Questo articolo mostra come configurare e configurare SSH per la gestione remota dei router Cisco IOS. Ti mostreremo come verificare se SSH è supportato dalla tua versione IOS, come abilitarlo, generare una chiave RSA per il tuo router e infine configurare SSH come protocollo di gestione preferito sotto le interfacce VTY.,
Secure Shell (SSH) fornisce un mezzo sicuro e affidabile di connessione a dispositivi remoti. È un protocollo di rete crittografato che consente agli utenti di accedere in modo sicuro alle apparecchiature tramite sessioni di interfaccia a riga di comando. SSH fa uso della porta TCP 22 che è assegnato a accessi sicuri, trasferimento di file e port forwarding.,
SSH utilizza la chiave pubblica per l’autenticazione del dispositivo remoto e crittografare tutti i dati tra il dispositivo e la workstation che lo rende la scelta migliore per le reti pubbliche, a differenza di (telnet) che trasmette i dati in formato testo normale che lo sottopone a rischi di sicurezza, questo rende (telnet) raccomandato per le reti private solo a conservare i dati senza compromessi.
Verifica del supporto SSH sul router
Il primo passo consiste nell’esaminare se l’IOS del router Cisco supporta SSH o meno., La maggior parte dei moderni router Cisco supporta SSH, quindi questo non dovrebbe essere un problema.
Prodotti con (K9) nel nome dell’immagine, ad esempio c2900-universalk9-mz.SPA.154-3.M2.bin, supporta la crittografia forte con 3DES / AES mentre (K8) i bundle IOS supportano la crittografia debole con il DES obsoleto.
Per controllare, è sufficiente entrare in modalità privilegio e utilizzare il comando show ip ssh:
R1# show ip ssh
SSH Disabled – version 1.99
%Si prega di creare chiavi RSA per abilitare SSH (e di almeno 768 bit per SSH v2).,
Timeout di autenticazione: 120 secondi; Tentativi di autenticazione: 3
Dimensione minima prevista della chiave Diffie Hellman : 1024 bit
Chiavi IOS in formato SECSH(ssh-rsa, codificato base64): NESSUNA
Nell’output precedente, il sistema mostra il supporto SSH, ma è attualmente disabilitato poiché non è stata generata alcuna chiave RSA. Vale anche la pena notare che una chiave di almeno 768 bit deve essere generata per abilitare SSHv2.,
Protezione dell’accesso al router
È sempre una buona idea limitare prima l’accesso al router Cisco prima di abilitare SSH. Questo è molto importante soprattutto quando il dispositivo ha un’interfaccia di fronte reti pubbliche ad esempio Internet, Hotspot pubblico.
Prima creiamo le credenziali utente per il dispositivo e quindi abilitiamo Athentication, Authorization & Accounting Services (AAA)., Infine, assicurarsi che una password segreta sia impostata per proteggere l’accesso alla modalità privilegio, insieme al comando di crittografia delle password del servizio per garantire che tutte le password in chiaro siano crittografate:
Successivamente, si consiglia vivamente di limitare l’accesso remoto solo tramite il protocollo SSH. Ciò garantirà che i servizi non sicuri come Telnet non possano essere utilizzati per accedere al router. Telnet invia tutte le informazioni in chiaro, tra cui nome utente/password, ed è quindi considerato un rischio per la sicurezza.,
Useremo il comando transport input ssh sotto la sezione VTY per limitare l’accesso remoto usando solo SSH. Si noti che possiamo anche utilizzare Access-list per limitare le connessioni SSH al nostro router:
Nota: il comando password utilizzato nella sezione riga vty 0 4 è completamente opzionale e non utilizzato nel nostro caso a causa del comando predefinito di autenticazione di accesso che costringe il router a utilizzare il meccanismo AAA per tutte le autenticazioni utente.,
Generazione della chiave RSA del nostro router – Certificato digitale
Le chiavi digitali hanno lo scopo di aiutare a proteggere ulteriormente le comunicazioni tra dispositivi. Il nostro prossimo passo consiste nella generazione di una coppia di chiavi RSA che verrà utilizzata da SSH per crittografare il canale di comunicazione.
Prima di generare la nostra chiave RSA, è necessario definire il dominio del nostro router utilizzando il comando ip domain-name, seguito dal comando crypto key generate:
R1(config)# crypto key genera rsa
Il nome per le chiavi sarà: R1.firewall.cx
Scegli la dimensione del modulo chiave nell’intervallo da 360 a 4096 per le tue chiavi di uso generale. La scelta di un modulo chiave maggiore di 512 può richiedere alcuni minuti. Quanti bit nel modulo:4096
% Generando chiavi RSA a 4096 bit, le chiavi non saranno esportabili…
(il tempo trascorso era di 183 secondi)
Quando si generano le nostre coppie di chiavi, il router ci avvisa con il nome utilizzato per le chiavi, che consiste nel nome host del router (R1) + Nome di dominio configurato (firewall.cx)., Infine, possiamo selezionare la quantità di bit utilizzati per il modulo (chiave).
Poiché abbiamo scelto di generare una chiave utilizzando 4096 bit, il router ha impiegato un po ‘ più di 3 minuti per generare la chiave! Si noti che il router utilizzato nel nostro esempio era un Cisco 877.
Con SSH abilitato siamo in grado di ssh nel nostro router e gestirlo in modo sicuro da qualsiasi luogo in tutto il mondo.,
Per visualizzare qualsiasi sessione SSH attiva, è sufficiente utilizzare il comando show ssh:
R1# show ssh
Connessione Modalità versione Crittografia Stato Hmac Nome utente
0 2.0 IN aes256-cbc hmac-sha1 Sessione iniziata admin
0 2.0 OUT aes256-cbc sessione hmac-sha1 iniziata admin
%Nessuna connessione server SSHv1 in esecuzione.
R1#
Questo articolo ha spiegato l’importanza di abilitare e utilizzare SSH per gestire e configurare in remoto il router Cisco., Abbiamo visto come creare utenti per la gestione remota, abilitare AAA, crittografare password in chiaro, abilitare SSHv2, generare chiavi RSA e verificare le sessioni SSH sul nostro router.
Torna alla sezione Router Cisco