Denne artikel viser, hvordan du konfigurerer og opsætning SSH til fjernadministration af Cisco IOS-Routere. Vi viser dig, hvordan du kontrollerer, om SSH understøttes af din iOS-version, hvordan du aktiverer den, genererer en RSA-nøgle til din router og til sidst konfigurerer SSH som den foretrukne styringsprotokol under VTY-grænsefladerne.,
Secure Shell (SSH) giver et sikkert og pålideligt middel til at oprette forbindelse til eksterne enheder. Det er en krypteret netværksprotokol, der giver brugerne mulighed for sikkert at få adgang til udstyr via kommandolinjegrænsefladesessioner. SSH gør brug af TCP port 22, som er tildelt sikre logins, filoverførsel og port for .arding.,
SSH bruger public key til godkendelse af den eksterne enhed og kryptere alle data, der er mellem denne enhed og den arbejdsstation, hvilket gør det til det bedste valg for offentlige netværk, i modsætning til (telnet), som transmitterer data i almindelig tekst, som udsætter det til sikkerhedstrusler, dette gør (telnet) anbefales til private netværk, der kun data til at holde dataene for kompromisløs.
Kontrol SSH Support på din Router
Det første skridt involverer en undersøgelse af, hvorvidt din Cisco router IOS understøtter SSH eller ikke., De fleste moderne Cisco-routere understøtter ssh, så dette burde ikke være et problem.
Produkter med (K9) i det billede, navn e.g c2900-universalk9-mz.SPA.154-3.Kvadratmeter.bin, understøtter stærk kryptering med 3DES / AES, mens (K8) iOS-bundter understøtter svag kryptering med den forældede DES.
for At kontrollere, skal du blot indtaste privilegium mode og bruge vis ip-ssh-kommandoen:
R1# vis ip ssh
SSH Handicappede – version 1.99
%skal Du oprette RSA-nøgler til at aktivere SSH (og af atleast 768 bits til SSH v2).,
timeout Authentication: 120 sek; Godkendelse forsøg: 3
Mindste forventede Diffie Hellman key size : 1024 bits
IOS Nøgler i SECSH-format(ssh-rsa, base64-kodet): NONE
I ovenstående output, systemet viser SSH support, men det er i øjeblikket deaktiveret, så ingen RSA-nøgle er blevet genereret. Det er også værd at bemærke, at der skal genereres en nøgle på mindst 768 bit for at aktivere sshv2.,
sikring af adgang til Router
det er altid en god ide at først begrænse adgangen til Cisco-routeren, før du aktiverer ssh. Dette er meget vigtigt, især når enheden har en grænseflade, der vender mod offentlige netværk, f.eks.
Vi først oprette brugeroplysninger for enheden, og derefter aktivere Athentication, Autorisation & Regnskabsmæssige Tjenesteydelser (AAA)., Endelig sikre, at en hemmelighed er angivet en adgangskode for at beskytte adgang til privilege-tilstand, sammen med den service password-kryptering kommando til at sikre, at alle klar-tekst-password er krypteret:
Næste, kan det stærkt anbefales at begrænse ekstern adgang via SSH-protokollen. Dette sikrer, at usikre tjenester som Telnet ikke kan bruges til at få adgang til routeren. Telnet sender alle oplysninger ukrypteret, herunder brugernavn/adgangskode, og betragtes derfor som en sikkerhedsrisiko.,
vi bruger kommandoen transport input SSH under VTY-sektionen til kun at begrænse fjernadgang ved hjælp af SSH. Bemærk, at vi også kan bruge Access-lister for at begrænse SSH forbindelser til vores router:
Bemærk: adgangskoden kommando, der blev brugt under line vty 0 4 afsnit er helt valgfrit og ikke brugt i vores tilfælde på grund af login-godkendelse standard kommando, som styrker den router til at bruge AAA mekanisme for alle brugergodkendelse.,
Generering Vores Router RSA-Nøgle – Digitalt Certifikat
Digitale nøgler tjene det formål at bidrage yderligere til sikker kommunikation mellem enheder. Vores næste trin involverer generering af et RSA-nøglepar, der vil blive brugt af ssh til at hjælpe med at kryptere kommunikationskanalen.
Før generering af vores RSA-nøgle, er det nødvendigt at definere vores router domæne ved hjælp af ip-domæne-navn kommando, efterfulgt af crypto-tasten generere kommando:
R1(config)# crypto-tasten generere rsa
navnet for nøglerne vil være: R1.firewall.cx
Vælg størrelsen af de vigtigste modul i intervallet 360 til 4096 for din Generelle Formål Nøgler. Det kan tage et par minutter at vælge et nøglemodul større end 512. Hvor mange bits i modulet : 4096
% genererer 4096 bit RSA nøgler, nøgler vil være ikke-eksporteres…
(forløbet tid var 183 sekunder)
, Når du genererer vores nøglepar, routeren giver os besked med det navn, der bruges til nøgler, som består af routerens værtsnavn (R1) + Konfigureret Domænenavn (firewall.cx)., Endelig kan vi vælge mængden af bits, der bruges til modulet (nøglen).
da vi valgte at generere en nøgle ved hjælp af 4096 bits, tog routeren lidt over 3 minutter at generere nøglen! Bemærk, at router, der anvendes i vores eksempel var en Cisco 877.
med SSH aktiveret er vi i stand til at SSH ind i vores router og styre det sikkert fra ethvert sted over hele kloden.,
for At få vist alle aktive SSH session, skal du bruge vis ssh kommando:
R1# vis ssh
Forbindelse Version Tilstand Kryptering Hmac-Tilstand Brugernavn
0 2,0 I aes256-cbc-hmac-sha1 Session, der startede admin
0 2.0 UD aes256-cbc-hmac-sha1 Session, der startede admin
%Ingen SSHv1 server-forbindelser kører.
R1#
denne artikel forklarede vigtigheden af at aktivere og bruge SSH til fjernstyring og konfigurering af din Cisco-router., Vi så, hvordan man opretter brugere til fjernstyring, aktiverer AAA, krypterer klare tekstadgangskoder, aktiverer SSHv2, genererer RSA-nøgler og verificerer SSH-sessioner til vores router.
tilbage til Cisco routere sektion