Dieser Artikel zeigt, wie Sie SSH für die Remote-Verwaltung von Cisco IOS-Routern konfigurieren und einrichten. Wir zeigen Ihnen, wie Sie überprüfen, ob SSH von Ihrer IOS-Version unterstützt wird, wie Sie es aktivieren, einen RSA-Schlüssel für Ihren Router generieren und SSH schließlich als bevorzugtes Verwaltungsprotokoll unter den VTY-Schnittstellen konfigurieren.,
Secure Shell (SSH) bietet eine sichere und zuverlässige Möglichkeit zur Verbindung mit Remote-Geräten. Es ist ein verschlüsseltes Netzwerkprotokoll, mit dem Benutzer über Befehlszeilenschnittstellensitzungen sicher auf Geräte zugreifen können. SSH verwendet TCP-Port 22, der sicheren Anmeldungen, Dateiübertragungen und Portweiterleitungen zugewiesen ist.,
SSH verwendet den öffentlichen Schlüssel zur Authentifizierung des Remote-Geräts und verschlüsselt alle Daten zwischen diesem Gerät und der Workstation, was es zur besten Wahl für öffentliche Netzwerke macht, im Gegensatz zu (telnet), das Daten im Klartext überträgt, was es Sicherheitsbedrohungen aussetzt, wird (telnet) nur für private Netzwerke empfohlen, um die Daten kompromisslos zu halten.
Überprüfen der SSH-Unterstützung auf Ihrem Router
Im ersten Schritt wird geprüft, ob das IOS Ihres Cisco-Routers SSH unterstützt oder nicht., Die meisten modernen Cisco-Router unterstützen SSH, daher sollte dies kein Problem sein.
Produkte mit (K9) im Bildnamen z.B. c2900-universalk9-mz.WELLNESSBEREICH.154-3.Qm.bin, unterstützung starke verschlüsselung mit 3DES / AES während (K8) IOS bundles unterstützung schwache verschlüsselung mit die veraltete DES.
Um dies zu überprüfen, geben Sie einfach den Privilege – Modus ein und verwenden Sie den Befehl show ip ssh:
R1# show ip ssh
SSH Disabled-Version 1.99
%Bitte erstellen Sie RSA-Schlüssel, um SSH zu aktivieren (und von mindestens 768 Bits für SSH v2).,
Authentifizierungs-Timeout: 120 Sekunden; Authentifizierungsversuche: 3
Minimale erwartete Diffie Hellman-Schlüsselgröße: 1024 Bit
IOS-Schlüssel im SECSH-Format (ssh-rsa, base64-codiert): KEINE
In der obigen Ausgabe zeigt das System die SSH-Unterstützung an, ist jedoch derzeit deaktiviert, da kein RSA-Schlüssel generiert wurde. Es ist auch erwähnenswert, dass ein Schlüssel von mindestens 768 Bit generiert werden muss, um SSHv2 zu aktivieren.,
Sichern des Zugriffs auf Router
Es ist immer eine gute Idee, zuerst den Zugriff auf den Cisco Router einzuschränken, bevor SSH aktiviert wird. Dies ist besonders wichtig, wenn das Gerät über eine Schnittstelle zu öffentlichen Netzwerken verfügt, z. B. Internet, öffentlicher Hotspot.
Wir erstellen zuerst Benutzeranmeldeinformationen für das Gerät und aktivieren dann Athentication, Authorization & Accounting Services (AAA)., Stellen Sie abschließend sicher, dass zum Schutz des Zugriffs auf den Berechtigungsmodus ein geheimes Kennwort festgelegt ist, zusammen mit dem Befehl service password-encryption, um sicherzustellen, dass alle Klartext-Kennwörter verschlüsselt sind:
Als nächstes wird dringend empfohlen, den Fernzugriff nur über das SSH-Protokoll einzuschränken. Dadurch wird sichergestellt, dass unsichere Dienste wie Telnet nicht für den Zugriff auf den Router verwendet werden können. Telnet sendet alle Informationen unverschlüsselt, einschließlich Benutzername/Passwort, und wird daher als Sicherheitsrisiko angesehen.,
Wir verwenden den Befehl transport input ssh im Abschnitt VTY, um den Fernzugriff nur mit SSH einzuschränken. Beachten Sie, dass wir auch Zugriffslisten verwenden können, um SSH-Verbindungen zu unserem Router einzuschränken:
Hinweis: Der unter Zeile vty 0 4 verwendete Kennwortbefehl ist vollständig optional und wird in unserem Fall nicht verwendet, da der Standardbefehl für die Anmeldeauthentifizierung den Router zwingt, den AAA-Mechanismus für alle Benutzerauthentifizierungen zu verwenden.,
Generieren des RSA – Schlüssels unseres Routers-Digitales Zertifikat
Digitale Schlüssel dienen dem Zweck, die Kommunikation zwischen Geräten weiter zu sichern. Unser nächster Schritt besteht darin, ein RSA-Schlüsselpaar zu generieren, das von SSH zur Verschlüsselung des Kommunikationskanals verwendet wird.
Bevor Sie unseren RSA-Schlüssel generieren, müssen Sie die Domäne unseres Routers mit dem Befehl ip domain-name definieren, gefolgt vom Befehl crypto key generate:
R1 (config)# crypto key generate rsa
Der Name für die Schlüssel lautet: R1.firewall.cx
Wählen Sie die Größe des Schlüsselmoduls im Bereich von 360 bis 4096 für Ihre Universalschlüssel. Die Auswahl eines Schlüsselmoduls größer als 512 kann einige Minuten dauern. Wie viele Bits im Modul: 4096
% Erzeugen 4096 Bit RSA-Schlüssel, Schlüssel werden nicht exportierbar sein…
(verstrichene Zeit betrug 183 Sekunden)
Beim Generieren unserer Schlüsselpaare benachrichtigt uns der Router mit dem für die Schlüssel verwendeten Namen, der aus dem Hostnamen des Routers (R1) + konfiguriertem Domänennamen (R1) besteht. firewall.cx)., Schließlich können wir die Anzahl der Bits auswählen, die für den Modul (Schlüssel) verwendet werden.
Da wir ausgewählt haben, einen Schlüssel mit 4096 Bits zu generieren, hat der Router etwas mehr als 3 Minuten gebraucht, um den Schlüssel zu generieren! Beachten Sie, dass Router in unserem Beispiel verwendet wurde, war ein Cisco 877.
Mit aktiviertem SSH können wir ssh in unseren Router einbinden und von jedem Ort auf der Welt aus sicher verwalten.,
, Um alle aktiven SSH-Sitzung, verwenden Sie einfach die show ssh-Befehl:
R1# show ssh
Anschluss-Version-Modus-Verschlüsselung Hmac Zustand Username
0 2.0 IN aes256-cbc-hmac-sha1-Sitzung gestartet admin
0 2.0 AUS aes256-cbc-hmac-sha1-Sitzung gestartet admin
%Keine SSHv1-server-verbindungen ausgeführt.
R1#
In diesem Artikel wurde erläutert, wie wichtig es ist, SSH für die Remote-Verwaltung und Konfiguration Ihres Cisco-Routers zu aktivieren und zu verwenden., Wir haben gesehen, wie Benutzer für die Remote-Verwaltung erstellt, AAA aktiviert, Klartext-Kennwörter verschlüsselt, SSHv2 aktiviert, RSA-Schlüssel generiert und SSH-Sitzungen für unseren Router überprüft werden.
Zurück zum Abschnitt Cisco Router