dit artikel laat zien hoe u SSH kunt configureren en instellen voor extern beheer van Cisco IOS-Routers. We laten je zien hoe je controleert of SSH wordt ondersteund door je IOS-versie, hoe je het inschakelt, een RSA-sleutel voor je router genereert en uiteindelijk SSH configureert als het preferred management protocol onder de VTY interfaces.,
Secure Shell (SSH) biedt een veilig en betrouwbaar gemiddelde voor het verbinden met externe apparaten. Het is een versleuteld netwerkprotocol dat gebruikers in staat stelt om veilig toegang te krijgen tot apparatuur via command line interface sessies. SSH maakt gebruik van tcp-poort 22 die is toegewezen aan beveiligde logins, bestandsoverdracht en port forwarding.,
SSH gebruikt publieke sleutel voor het authenticeren van het apparaat op afstand en versleutelt alle gegevens tussen dat apparaat en het werkstation, wat het de beste keuze maakt voor openbare netwerken, in tegenstelling tot (telnet) dat gegevens in platte tekst verzendt die het onderwerpen aan veiligheidsbedreigingen, dit maakt (telnet) aanbevolen voor particuliere netwerken alleen om de gegevens compromisloos te houden.
SSH-ondersteuning op uw Router verifiëren
de eerste stap bestaat uit het onderzoeken of de iOS van uw Cisco-router SSH ondersteunt of niet., De meeste moderne Cisco-routers ondersteunen SSH, dus dit zou geen probleem moeten zijn.
producten met (K9) in de naam van de afbeelding bijvoorbeeld c2900-universalk9-mz.SPA.154-3.M2.bin, ondersteunt sterke encryptie met 3DES / AES terwijl (K8) iOS bundels ondersteunen zwakke encryptie met de verouderde DES.
om dit te controleren, voer je de privilege mode in en gebruik je de show ip ssh commando:
R1# show ip SSH
SSH Disabled – version 1.99
%Maak A.U. B. RSA sleutels aan om SSH (en minimaal 768 bits voor SSH v2) aan te zetten.,
authenticatie time-out: 120 secs; authenticatie opnieuw proberen: 3
minimale verwachte Diffie Hellman sleutelgrootte: 1024 bits
IOS-sleutels in SECSH-formaat (ssh-rsa, base64 gecodeerd): geen
in de bovenstaande uitvoer toont het systeem SSH-ondersteuning, maar het is momenteel uitgeschakeld omdat er geen RSA-sleutel is gegenereerd. Het is ook vermeldenswaard dat een sleutel van ten minste 768 bits moet worden gegenereerd om SSHv2 in te schakelen.,
toegang tot Router beveiligen
Het is altijd een goed idee om eerst de toegang tot de Cisco-router te beperken voordat SSH wordt ingeschakeld. Dit is erg belangrijk, vooral wanneer het apparaat een interface heeft die is gericht op openbare netwerken zoals Internet, openbare Hotspot.
we maken eerst gebruikersreferenties aan voor het apparaat en activeren vervolgens Athentication, Authorization & Accounting Services (AAA)., Tot slot, zorg ervoor dat een geheim wachtwoord is ingesteld om de toegang tot de privilege mode te beschermen, samen met het service password-encryptie commando om ervoor te zorgen dat alle clear-text wachtwoorden versleuteld zijn:
vervolgens wordt het ten zeerste aanbevolen om toegang op afstand alleen via het SSH protocol te beperken. Dit zorgt ervoor dat onveilige services zoals Telnet niet gebruikt kunnen worden om toegang te krijgen tot de router. Telnet verzendt alle informatie ongecodeerd, inclusief gebruikersnaam / wachtwoord, en wordt daarom beschouwd als een veiligheidsrisico.,
we zullen het transport input ssh commando onder de sectie VTY gebruiken om toegang op afstand te beperken met alleen SSH. Merk op dat we ook Access-lists kunnen gebruiken om SSH-verbindingen met onze router te beperken:
opmerking: het wachtwoordcommando dat wordt gebruikt onder regel VTY 0 4 sectie is volledig optioneel en wordt in ons geval niet gebruikt vanwege het standaardcommando voor login authenticatie dat de router dwingt het AAA-mechanisme te gebruiken voor alle gebruikersauthenticatie.,
het genereren van RSA Key – Digital Certificate
digitale sleutels dienen het doel om de communicatie tussen apparaten verder te beveiligen. Onze volgende stap bestaat uit het genereren van een RSA sleutelpaar dat door SSH zal worden gebruikt om het communicatiekanaal te versleutelen.
Voor het genereren van onze RSA-sleutel, is het noodzakelijk om het domein van onze router te definiëren met behulp van het ip domain-name Commando, gevolgd door de crypto key generate Commando:
R1 (config) # crypto sleutel genereren rsa
De naam voor de sleutels zal zijn: R1.firewall.cx
Kies de grootte van de sleutelmodulus in het bereik van 360 tot 4096 voor uw algemene toetsen. Het kiezen van een sleutelmodulus groter dan 512 kan een paar minuten duren. Hoeveel bits in de modulus: 4096
% genereren 4096 bit RSA sleutels, sleutels zullen niet-exporteerbaar zijn…
(verstreken tijd was 183 seconden)
bij het genereren van onze sleutelparen informeert de router ons met de naam die wordt gebruikt voor de sleutels, die bestaat uit de hostnaam van de router (R1) + geconfigureerde domeinnaam (firewall.cx)., Tot slot kunnen we de hoeveelheid bits die gebruikt worden voor de modulus (key) selecteren.
omdat we geselecteerd hebben om een sleutel te genereren met behulp van 4096 bits, duurde de router iets meer dan 3 minuten om de sleutel te genereren! Merk op dat de router die in ons voorbeeld werd gebruikt een Cisco 877 was.
met SSH ingeschakeld zijn we in staat om ssh in onze router en beheren veilig vanaf elke locatie over de hele wereld.,
om een actieve SSH-sessie te bekijken, gebruik je gewoon het commando show ssh:
R1# show SSH
Connection Version Mode encryptie HMAC State Username
0 2.0 IN aes256-cbc HMAC-sha1 Session started admin
0 2.0 OUT aes256-cbc hmac-SHA1-sessie startte admin
%geen sshv1-serververbindingen actief.
R1#
in dit artikel wordt uitgelegd hoe belangrijk het is om SSH in te schakelen en te gebruiken om uw Cisco-router op afstand te beheren en te configureren., We zagen hoe we gebruikers kunnen maken voor beheer op afstand, AAA inschakelen, wachtwoorden met duidelijke tekst versleutelen, SSHv2 inschakelen, RSA-sleutels genereren en SSH-sessies verifiëren op onze router.
terug naar Cisco Routers sectie