Ten artykuł pokazuje, jak skonfigurować i skonfigurować SSH do zdalnego zarządzania routerami Cisco IOS. Pokażemy Ci, jak sprawdzić, czy SSH jest obsługiwany przez twoją wersję IOS, jak ją włączyć, wygenerować klucz RSA dla routera i skonfigurować SSH jako preferowany protokół zarządzania w interfejsach VTY.,
Secure Shell (SSH) zapewnia bezpieczny i niezawodny sposób łączenia się ze zdalnymi urządzeniami. Jest to szyfrowany protokół sieciowy, który pozwala użytkownikom na bezpieczny dostęp do sprzętu za pośrednictwem sesji interfejsu wiersza poleceń. SSH korzysta z portu TCP 22, który jest przypisany do bezpiecznego logowania, przesyłania plików i przekierowywania portów.,
SSH używa klucza publicznego do uwierzytelniania zdalnego urządzenia i szyfrowania wszystkich danych między tym urządzeniem a stacją roboczą, co sprawia, że jest to najlepszy wybór dla sieci publicznych, w przeciwieństwie do (telnet), który przesyła dane w postaci zwykłego tekstu, który naraża je na zagrożenia bezpieczeństwa, to sprawia, że (telnet) jest zalecany dla sieci prywatnych tylko w celu zachowania danych bezkompromisowych.
weryfikacja obsługi SSH na routerze
pierwszy krok polega na sprawdzeniu, czy system iOS routera Cisco obsługuje SSH, czy nie., Większość nowoczesnych routerów Cisco obsługuje SSH, więc nie powinno to stanowić problemu.
produkty z (K9) w nazwie obrazu np c2900-universalk9-mz.SPA.154-3.M2.bin, obsługuje silne szyfrowanie z 3DES/AES, podczas gdy pakiety iOS (K8) obsługują słabe szyfrowanie z przestarzałym DES.
aby sprawdzić, wystarczy wejść w tryb uprawnień i użyć polecenia show ip SSH:
R1# show ip SSH
SSH Disabled – version 1.99
%proszę utworzyć klucze RSA, aby włączyć SSH (i przynajmniej 768 bitów dla SSH v2).,
limit czasu uwierzytelniania: 120 sekund; powtórzenia uwierzytelniania: 3
minimalny oczekiwany rozmiar klucza Diffie Hellman : 1024 bity
klucze systemu IOS w formacie SECSH(SSH-RSA, kodowane base64): brak
na powyższym wyjściu system wyświetla obsługę SSH, ale jest obecnie wyłączony, ponieważ nie wygenerowano żadnego klucza RSA. Warto również zauważyć, że aby włączyć SSHv2, należy wygenerować klucz o wartości co najmniej 768 bitów.,
zabezpieczanie dostępu do routera
przed włączeniem SSH zawsze dobrze jest najpierw ograniczyć dostęp do routera Cisco. Jest to bardzo ważne zwłaszcza, gdy urządzenie ma interfejs skierowany do publicznych sieci np. Internet, publiczny Hotspot.
najpierw tworzymy poświadczenia użytkownika dla urządzenia, a następnie włączamy atestację, autoryzację & Accounting Services (AAA)., Na koniec upewnij się, że ustawione jest tajne hasło, aby chronić dostęp do trybu uprawnień, wraz z poleceniem szyfrowania hasła usługi, aby zapewnić szyfrowanie wszystkich haseł z czystym tekstem:
następnie zaleca się ograniczenie dostępu zdalnego tylko za pośrednictwem protokołu SSH. Zapewni to, że niebezpieczne usługi, takie jak Telnet, nie będą mogły być używane do uzyskania dostępu do routera. Telnet wysyła wszystkie informacje niezaszyfrowane, w tym nazwę użytkownika/hasło, i dlatego jest uważany za zagrożenie bezpieczeństwa.,
użyjemy polecenia transport input SSH pod sekcją VTY, aby ograniczyć zdalny dostęp tylko za pomocą SSH. Zauważ, że możemy również użyć List dostępu, aby ograniczyć połączenia SSH do naszego routera:
Uwaga: polecenie hasło używane w sekcji linii VTY 0 4 jest całkowicie opcjonalne i nie jest używane w naszym przypadku ze względu na domyślne polecenie login authentication, które zmusza router do korzystania z mechanizmu AAA dla wszystkich uwierzytelniania użytkownika.,
Generowanie klucza RSA naszego routera – certyfikat cyfrowy
Klucze Cyfrowe służą do dalszego zabezpieczenia komunikacji między urządzeniami. Nasz kolejny krok polega na wygenerowaniu pary kluczy RSA, która będzie używana przez SSH do szyfrowania kanału komunikacyjnego.
przed wygenerowaniem naszego klucza RSA, konieczne jest zdefiniowanie domeny naszego routera za pomocą polecenia ip domain-name, a następnie Crypto Key generate:
R1(config)# Crypto Key generate RSA
nazwa klucza będzie brzmiała: R1.firewall.cx
Wybierz rozmiar modułu klucza w zakresie od 360 do 4096 dla kluczy ogólnego przeznaczenia. Wybór modułu klucza większego niż 512 może zająć kilka minut. Ile bitów w module: 4096
% generowanie 4096 bitowych kluczy RSA, klucze nie będą eksportowane…
(upłynął czas 183 sekund)
podczas generowania naszych par kluczy router powiadamia nas o nazwie użytej dla kluczy, która składa się z nazwy hosta routera (R1) + skonfigurowanej nazwy domeny (firewall.cx)., Na koniec możemy wybrać ilość bitów użytych dla modułu (klucza).
ponieważ wybraliśmy Generowanie klucza za pomocą 4096 bitów, Router wygenerował klucz nieco ponad 3 minuty! Zauważ, że routerem używanym w naszym przykładzie był Cisco 877.
z włączonym SSH możemy ssh do naszego routera i bezpiecznie nim zarządzać z dowolnego miejsca na świecie.,
aby wyświetlić aktywną sesję SSH, po prostu użyj polecenia show SSH:
R1# Pokaż ssh
Tryb wersji połączenia Szyfrowanie Stan HMAC nazwa użytkownika
0 2.0 w aes256-CBC HMAC-sha1 sesja rozpoczęta administrator
0 2.0 z AES256-CBC sesja HMAC-sha1 rozpoczęta Admin
%brak uruchomionych połączeń serwera sshv1.
R1#
w tym artykule wyjaśniono znaczenie włączania i używania SSH do zdalnego zarządzania i konfigurowania routera Cisco., Widzieliśmy, jak tworzyć użytkowników do zdalnego zarządzania, włączać AAA, szyfrować hasła tekstowe, włączać SSHv2, generować klucze RSA i sprawdzać sesje SSH do naszego routera.
powrót do sekcji routery Cisco