Zabezpečení i nadále dominovat průmyslu a je jedním z nejdůležitějších faktorů, aby zvážila při navrhování a zavádění sítí.
je proto nezbytné, abychom byli schopni zjistit a zabránit většině, ne-li všem, zranitelnostem, které mohou existovat. Jednou z takových slabin je Telnet, ke kterému je SSH alternativou.
Dnes budeme mít hlubší pohled na to, jak můžete povolit a nakonfigurovat Cisco Router pomocí SSH a proč bychom měli vždy použít SSH, kde je to možné, jak protichůdný k použití Telnet.,
všichni víme, že pokud jde o bezpečnost v rámci síťového vesmíru, Cisco je jedním z největších hráčů. Nicméně, jen mít zařízení Cisco neznamená, že jste zabezpečeni. Onus je na vás, abyste zajistili, že jste toto zařízení správně nakonfigurovali, abyste zabránili většině, ne-li všem, mezerám.
Proč používat Secure Shell (SSH)?
Secure Shell (SSH) zlepšuje zabezpečení sítě tím, že poskytuje prostředky k vytvoření bezpečného připojení k síťovým zařízením pro správu, čímž zabraňuje hackerům získat přístup.,
Pomocí Digitálních Certifikátů, Veřejný/Soukromý Klíč Šifrování, SSH je schopen ověřit klienty nebo servery zajistit, aby zařízení nebo server, který se chystáte připojit, aby se přesně vědět, kdo tvrdí, že je.
Ok, takže teď, když máme velmi krátkou představu o tom, jak SSH zajišťuje síťový provoz, dalším krokem je zjistit, kde získat tuto věc, kterou nazýváme digitální certifikát. Musíme jít do obchodu, abychom si ho koupili?
digitální certifikáty lze získat obecně třemi různými způsoby., Nejbezpečnější (a nejdražší) ji požaduje od důvěryhodné společnosti zvané Ca – Certificate Authorities. Příkladem jedné takové společnosti je VeriSign, který je v průmyslu CA Velmi populární pro svou roli při poskytování celosvětových důvěryhodných certifikátů; tyto certifikáty však mohou stát docela dost.
existují dva další způsoby, jak požádat o certifikát. Jedním z nich je použití interně důvěryhodného CA (důvěryhodného v rámci společnosti) nazývaného také Enterprise CA nebo generováním certifikátu self sign na samotném zařízení., Poslední z nich je nejméně bezpečná forma, ale poskytuje více než dostatečné zabezpečení pro uzamčení průměrného síťového zařízení. Tento Samostatně podepsaný certifikát lze vygenerovat pomocí vestavěných příkazů na směrovači Cisco.
a co Telnet?
jako SSH, Telnet lze také použít k připojení k routeru, ale hlavní nevýhodou použití Telnetu je to, že nešifruje jeho připojení., To znamená, že pokud je hacker schopen zachytit pakety z relace Telnet, bude moci zobrazit informace obsažené v těchto paketech, jako je uživatelské jméno a heslo klienta, a získat tak přístup k routeru.
níže uvedený diagram vám poskytne představu o tom, jak to funguje.
SSH Router Configuration
Nyní, když máme pochopení toho, jak SSH funguje a proč bychom měli použít namísto programu Telnet, další krok je ve skutečnosti dostat se do konfigurace zařízení, které je vždy moje oblíbená část.,
pro toto cvičení budu používat Cisco 871 series Soho router s iOS ver. 12.4 software. V závislosti na tom, zda je váš směrovač zcela nový nebo aktuálně ve výrobním prostředí, budete se muset připojit buď prostřednictvím relace konzoly, nebo prostřednictvím relace Telnet.
podívejte se na můj článek o konfiguraci směrovače Cisco RADIUS použít pro ověřování pro kroky potřebné k připojení pomocí relace Konzoly nebo můžete zkontrolovat tento článek na Cisco stránkách.
zde jsou kroky:
1. Pomocí těchto příkazů nakonfigurujte název hostitele pro směrovač.,
yourname # configure terminal
Zadejte konfigurační příkazy, jeden na řádek. End with CNTL/Z.
yourname (config)#hostname LabRouter
LabRouter(config)#
2. Nakonfigurovat název domény ip domain-name příkazu následuje, co chcete, aby vaše doménové jméno být. Použil jsem CiscoLab.com.
LabRouter(config)#ip domain-name CiscoLab.com
3. Generujeme certifikát, který bude použit k šifrování SSH paketů pomocí příkazu crypto key generate RSA.,
Vezměte na vědomí zprávu, která se zobrazí hned poté zadáme tento příkaz: „název klíče bude: LabRouter.CiscoLab.com“ … to kombinuje hostname routeru spolu s domain name máme nakonfigurován tak, aby se název šifrovacího klíče generovaného; to je důvod, proč to bylo pro nás důležité, v první řadě, konfigurovat název hostitele pak název domény, než jsme si vygenerovali klíče.
Všimněte si také, že nás žádá, abychom vybrali velikost modulu pro klíč, který se chystáme generovat. Čím vyšší je modul, tím silnější je šifrování klíče., Pro náš příklad použijeme modul 1024.
4. Nyní, když jsme vygenerovali klíč, naším dalším krokem by bylo nakonfigurovat naše řádky vty pro přístup SSH a určit, kterou databázi použijeme k ověření zařízení. Místní databáze na routeru bude pro tento příklad v pořádku.
LabRouter(config)#line vty 0 4
LabRouter(config-line)#login místní
LabRouter(config-line)#transport input ssh
5., Budete muset vytvořit účet v databázi místního směrovače, který bude použit pro ověření zařízení. Toho lze dosáhnout pomocí těchto příkazů.
LabRouter(config)#uživatelské jméno XXXX privilegium 15 tajemství XXXX
Jemné Ladění Konfigurace SSH
už Jsme skoro dokončili všechny kroky potřebné pro konfiguraci a použití SSH na routeru; nicméně, tam jsou některé další konfigurace, které mohou být provedeny, aby dále zabezpečit své zařízení.,
Za prvé, já bych velmi doporučuji vám umožňuje exec time-out na vašem routeru, aby se zabránilo někdo z získání přístupu k zařízení v případech, zapomněli jste se odhlásit, nebo nepozorná, protože nouze. Tímto způsobem se router automaticky odhlásí po nečinnosti relace po stanovenou dobu.
Tento příkaz musíte nakonfigurovat na rozhraní řádku, jak je znázorněno níže.,
LabRouter(config)#line vty 0 4
LabRouter(config-line)# exec-timeout 5
To znamená, že pokud relace je nečinný po dobu 5 minut, router se automaticky odpojit relaci.
použijte seznamy řízení přístupu (ACL) jako přidanou vrstvu zabezpečení; tím se zajistí, že se k routeru mohou připojit pouze zařízení s určitou IP adresou.
takže řekněme, že podsíť IP pro vaši síť LAN je 192.168.100.0 / 24, vytvořili byste acl, který umožní pouze provoz z této podsítě a použije tento acl na linky vty.,
konečný Tip: povolit SSH2
dalším zásadním bodem, který je třeba poznamenat, je použití SSH2 na rozdíl od použití SSH1. SSH2 se zlepšuje na mnoha slabinách, které existovaly v SSH1, a proto doporučuji vždy používat SSH2, pokud je to možné.
Povolit SSH verze 2 s tímto příkazem:
LabRouter(config)#line vty 0 4
LabRouter(config)#ip ssh versopn 2
Podrobné čtení na SSH může být provedeno v RFC 4251