ez a cikk bemutatja az SSH konfigurálását és beállítását a Cisco IOS Routerek távoli kezeléséhez. Megmutatjuk Önnek, hogyan ellenőrizheti, hogy az SSH-t támogatja-e az IOS verziója, hogyan engedélyezheti, generálhat egy RSA kulcsot az útválasztóhoz, majd végül konfigurálja az SSH-t a VTY interfészek alatt preferált kezelési protokollként.,
A Secure Shell (SSH) biztonságos és megbízható eszközt biztosít a távoli eszközökhöz való csatlakozáshoz. Ez egy titkosított hálózati protokoll, amely lehetővé teszi a felhasználók számára, hogy biztonságosan hozzáférjenek a berendezésekhez parancssori interfészeken keresztül. Az SSH a TCP 22 portot használja, amely a biztonságos bejelentkezéshez, a fájlátvitelhez és a port továbbításához van hozzárendelve.,
SSH használ nyilvános kulcs hitelesíti, a távoli eszköz titkosítása az összes adat között, hogy a készülék a munkaállomás ami a legjobb választás a nyilvános hálózatok, ellentétben (telnet), amely továbbítja az adatokat a sima szöveg, amely tantárgyak ez a biztonsági fenyegetésekkel szemben, ez teszi (telnet) ajánlott a privát hálózatok csak, hogy az adatok biztonságban magamat.
SSH támogatás ellenőrzése az útválasztón
az első lépés annak megvizsgálása, hogy a Cisco router IOS támogatja-e az SSH-t vagy sem., A legtöbb modern Cisco útválasztó támogatja az SSH-t, tehát ez nem jelent problémát.
termékek (K9) a kép neve pl C2900-universalk9-mz.Gyógyfürdő.154-3.M2.bin, támogatja az erős titkosítást a 3DES / AES segítségével, míg a (K8) IOS csomagok támogatják a gyenge titkosítást az elavult DES-vel.
az ellenőrzéshez egyszerűen írja be a privilege mode parancsot és használja a show ip SSH parancsot:
R1# show ip SSH
SSH Disabled – version 1.99
%Kérjük, hozzon létre RSA kulcsokat az SSH (és atleast 768 bit SSH v2) engedélyezéséhez.,
hitelesítési időtúllépés: 120 MP; hitelesítési újrapróbálkozások: 3
minimális várható Diffie Hellman kulcsméret: 1024 bit
iOS kulcsok SECSH formátumban(SSH-rsa, base64 kódolva): nincs
a fenti kimeneten a rendszer SSH támogatást mutat, de jelenleg le van tiltva, mivel nincs RSA kulcs generálva. Érdemes megjegyezni, hogy legalább 768 bites kulcsot kell létrehozni az SSHv2 engedélyezéséhez.,
hozzáférés biztosítása a routerhez
mindig jó ötlet, hogy először korlátozzuk a Cisco útválasztóhoz való hozzáférést az SSH engedélyezése előtt. Ez nagyon fontos, különösen akkor, ha az eszköz olyan felülettel rendelkezik, amely nyilvános hálózatokkal, például internettel, nyilvános Hotspotral néz szembe.
először felhasználói hitelesítő adatokat hozunk létre az eszközhöz, majd engedélyezzük az Athentication, Authorization & számviteli szolgáltatások (AAA)., Végre, annak érdekében, hogy titkos jelszó van beállítva, hogy megvédje hozzáférés jogosultság mód, valamint a szolgáltatás jelszavas titkosítás parancsot, hogy minden világos-szöveg jelszavak titkosítva vannak:
Következő, erősen ajánlott, hogy korlátozza a távoli hozzáférés keresztül az SSH protokoll csak. Ez biztosítja, hogy a nem biztonságos szolgáltatások, például a Telnet nem használhatók az útválasztó eléréséhez. A Telnet titkosítatlanul küld minden információt, beleértve a felhasználónevet / jelszót is, ezért biztonsági kockázatnak minősül.,
a VTY szakasz alatt a transport input ssh parancsot használjuk a távoli hozzáférés korlátozására csak SSH használatával. Vegye figyelembe, hogy hozzáférési listákat is használhatunk az SSH kapcsolatok korlátozására az útválasztónkhoz:
megjegyzés: a vty 0 4 sor alatt használt jelszó parancs teljesen opcionális, és esetünkben nem használható a bejelentkezési hitelesítés alapértelmezett parancsa miatt, amely arra kényszeríti az útválasztót, hogy az AAA mechanizmust használja minden felhasználói hitelesítéshez.,
az útválasztó RSA kulcsának generálása – digitális tanúsítvány
A digitális kulcsok célja az eszközök közötti további biztonságos kommunikáció elősegítése. A következő lépés egy RSA kulcspár létrehozása, amelyet az SSH használ a kommunikációs csatorna titkosításához.
az RSA kulcs generálása előtt meg kell határozni az útválasztó domainjét az ip domain-name paranccsal, majd a crypto key generate parancsot:
R1 (config) # crypto kulcs generál rsa
a név a kulcsok lesz: R1.firewall.cx
válassza ki a kulcs modulus méretét a 360-4096 tartományban az általános célú kulcsokhoz. Az 512-nél nagyobb kulcsmodul kiválasztása néhány percet vehet igénybe. Hány bit a modulusban: 4096
% 4096 bites RSA kulcsokat generálva a kulcsok nem exportálhatók…
(eltelt idő 183 másodperc volt)
kulcspárok generálásakor az útválasztó értesíti a kulcsokhoz használt nevet, amely az útválasztó gazdagépnevéből (R1) + konfigurált Tartománynévből (R1) áll firewall.cx)., Végül kiválaszthatjuk a modulushoz használt bitek mennyiségét (kulcs).
mivel 4096 bit segítségével választottuk ki a kulcs generálását, az útválasztó kicsit több mint 3 percet vett igénybe a kulcs létrehozásához! Vegye figyelembe, hogy router használt példánkban volt Cisco 877.
az SSH engedélyezésével képesek vagyunk SSH-t használni az útválasztónkba, és biztonságosan kezelni azt a világ bármely pontjáról.,
bármely aktív SSH munkamenet megtekintéséhez egyszerűen használja a show ssh parancsot:
R1# SSH
kapcsolat Verzió mód titkosítás Hmac állam felhasználónév
0 2.0 AES256-cbc hmac-sha1 munkamenet kezdődött admin
0 2.0 ki AES256-cbc HMAC-SHA1 munkamenet kezdődött admin
%Nincs sshv1 szerver kapcsolatok futó.
R1 #
ez a cikk elmagyarázta annak fontosságát, hogy az SSH távolról kezelje és konfigurálja a Cisco routert., Láttuk, hogyan kell létrehozni a felhasználók távoli menedzsment, lehetővé AAA, titkosítása clear-text jelszavak, lehetővé SSHv2 is generálnunk kell egy RSA-kulcsokat, majd ellenőrizze, SSH ülés, hogy a router.
vissza a Cisco routerek szakasz