SSH-Konfiguration auf Cisco Router

admin

Die Sicherheit dominiert weiterhin die IT-Branche und ist einer der wichtigsten Faktoren, die beim Entwerfen und Bereitstellen von Netzwerken zu berücksichtigen sind.

Es ist daher unerlässlich, dass wir die meisten, wenn nicht alle Sicherheitslücken ermitteln und verhindern können. Eine solche Schwäche ist Telnet, zu dem SSH die Alternative ist.

Heute werfen wir einen tieferen Blick darauf, wie Sie Ihren Cisco-Router für die Verwendung von SSH aktivieren und konfigurieren können und warum wir SSH immer verwenden sollten, wenn dies möglich ist, im Gegensatz zur Verwendung von Telnet.,

Wir alle wissen, dass Cisco einer der größten Player ist, wenn es um Sicherheit im Netzwerkuniversum geht. Nur ein Cisco-Gerät zu haben bedeutet jedoch nicht, dass Sie gesichert sind. Sie müssen sicherstellen, dass Sie dieses Gerät ordnungsgemäß konfiguriert haben, um die meisten, wenn nicht alle Schlupflöcher zu verhindern.

Warum Secure Shell (SSH) verwenden?

Secure Shell (SSH) verbessert die Netzwerksicherheit, indem es sichere Verbindungen zu Netzwerkgeräten für die Verwaltung herstellt und verhindert, dass Hacker Zugriff erhalten.,

Mit digitalen Zertifikaten kann SSH in einer Kryptographie mit öffentlichen/privaten Schlüsseln Clients oder Server authentifizieren, um sicherzustellen, dass das Gerät oder der Server, mit dem Sie eine Verbindung herstellen möchten, genau das ist, was sie behaupten zu sein.

Ok, jetzt, da wir eine sehr kurze Vorstellung davon haben, wie SSH den Netzwerkverkehr sichert, besteht der nächste Schritt darin herauszufinden, woher wir dieses Ding bekommen, das wir ein digitales Zertifikat nennen. Müssen wir in ein Geschäft gehen, um es zu kaufen?

Digitale Zertifikate können in der Regel auf drei verschiedene Arten erworben werden., Am sichersten (und teuersten) ist es, es von einem vertrauenswürdigen Unternehmen namens CA – Certificate Authorities anzufordern. Ein Beispiel für ein solches Unternehmen ist VeriSign, das in der CA-Branche wegen seiner Rolle bei der Bereitstellung weltweit vertrauenswürdiger Zertifikate sehr beliebt ist.

Es gibt zwei andere Möglichkeiten, ein Zertifikat anzufordern. Eine Möglichkeit besteht darin, eine intern vertrauenswürdige CA (Trusted within a Company), auch Enterprise CA genannt, zu verwenden oder ein Selbstsignierungszertifikat auf dem Gerät selbst zu generieren., Das letzte ist das am wenigsten sichere Formular, bietet jedoch mehr als genug Sicherheit, um Ihr durchschnittliches Netzwerkgerät zu sperren. Dieses selbstsignierte Zertifikat kann mit den integrierten Befehlen auf Ihrem Cisco Router generiert werden.

Was ist mit Telnet?

Wie SSH kann Telnet auch verwendet werden, um eine Verbindung zu Ihrem Router herzustellen, aber der Hauptnachteil der Verwendung von Telnet besteht darin, dass seine Verbindungen nicht verschlüsselt werden., Dies bedeutet, dass ein Hacker, wenn er in der Lage ist, Pakete von einer Telnet-Sitzung zu erfassen, Informationen anzeigen kann, die in diesen Paketen enthalten sind, z. B. den Benutzernamen und das Kennwort eines Clients, und somit Zugriff auf Ihren Router erhält.

Das folgende Diagramm gibt Ihnen eine Vorstellung davon, wie dies funktioniert.

SSH Router Configuration

Nachdem wir nun verstanden haben, wie SSH funktioniert und warum wir es anstelle von Telnet verwenden sollten, geht es im nächsten Schritt tatsächlich darum, das Gerät zu konfigurieren, was immer mein Lieblingsteil ist.,

Für diese übung verwende ich einen Cisco 871-Serie SOHO-router mit IOS ver. 12.4 software. Je nachdem, ob Ihr Router brandneu ist oder sich gerade in einer Produktionsumgebung befindet, müssen Sie entweder über eine Konsolensitzung oder über eine Telnet-Sitzung eine Verbindung herstellen.

Schauen Sie sich meinen Artikel zum Konfigurieren eines Cisco-Routers zur Verwendung von RADIUS für die Authentifizierung für die Schritte an, die zum Herstellen einer Verbindung über eine Konsolensitzung erforderlich sind, oder Sie können diesen Artikel auf der Cisco-Website überprüfen.

Hier sind die Schritte:

1. Konfigurieren Sie mit diesen Befehlen einen Hostnamen für den Router.,

yourname#configure terminal

Geben Sie Konfigurationsbefehle ein, einen pro Zeile. End with CNTL/Z.

ihrname (config)#hostname LabRouter

LabRouter(config)#

2. Konfigurieren Sie einen Domänennamen mit dem Befehl ip-Domänenname gefolgt von dem, was Sie möchten, dass Ihr Domänenname ist. Ich verwendet CiscoLab.com.

LabRouter(config)#ip domain-name CiscoLab.com

3. Wir generieren ein Zertifikat, mit dem die SSH-Pakete mit dem Befehl crypto key generate rsa verschlüsselt werden.,

beachten Sie die Meldung, die angezeigt wird, direkt nachdem wir diesen Befehl eingeben: „Den Namen für die Tasten: LabRouter.CiscoLab.com“ — es kombiniert den Hostnamen des Routers zusammen mit dem domain-Namen, die wir konfiguriert, um den Namen der Verschlüsselungs-key generiert werden; dies ist der Grund, warum es wichtig war für uns, die erste von alle, konfigurieren Sie einen Hostnamen dann einen domain-Namen vor, die wir erstellt die Schlüssel.

Beachten Sie auch, dass wir aufgefordert werden, eine Modulusgröße für den Schlüssel auszuwählen, den wir generieren möchten. Je höher der Modul, desto stärker die Verschlüsselung des Schlüssels., Für unser Beispiel verwenden wir einen Modul von 1024.

4. Nachdem wir nun den Schlüssel generiert haben, besteht unser nächster Schritt darin, unsere VTY-Zeilen für den SSH-Zugriff zu konfigurieren und anzugeben, welche Datenbank wir verwenden werden, um die Authentifizierung für das Gerät bereitzustellen. Die lokale Datenbank auf dem Router funktioniert für dieses Beispiel einwandfrei.

LabRouter(config)#line vty 0 4

LabRouter(config-line)#login local

LabRouter(config-line)#transport input ssh

5., Sie müssen ein Konto in der Datenbank des lokalen Routers erstellen, das für die Authentifizierung am Gerät verwendet wird. Dies kann mit diesen Befehlen erreicht werden.

LabRouter (config)#username XXXX privilege 15 secret XXXX

Feinabstimmung Ihrer SSH-Konfiguration

Wir haben so ziemlich alle Schritte ausgeführt, die zum Konfigurieren und Verwenden von SSH auf Ihrem Router erforderlich sind.,

Zum einen würde ich Ihnen dringend empfehlen, ein Exec-Timeout auf Ihrem Router zu aktivieren, um zu verhindern, dass jemand Zugriff auf das Gerät erhält, wenn Sie vergessen haben, sich abzumelden oder aufgrund eines Notfalls abgelenkt wurden. Auf diese Weise meldet sich der Router automatisch ab, nachdem die Sitzung für eine festgelegte Zeit im Leerlauf war.

Sie müssen diesen Befehl wie unten dargestellt auf der Zeilenschnittstelle konfigurieren.,

LabRouter(config)#line vty 0 4

LabRouter(config-line)# exec-timeout 5

Dies bedeutet, dass, wenn die Sitzung im Leerlauf für 5 Minuten, die router wird automatisch trennen Sie die Sitzung.

Verwenden Sie Access Control Lists (ACL) als zusätzliche Sicherheitsebene, um sicherzustellen, dass nur Geräte mit einer bestimmten IP-Adresse eine Verbindung zum Router herstellen können.

Angenommen, das IP-Subnetz für Ihr LAN ist 192.168.100.0 / 24. Sie würden eine ACL erstellen, um nur Datenverkehr von diesem Subnetz zuzulassen und diese ACL auf die vty-Zeilen anzuwenden.,

Letzter Tipp: Aktivieren Sie SSH2

Ein weiterer wichtiger Punkt ist die Verwendung von SSH2 im Gegensatz zur Verwendung von SSH1. SSH2 verbessert viele der Schwächen, die in SSH1 bestanden haben, und aus diesem Grund empfehle ich immer, SSH2 wo möglich zu verwenden.

Aktivieren Sie die SSH-version 2 mit diesem Befehl:

LabRouter(config)#line vty 0 4

LabRouter(config)#ip ssh versopn 2

Detaillierte Informationen zu SSH kann man im RFC 4251

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.