. Из-за этого операции, которые менеджеру можно выполнить над агентом SNMP, носят атомарный характер, что приводит к многочисленным обменам между менеджером и агентом.

·Уведомления (traps) агента SNMP посылаются менеджеру без ожидания подтверждения, что может привести к тому, что важные сетевые проблемы останутся незамеченными, так как соответствующее уведомление окажется потерянным, в то время как уведомления агента CMIP всегда передаются с помощью надежного транспортного протокола и в случае потери будут переданы повторно.

·Решение части проблем SNMP может быть достигнуто за счет применения более интеллектуальных MIB (к которым относится RMON MIB), но для многих устройств и ситуаций таких MIB нет (или нет стандарта, или нет соответствующей MIB в управляемом оборудовании).

·Протокол CMIP рассчитан на интеллектуальных агентов, которые могут по одной простой команде от менеджера выполнить сложную последовательность действий.

·Протокол CMIP существенно лучше масштабируется, так как может воздействовать сразу на несколько объектов, а ответы от агентов проходят через фильтры, которые ограничивают передачу управляющей информации только определенным агентам и менеджерам.

Telnet

сетевой протокол операционный текстовый

TELNET (англ. <#"justify">Устройство

Хотя в сессии Telnet выделяют клиентскую и серверную сторону, протокол на самом деле полностью симметричен. После установления транспортного соединения (как правило, TCP) оба его конца играют роль «сетевых виртуальных терминалов» (англ. <#"justify">Хотя Telnet-сессии, выполняющейся по TCP, свойственен полный дуплекс, NVT должен рассматриваться как полудуплексное устройство, работающее по умолчанию в буферизированном строковом режиме.

Прикладные данные проходят через протокол без изменений[2] <#"justify">Опции

Протокол предоставляет по умолчанию минимальную функциональность и набор расширяющих её опций. Принцип оговоренных опций требует проводить переговоры при включении каждой из опций. Одна сторона инициирует запрос, а другая сторона может либо принять, либо отвергнуть предложение. Если запрос принимается, то опция немедленно вступает в силу. Опции описаны отдельно от протокола как такового, и их поддержка программным обеспечением произвольна. Клиенту протокола (сетевому терминалу) предписывается отвергать запросы на включение неподдерживаемых и неизвестных опций.

Принтер и клавиатура NVT

Принтер NVT имеет неопределённую ширину каретки и длину страницы и должен иметь представление всех 95 печатных символов US-ASCII (коды с 32 по 126). Управляющие символы имеют следующие значения:

Таблица

НазваниеКод (десятичный/ шестнадцатеричный)ОписаниеNULL (NUL) *0/0x00Нет операцииLineFeed (LF) *10/0x0AПереводит принтер на следующую строку печати, оставаясь на той же горизонтальной позиции.CarriageReturn (CR) *13/0x0DПеремещает принтер к левой границе текущей строки.BELL (BEL)7/0x07Производит аудио или видеосигнал (но НЕ перемещает головку принтера).BackSpace (BS)8/0x08Перемещает головку принтера на один символ по направлению к левой границе.HorizontalTab (HT)9/0x09Перемещает принтер на следующую остановку горизонтальной табуляции. Остается неопределённым как сторона определяет и устанавливает эти остановки табуляции.VerticalTab (VT)11/0x0BПеремещает принтер на следующую остановку вертикальной табуляции. Остается неопределённым как сторона определяет и устанавливает эти остановки табуляции.FormFeed (FF)12/0x0CПеремещает принтер к верхней части следующей страницы, оставаясь на той же горизонтальной позиции.

Поддержка действия символов, помеченных как *, обязательна. Прочие могут производить заданное действие или не производить никакого; одна сторона не обязана предполагать ничего определённого о поддержке конкретных необязательных управляющих символов другой стороной.

Последовательность «CR LF» должна обрабатываться как единый символ перевода строки и использоваться всякий раз, когда требуется их объединённое действие; последовательность «CR NUL» должна использоваться, где требуется только возврат каретки; и использования символа CR следует избегать в других контекстах.

Структура команд Telnet

Каждая команда TELNET является многобайтовой последовательностью, начинающейся с кода \377 (десятичное: 255) «InterpretasCommand» (IAC) и кода команды. Команды, отвечающие за договоренности по опции, являются трехбайтовыми последовательностями, где третий байт является кодом опции. Нижеперечисленные коды и кодовые последовательности имеют соответственный смысл только когда следуют сразу за IAC.

НазваниеКод (десятичный/ шестнадцатеричный)ОписаниеSE240/0xF0Завершает согласование, начатое командой SBNOP241/0xF1Нет операции.DataMark242/0xF2Синхронизация (Synch) обмена данными. Эта команда всегда сопровождается TCP Urgentnotification.Break243/0xF3Нажатакнопка «Break» или «Attention».InterruptProcess244/0xF4Приостанавливает, прерывает, аварийно прекращает или завершает процесс.Abortoutput245/0xF5Подавление вывода текущего процесса. Также отправляет сигнал Synch пользователю.AreYouThere246/0xF6Отправляет обратно ответ терминала, состоящий из печатных символов.Erasecharacter247/0xF7Получатель должен удалить предыдущий символ, если это возможно.EraseLine248/0xF8Стереть последнюю введённую строку, то есть все данные, полученные после последнего перевода строки.Goahead249/0xF9Ожидается передача данных.SB250/0xFAНачало согласования опции, требующего передачи параметров.WILL опция251/0xFBУказывает на желание исполнять или подтверждает, что сейчас исполняется указанная опция.WONT опция252/0xFCУказывает на отказ начать или продолжить исполнять указанную опцию.DO опция253/0xFDЗапрос на то, чтобы другая сторона исполнила или подтвердила исполнение указанной опции.DONT опция254/0xFEТребование на то, чтобы другая сторона остановила исполнение или подтвердила то, что указанная опция более не исполняется.IAC255/0XFFБайт данных 255.

Применения

Исторически Telnet служил для удалённого доступа к интерфейсу командной строки <#"justify">Безопасность

В протоколе не предусмотрено использование ни шифрования <#"justify">Telnet и другие протоколы

В среде специалистов по технологиям internet распространено мнение, что клиент Telnet пригоден для осуществления ручного доступа (например, в целях отладки) к таким протоколам прикладного уровня как HTTP <#"justify">·Клиент может передать данные, которые вы не вводили (опции Telnet);

·Клиент не будет принимать октет \377;

·Клиент будет искажать октет \377 при передаче;

·Клиент вообще может отказаться передавать октеты со старшим битом 1 <http://ru.wikipedia.org/w/index.php?title=%D0%9E%D0%BA%D1%82%D0%B5%D1%82%D1%8B_%D1%81%D0%BE_%D1%81%D1%82%D0%B0%D1%80%D1%88%D0%B8%D0%BC_%D0%B1%D0%B8%D1%82%D0%BE%D0%BC_1&action=edit&redlink=1>.

Такие программы как netcat <http://ru.wikipedia.org/wiki/Netcat> действительно обеспечивают чистый доступ к TCP, однако требуются специальные ухищрения (как то stty <http://ru.wikipedia.org/w/index.php?title=Stty&action=edit&redlink=1> -icrnl на UNIX-системе) для передачиперевода строки <http://ru.wikipedia.org/wiki/%D0%9F%D0%B5%D1%80%D0%B5%D0%B2%D0%BE%D0%B4_%D1%81%D1%82%D1%80%D0%BE%D0%BA%D0%B8> как CR LF (что требуется многими протоколами). Обычно клиент Telnet по умолчанию передаёт любой перевод строки как CR LF, независимо от его кодирования в системе клиента. Также для отладочного доступа к прикладным протоколам (кроме FTP и, собственно, Telnet) является использование клиента PuTTY <http://ru.wikipedia.org/wiki/PuTTY> в режиме «Raw» (чистый доступ к TCP) - PuTTY преобразует переводы строки отдельно от поддержки протокола Telnet.

МИНИСТЕРСТВО ТРАНСПОРТА И СВЯЗИ УКРАИНЫ ОДЕССКАЯ НАЦИОНАЛЬНАЯ АКАДЕМИЯ СВЯЗИ им. А.С.ПОПОВА Кафедра сетей связи

Больше работ по теме: