By Leave a Comment on CiscoルータでのSSHの有効化と設定。 管理のためのSSHを制限し、SSHセッションのためのAAA認証を有効にして下さい

この記事はCisco IOSルータのリモート管理のためのSSHを設定し、セットアップする方法を示します。 SSHがIOSバージョンでサポートされているかどうかを確認する方法、それを有効にする方法、ルータのRSAキーを生成する方法、そして最後にVTYインターフェイスの,

セキュアシェル(SSH)は、リモートデバイスに接続するための安全で信頼性の高い手段を提供します。 これは、ユーザーが安全にコマンドラインインターフェイスセッションを介して機器にアクセス SSHは、安全なログイン、ファイル転送、およびポート転送に割り当てられているTCPポート22を使用します。,

SSHはリモートデバイスを認証するために公開鍵を使用し、そのデバイスとワークステーション間のすべてのデータを暗号化するため、パブリックネットワークにとって最良の選択となります。

ルータでのSSHサポートの確認

最初のステップは、CiscoルータのIOSがSSHをサポートしているかどうかを調べることです。, 最近のCiscoルーター支援SSH、今なお問題である。

イメージ名に(K9)が含まれる製品c2900-universalk9-mzなど。スパ154-3.M2binは、3DES/AESで強力な暗号化をサポートし、(K8)IOSバンドルは時代遅れのDESで弱い暗号化をサポートします。

確認するには、特権モードに入り、show ip sshコマンドを使用します。

R1#show ip ssh
SSH Disabled-version1.99
%SSHを有効にするためのRSAキーを作成してください(少なくとも768ビットのSSH v2)。,
認証タイムアウト:120秒;認証再試行:3
最小予想Diffie Hellmanキーサイズ:1024ビット
SECSH形式のIOSキー(ssh-rsa,base64encoded):なし

上記の出力では、システムはSSHサポートを示していますが、RSAキーが生成されていないため、現在無効になっています。 また、SSHv2を有効にするには、少なくとも768ビットのキーを生成する必要があることにも注意してください。,

ルータへのアクセスの保護

SSHを有効にする前に、最初にCiscoルータへのアクセスを制限することをお勧めします。 これは非常に重要になる場合に特にデバイスはインターフェースに面した公共のネットワーク。gインターネットは、公共のホットスポットにする。

最初にデバイスのユーザー資格情報を作成し、アセンティケーション、承認を有効にしますアカウンティングサービス(AAA)。, 最後に、シークレットパスワードが特権モードへのアクセスを保護するように設定されていることを確認し、service password-encryptionコマンドとともに、すべての平文パスワードが暗号化されていることを確認します。

次に、SSHプロトコルのみを介したリモートアクセスを制限することを強くお勧めします。 これにより、Telnetなどの安全でないサービスを使用してルータにアクセスできなくなります。 Telnetに発信してい情報を暗号化を含め、ユーザ名/パスワードにしているか確認する必要があるセキュリティリスク,

vtyセクションのtransport input sshコマンドを使用して、SSHのみを使用したリモートアクセスを制限します。 アクセスリストを使用してルータへのSSH接続を制限することもできます。

注:行vty0 4セクションで使用されるpasswordコマンドは完全にオプションであり、ルータがすべてのユーザ認証にAAAメカニズムを使用するように強制するlogin authentication defaultコマンドのため、このケースでは使用されません。,

ルーターのRSAキー–デジタル証明書の生成

デジタルキーは、デバイス間の通信をさらに安全にするための目的を果たします。 次のステップでは、通信チャネルの暗号化に役立つSSHによって使用されるRSAキーペアを生成します。

RSAキーを生成する前に、ip domain-nameコマンドに続いてcrypto key generateコマンドを使用してルータのドメインを定義する必要があります。

R1(config)#ip domain-name firewall。,cx
R1(config)#crypto key generate rsa
キーの名前は次のようになります。R1.firewall.cx
汎用キーのサイズは360から4096の範囲でお選びください。 512より大きいキー係数を選択するには数分かかる場合があります。 係数でどのように多くのビット:4096
%4096ビットRSAキーを生成し、キーは非エクスポート可能になります。..
(経過時間は183秒でした)

私たちのキーペアを生成するとき、ルータは、ルータのホスト名(R1)+設定されたドメイン名(firewall.cx)である。, 最後に、モジュラス(キー)に使用されるビットの量を選択できます。

4096ビットを使用してキーを生成することを選択したため、ルーターはキーを生成するのに3分以上かかりました! この例で使用したルータはCisco877であることに注意してください。

SSHを有効にすると、ルーターにssh接続し、世界中のどこからでも安全に管理できます。,

アクティブなSSHセッションを表示するには、show sshコマンドを使用します。

R1#show ssh
接続バージョンモード暗号化Hmac状態ユーザー名
0 2.0IN aes256-cbc hmac-sha1Session started admin
0 2.0OUT aes256-cbc hmac-sha1Session started admin
%No SSHv1サーバー接続走ってる
R1#

この記事では、CISCOルータをリモートで管理および設定するためにSSHを有効にして使用することの重要性について説明しました。, リモート管理用のユーザーの作成、AAAの有効化、クリアテキストパスワードの暗号化、SSHv2の有効化、RSAキーの生成、ルーターへのSSHセッションの確認方法を説明しま

シスコルータセクションに戻る

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です