sikkerhed dominerer fortsat IT-branchen og er en af de vigtigste faktorer, man skal overveje, når man designer og implementerer netværk.
det er derfor bydende nødvendigt, at vi er i stand til at konstatere og forhindre de fleste, hvis ikke alle, sårbarheder, der måtte eksistere. En sådan svaghed er Telnet, som SSH er alternativet til.
i dag tager vi et dybere kig på, hvordan du kan aktivere og konfigurere din Cisco-Router til at bruge ssh, og hvorfor vi altid skal bruge ssh, hvor det er muligt, i modsætning til at bruge Telnet.,
Vi ved alle, at når det kommer til sikkerhed inden for netværksuniverset, er Cisco en af de største spillere. Men bare at have en Cisco-enhed betyder ikke, at du er sikret. Onus er på dig for at sikre, at du har konfigureret denne enhed korrekt for at forhindre de fleste, hvis ikke alle, smuthuller.
Hvorfor bruge Secure Shell (SSH)?
Secure Shell (SSH) forbedrer netværkssikkerheden ved at tilvejebringe et middel til at etablere sikre forbindelser til netværksenheder til styring og derved forhindre hackere i at få adgang.,
Ved hjælp af digitale certifikater i en offentlig / privat nøglekryptografi er SSH i stand til at autentificere klienter eller servere, der sikrer, at den enhed eller server, du er ved at oprette forbindelse til, er nøjagtigt den, de hævder at være.ok, så nu hvor vi har en meget kort ID.om, hvordan SSH sikrer netværkstrafik, er det næste trin at finde ud af, hvor vi kan få denne ting, vi kalder et digitalt certifikat. Skal vi gå ind i en butik for at købe den?
digitale certifikater kan erhverves på generelt tre forskellige måder., Den mest sikre (og dyre) anmoder om det fra et betroet firma kaldet en CA – Certificate Authorities. Et eksempel på et sådant firma er VeriSign, som er meget populært inden for CA-branchen for deres rolle i at levere verdensomspændende betroede certifikater; disse certifikater kan dog koste en hel del.
Der er to andre måder at anmode om et certifikat på. Den ene er ved hjælp af en internt betroet CA (trusted inden for en virksomhed) også kaldet en virksomhed CA eller ved at generere en self sign certifikat på selve enheden., Den sidste er den mindst sikre form, men giver mere end nok sikkerhed til at låse din gennemsnitlige netværksenhed. Dette selvsignerede certifikat kan genereres ved hjælp af de indbyggede kommandoer på din Cisco-router.
hvad med Telnet?
ligesom SSH kan Telnet også bruges til at oprette forbindelse til din router, men den største ulempe ved at bruge Telnet er, at den ikke krypterer dens forbindelser., Dette betyder, at hvis en hacker er i stand til at fange pakker fra en Telnet-session, ville han eller hun være i stand til at se Oplysninger indeholdt i disse pakker, såsom en klients brugernavn og adgangskode, og derfor få adgang til din router.
diagrammet nedenfor giver dig en ID.om, hvordan dette fungerer.
SSH Router-Konfiguration
Nu, at vi har en forståelse af, hvordan SSH virker, og hvorfor skal vi bruge det i stedet for Telnet, er det næste skridt faktisk at komme ned til konfiguration af enheden, som altid er min favorit del.,
til denne øvelse vil jeg bruge en Cisco 871 serie SOHO router med iOS ver. 12.4 soft .are. Afhængigt af om din router er helt ny eller i øjeblikket i et produktionsmiljø, skal du enten oprette forbindelse via en Konsolsession eller via en Telnet-session.
Se min artikel om konfiguration af en Cisco-router til at bruge RADIUS til godkendelse til de trin, der er nødvendige for at oprette forbindelse via en Konsolsession, eller du kan tjekke denne artikel på Ciscos websiteebsted.
Her er trinene:
1. Konfigurer et værtsnavn til routeren ved hjælp af disse kommandoer.,
dit navn#Konfigurer terminal
Indtast konfigurationskommandoer, en pr. Ende med CNTL/Z.
ditnavn (config)#hostname LabRouter
LabRouter(config)#
2. Konfigurer et domænenavn med kommandoen ip-domæne-navn efterfulgt af hvad du vil have dit domænenavn til at være. Jeg brugte CiscoLab.com.
LabRouter(config)#ip-domæne-navn CiscoLab.com
3. Vi genererer et certifikat, der vil blive brugt til at kryptere SSH-pakkerne ved hjælp af crypto key generate RSA-kommandoen.,
vær opmærksom på den meddelelse, der vises lige efter vi indtaste denne kommando: “navnet for nøglerne vil være: LabRouter.CiscoLab.com” — det kombinerer værtsnavn af routeren sammen med det domænenavn, som vi opsatte på at få navnet på den krypteringsnøgle, som er genereret; dette er grunden til, at det var vigtigt for os, først og fremmest, skal du konfigurere et værtsnavn, så er et domænenavn, før vi genereret nøgler.bemærk også, at det beder os om at vælge en størrelse modul for den nøgle, vi er ved at generere. Jo højere modulet er, desto stærkere er krypteringen af nøglen., For vores eksempel bruger vi et modul på 1024.
4. Nu hvor vi har genereret nøglen, ville vores næste trin være at konfigurere vores VTY-linjer til SSH-adgang og specificere, hvilken database vi skal bruge til at give godkendelse til enheden. Den lokale database på routeren vil gøre fint for dette eksempel.
LabRouter(config)#line vty 0 4
LabRouter(config-line)#login lokal
LabRouter(config-line)#transport input ssh
5., Du skal oprette en konto på den lokale routers database, der skal bruges til godkendelse af enheden. Dette kan opnås med disse kommandoer.
LabRouter(config)#brugernavn XXXX privilegium 15 hemmelige XXXX
finjustering af Din SSH Configuration
Vi har stort set afsluttet alle de trin, der kræves for at konfigurere og bruge SSH på din router; dog, der er nogle andre konfigurationer, der kan gøres for yderligere at sikre din enhed.,
For én, vil jeg stærkt anbefale, at du giver et exec-time-out på din router for at forhindre nogen i at få adgang til enheden i tilfælde du har glemt at logge ud eller fik distraheret på grund af en nødsituation. På denne måde logger routeren dig automatisk ud, efter at sessionen har været inaktiv i et bestemt tidsrum.
Du skal konfigurere denne kommando på liniegrænsefladen som vist nedenfor.,
LabRouter(config)#line vty 0 4
LabRouter(config-line)# exec-timeout 5
Dette betyder, at hvis sessionen ikke har været i brug i 5 minutter, vil routeren automatisk afbryde sessionen.
brug Access Control Lists (ACL) som et ekstra lag af sikkerhed; dette sikrer, at kun enheder med en bestemt IP-adresse er i stand til at oprette forbindelse til routeren.
så lad os sige, at IP-undernet til dit LAN er 192.168.100.0 / 24, Du vil oprette en acl for kun at tillade trafik fra det undernet og anvende denne acl på vty-linjerne.,
Sidste Tip: aktiver SSH2
et andet vigtigt punkt at bemærke er brugen af SSH2 i modsætning til at bruge SSH1. SSH2 forbedrer mange af de svagheder, der eksisterede inden for SSH1, og derfor anbefaler jeg altid at bruge SSH2, hvor det er muligt.
Aktiver SSH version 2 med denne kommando:
LabRouter(config)#line vty 0 4
LabRouter(config)#ip-ssh versopn 2
Detaljeret læsning på SSH kan gøres på RFC 4251