Tento článek ukazuje, jak konfigurovat a nastavit SSH pro vzdálenou správu Cisco IOS Směrovačů. Ukážeme vám, jak zkontrolovat, zda je SSH podporován vaší verzí IOS, jak ji povolit, vygenerovat klíč RSA pro váš směrovač a nakonec nakonfigurovat SSH jako preferovaný protokol správy pod rozhraními VTY.,
Secure Shell (SSH) poskytuje bezpečný a spolehlivý průměr připojení ke vzdáleným zařízením. Je to šifrovaný síťový protokol, který umožňuje uživatelům bezpečný přístup k zařízení prostřednictvím relací rozhraní příkazového řádku. SSH využívá TCP port 22, který je přiřazen k zabezpečeným přihlašovacím údajům, přenosu souborů a přesměrování portů.,
SSH používá veřejný klíč pro ověření vzdáleného zařízení a šifrovat všechna data mezi zařízení a pracovní stanice, která dělá to nejlepší volba pro veřejné sítě, na rozdíl od (telnet), který přenáší data ve formátu prostého textu, který podmiňuje to, aby se bezpečnostní hrozby, toto dělá (telnet) doporučuje pro soukromé sítě, aby data nekompromisní.
Ověření, Podpora SSH na Směrovači
první krok zahrnuje posouzení, zda vaše směrovače Cisco IOS podporuje SSH, nebo ne., Většina moderních směrovačů Cisco podporuje SSH, takže by to neměl být problém.
produkty s (K9)v názvu obrázku např.LÁZNĚ.154-3.M.bin, podpora silného šifrování pomocí 3DES / AES, zatímco (K8) balíčky IOS podporují slabé šifrování se zastaralým DES.
zkontrolovat, stačí zadat oprávnění režim a používat show ip ssh příkaz:
R1# show ip ssh
SSH zdravotně Postižené – verze 1.99
%Prosím vytvořit RSA klíče chcete-li povolit SSH (a aspoň 768 bitů pro SSH v2).,
Ověřování časový limit: 120 sekund; Ověřování, opakování: 3
Minimální očekávaná Diffie Hellman key velikost : 1024 bitů
IOS Klíče SECSH formátu(ssh-rsa, base64): ŽÁDNÝ
Ve výše uvedeném výkonu, systém ukazuje podpora SSH, ale to je v současné době zakázán jako ne RSA klíč byl vytvořen. Je také třeba poznamenat, že pro povolení SSHv2 musí být vygenerován klíč nejméně 768 bitů.,
Zabezpečení Přístupu k Routeru
je To vždy dobrý nápad, aby nejprve omezit přístup k Cisco routeru povolení SSH. To je velmi důležité, zejména pokud má zařízení rozhraní, které čelí veřejným sítím, např.
nejprve vytvoříme uživatelské pověření pro zařízení a poté povolíme Athentication, Authorization & Účetní služby (AAA)., Konečně, ujistěte se, tajemství je nastaveno heslo pro ochranu přístupu k výsadu režimu, spolu s service password-encryption příkaz, aby zajistily, že všechny jasné-text hesla jsou šifrována:
Další, to je vysoce doporučeno omezit vzdálený přístup přes SSH protokol. To zajistí, že pro přístup k routeru nelze použít nezabezpečené služby, jako je Telnet. Telnet odesílá všechny informace nešifrované, včetně uživatelského jména/hesla, a je proto považován za bezpečnostní riziko.,
pomocí příkazu transport input ssh v části VTY omezíme vzdálený přístup pouze pomocí SSH. Všimněte si, že můžeme také použít Přístup-seznamy omezit SSH připojení na náš router:
Poznámka: heslo příkaz používá na základě line vty 0 4 sekce je zcela dobrovolné a není použita v našem případě, protože přihlašovací ověřování výchozí příkaz, který vynutí router použít AAA mechanismus pro všechny ověření uživatele.,
Generování Náš Router je RSA Klíč – Digitální Certifikát
Digitální klíče slouží na pomoc další bezpečnou komunikaci mezi zařízeními. Náš další krok zahrnuje generování dvojice klíčů RSA, kterou SSH použije k šifrování komunikačního kanálu.
Než naše generování RSA klíče, je nutné definovat naše směrovače domény pomocí ip domain-name příkaz, následuje crypto key generate příkaz:
R1(config)# crypto key generate rsa
název klíče bude: R1.firewall.cx
Vyberte si velikost klíče modulem v rozmezí 360 až 4096 pro Všeobecné použití Klíče. Výběr klíčového modulu většího než 512 může trvat několik minut. Kolik bitů v modulu: 4096
% generování 4096 bit RSA klíče, klíče budou non-exportable…
(uplynulý čas byl 183 sekund)
Při generování našich klíčových párů, router upozorní nás s názvem používaným pro klíče, který se skládá z routeru hostname (R1) + Nakonfigurovat Název Domény (firewall.cx)., Nakonec můžeme vybrat množství bitů použitých pro modul (klíč).
Protože jsme vybrané generovat klíč pomocí 4096 bitů, router trvalo něco málo přes 3 minuty, aby vytvořit klíč! Všimněte si, že router použitý v našem příkladu byl Cisco 877.
s povoleným SSH jsme schopni ssh do našeho routeru a bezpečně jej spravovat z libovolného místa po celém světě.,
zobrazit všechny aktivní SSH sezení, jednoduše použijte show ssh příkaz:
R1# show ssh
Připojení Verze Režimu Šifrování, Hmac Státu uživatelské Jméno
0 2.0 V aes256-cbc, hmac-sha1 Zasedání začalo admin
0 2.0 VEN aes256-cbc, hmac-sha1 Zasedání začalo admin
%Ne SSHv1 připojení serveru běží.
R1#
tento článek vysvětlil důležitost povolení a používání SSH pro vzdálenou správu a konfiguraci směrovače Cisco., Viděli jsme, jak vytvořit uživatele pro vzdálenou správu, povolit AAA, Šifrovat hesla s jasným textem, povolit SSHv2, generovat klíče RSA a ověřit relace SSH na našem routeru.
zpět do Cisco routery sekce