Acest articol prezintă modul de configurare și de configurare SSH pentru gestionarea de la distanță a Routerele Cisco IOS. Vă vom arăta cum să verificați dacă SSH este acceptat de versiunea IOS, cum să o activați, să generați o cheie RSA pentru routerul dvs. și, în final, să configurați SSH ca protocol de management preferat sub interfețele VTY.,
Secure Shell (SSH) oferă un mijloc sigur și fiabil de conectare la dispozitive la distanță. Este un protocol de rețea criptat care permite utilizatorilor să acceseze în siguranță echipamentele prin sesiuni de interfață de linie de comandă. SSH face uz de portul TCP 22, care este atribuit pentru a securiza autentificări, transfer de fișiere și port forwarding.,
SSH folosește cheia publică pentru autentificarea de la distanță dispozitivul și cripta toate datele între aparat și punctul de lucru, ceea ce face cea mai buna alegere pentru rețelele publice, spre deosebire de (telnet), care transmite date în text simplu care subiecții se la amenințările de securitate, acest lucru face (telnet) recomandat pentru rețele private doar pentru a păstra datele fără compromisuri.
Verificarea Suport SSH pe Router
primul pas implică examinarea dacă router Cisco IOS suporta SSH sau nu., Majoritatea routerelor Cisco moderne acceptă SSH, deci nu ar trebui să fie o problemă.
Produse cu (K9) în numele imaginii de e.g c2900-universalk9-mz.SPA.154-3.M2.bin, suportă criptarea puternică cu 3DES / AES în timp ce pachetele IOS (K8) acceptă criptarea slabă cu DES învechit.
Pentru a verifica, pur și simplu introduceți privilegiul de modul și de a folosi show ip ssh comanda:
R1# show ip ssh
SSH cu Handicap – versiunea 1.99
%vă Rugăm să creați chei RSA pentru a activa SSH (și de cel puțin 768 de biți pentru SSH v2).,
Autentificare timeout: 120 secunde; Autentificare încercări: 3
Minim de așteptat Diffie Hellman key dimensiune : 1024 biți
IOS Cheile în SECSH format(ssh-rsa, base64 codificat): NICI unul
În cele de mai sus de ieșire, sistemul arată SSH suport, dar este în prezent dezactivat ca nici o cheie RSA a fost generat. De remarcat, de asemenea, că trebuie generată o cheie de cel puțin 768 de biți pentru a activa SSHv2.,
Asigurarea Accesului la Router
este întotdeauna o idee bună pentru prima restricționa accesul la router Cisco înainte de a activa SSH. Acest lucru este foarte important mai ales atunci când dispozitivul are o interfață cu care se confruntă rețelele publice, de exemplu Internet, Hotspot Public.
Vom crea mai întâi acreditările de utilizator pentru dispozitiv și apoi activați Athentication, Autorizarea & Servicii de Contabilitate (AAA)., În cele din urmă, să se asigure o parolă secretă este setat pentru a proteja accesul la privilegiul modul, împreună cu service password-encryption comandă pentru a se asigura că toate clar-text parolele sunt criptate:
în continuare, este foarte recomandat pentru a restricționa accesul de la distanță prin SSH protocol numai. Acest lucru va asigura că serviciile nesigure, cum ar fi Telnet, nu pot fi utilizate pentru a accesa routerul. Telnet trimite toate informațiile necriptate, inclusiv numele de utilizator/parola și, prin urmare, este considerat un risc de securitate.,
vom folosi comanda transport input ssh din secțiunea VTY pentru a restricționa accesul de la distanță folosind doar SSH. Rețineți că puteți utiliza, de asemenea, Acces liste pentru a restricționa conexiuni SSH la router nostru:
Notă: parola de comandă utilizate în line vty 0 4 secțiune este complet opțională și nu este utilizat în cazul nostru, pentru că de autentificare implicit comanda care forțele router-ul pentru a utiliza AAA mecanism pentru autentificarea utilizatorului.,
Generatoare de Router Nostru este de chei RSA – Certificat Digital
chei Digitale servi scopului de a ajuta în continuare comunicații securizate între dispozitive. Următorul pas implică generarea unei perechi de chei RSA care va fi utilizată de SSH pentru a ajuta la criptarea canalului de comunicare.
Înainte de a genera nostru de chei RSA, este necesar să definim router domeniu folosind ip domain-name de comandă, urmat de cheie de cifrare a genera comanda:
R1 (config) # crypto cheie genera rsa
numele cheilor va fi: R1.firewall.cx
Alegeți dimensiunea modulului cheie în intervalul de la 360 la 4096 pentru tastele dvs. de uz General. Alegerea unui modul cheie mai mare de 512 poate dura câteva minute. Câți biți din modul : 4096
% generând chei RSA de 4096 biți, cheile nu vor fi exportabile…
(timpul scurs a fost de 183 de secunde)
Când generarea nostru perechi de chei, router-ul ne anunță cu numele folosit pentru chei, care constă din router-ul este numele de gazdă (R1) + Configurat un Nume de Domeniu (firewall.cx)., În cele din urmă, putem selecta cantitatea de biți utilizată pentru modul (cheie).
din moment ce am selectat pentru a genera o cheie folosind 4096 biți, router-ul a luat un pic peste 3 minute pentru a genera cheia! Rețineți că router-ul utilizat în exemplul nostru a fost un Cisco 877.
cu SSH activat, suntem capabili să ssh în routerul nostru și să îl gestionăm în siguranță din orice locație de pe glob.,
Pentru a vizualiza orice activ sesiune SSH, pur și simplu utilizați show ssh comanda:
R1# show ssh
Conexiune Versiune Modul de Criptare Hmac de Stat, numele de Utilizator
0 2.0 ÎN aes256-cbc hmac-sha1 Sesiune a început admin
0 2.0 AFARĂ aes256-cbc hmac-sha1 Sesiune a început admin
%Nu SSHv1 conexiuni de server care rulează.
R1#
Acest articol a explicat importanța de a permite și utilizarea SSH pentru a gestiona de la distanță și să configurați router Cisco., Am văzut cum de a crea utilizatori pentru gestionarea de la distanță, permite AAA, cripta text clar, parole, permite SSHv2, de a genera chei RSA și să verifice sesiuni SSH la router nostru.
înapoi la secțiunea routere Cisco