Denne artikkelen viser hvordan du konfigurerer og oppsett SSH for ekstern administrasjon av Cisco IOS-Rutere. Vi vil vise deg hvordan du sjekke om SSH støttes av IOS-versjonen, hvordan du aktiverer denne funksjonen, kan du generere en RSA-nøkkel for ruteren og til slutt konfigurere SSH som foretrukket management protocol under VTY grensesnitt.,
SSH (Secure Shell) gir en sikker og pålitelig, mener koble til eksterne enheter. Det er et kryptert nettverk protokoll som lar brukere sikker tilgang til utstyr via kommandolinje-grensesnitt økter. SSH gjør bruk av TCP-port 22 som er tilordnet til sikker pålogging, filoverføring og port forwarding.,
SSH bruker offentlig nøkkel for godkjenning av den eksterne enheten og kryptere all data mellom enheten og arbeidsstasjon, noe som gjør det til det beste valget for offentlig nettverk, i motsetning til (telnet) som sender data i klartekst hvilke temaer som er den for sikkerhetstrusler, gjør dette (telnet) anbefales for private nettverk bare for å holde data kompromissløs.
Verifisere SSH-Støtte på Ruteren
Det første trinnet innebærer å undersøke om Cisco ruteren er IOS støtter SSH eller ikke., De fleste moderne Cisco rutere som støtter SSH, så dette bør ikke være et problem.
Produkter med (K9) i bildet navn e.g c2900-universalk9-mz.SPA.154-3.Kvadratmeter.bin, støtter sterk kryptering med 3DES/AES mens (K8) IOS bunter støtte svak kryptering med den utdaterte DES.
for Å sjekke, bare skriv inn privilegium-modus og bruk show ip for ssh-kommandoen:
R1# show ip for ssh
SSH Deaktivert – versjon 1.99
%kan du opprette RSA-nøkler for å aktivere SSH (og atleast 768 bits for SSH v2).,
Godkjenning timeout: 120 sekunder; Godkjenning gjentar: 3
Minimum forventet Diffie Hellman nøkkel størrelse : 1024 bits
IOS-Tastene i SECSH format(ssh-rsa, base64-kodet): INGEN
I over utgang, systemet viser SSH-støtte, men det er for øyeblikket deaktivert som ingen RSA-nøkkel har blitt generert. Det er også verdt å merke seg at en tast på minst 768 bits må genereres for å aktivere SSHv2.,
å Sikre Tilgang til Ruteren
Det er alltid en god idé å først begrense tilgang til Cisco ruteren før du kan aktivere SSH. Dette er veldig viktig, spesielt når enheten har et grensesnitt mot offentlig nettverk.e.g Internett, Offentlig Hotspot.
Vi først opprette legitimasjonsbeskrivelser for enheten, og deretter aktiverer Athentication, Autorisasjon & Regnskap-Tjenester (AAA)., Til slutt, sørg for en hemmelig passord er satt for å beskytte tilgang til endring av modus, sammen med tjenesten passord-kryptering kommando for å sikre at alle klar-tekst passord er kryptert:
Neste, det er sterkt anbefalt å begrense ekstern tilgang via SSH-protokollen bare. Dette vil sikre at usikre tjenester, for eksempel Telnet kan brukes til å få tilgang til ruteren. Telnet sender ukryptert informasjon, inkludert brukernavn og/eller passord, og er derfor ansett som en sikkerhetsrisiko.,
Vi vil bruke transport inngang ssh kommandoen under VTY delen for å begrense ekstern tilgang via SSH bare. Vær oppmerksom på at vi kan også bruke Access-lister for å begrense SSH forbindelser til våre ruter:
Merk: passordet kommando som brukes under linje vty 0 4 § er helt valgfritt og ikke brukes i vårt tilfelle fordi logg inn for godkjenning standard kommando som styrker ruteren for å bruke AAA-mekanisme for alle brukergodkjenning.,
Generere Vår Ruterens RSA-Nøkkel – Sertifikat
Digitale nøkler tjene den hensikt å bidra til å ytterligere sikre kommunikasjon mellom enheter. Vår neste trinn innebærer å generere en RSA-nøkkelpar som vil bli brukt av SSH å bidra til å kryptere kommunikasjonen kanal.
Før du genererer vårt RSA-nøkkel, er det nødvendig å definere vår ruterens domene ved å bruke ip-domene-navn kommando, etterfulgt av crypto-tasten for å generere kommando:
R1(config)# crypto-tasten for å generere rsa
navnet På tastene vil være: R1.brannmur.cx
Velg størrelsen av de viktigste modulus i størrelsesorden 360 4096 for din Generelle Formål-Tastene. Ved å velge en nøkkel modulus som er større enn 512 kan ta noen minutter. Hvor mange biter i modulus : 4096
% Generere 4096 bits RSA-nøkler, nøkler vil være ikke-eksporterbar…
(medgått tid var 183 sekunder)
Når du genererer våre key par, ruter varsler oss med det navnet som brukes for tastene, som består av ruterens vertsnavn (R1) + Konfigurert Domenenavn (brannmur.cx)., Til slutt, vi kan velge mengden av biter som brukes for modulus (nøkkel).
Siden vi valgte å generere en nøkkel ved hjelp 4096 bits, ruter tok litt over 3 minutter å generere nøkkelen! Vær oppmerksom på at ruteren som brukes i vårt eksempel var en Cisco 877.
Med SSH aktivert vi er i stand til å kjøre inn i våre ruter og klarer det sikkert fra hvilket som helst sted på kloden.,
for Å vise alle aktive SSH sesjon, bruker du ganske enkelt vis ssh kommando:
R1# vise ssh
Tilkobling Versjon Modus Kryptering Hmac Staten Brukernavn
0 2.0 I aes256-cbc hmac-sha1 Økt startet admin
0 2.0 UT aes256-cbc hmac-sha1 Økt startet admin
%Ingen SSHv1 server tilkoblinger kjører.
R1#
Denne artikkelen forklarte betydningen av å aktivere og bruke SSH til eksternt administrere og konfigurere Cisco router., Vi så hvordan opprette brukere for ekstern administrasjon, aktivere AAA, kryptere klar-tekst passord, aktiverer SSHv2, generere RSA-nøkler og kontrollere SSH økter til våre ruter.
Tilbake til Cisco-Rutere Avsnitt