Turvallisuus on edelleen hallitsevat IT-alalla ja on yksi tärkeimpiä tekijöitä, harkitsemaan, kun suunnittelet ja hyödyntämällä verkostoja.
siksi on välttämätöntä, että pystymme selvittämään ja estämään useimmat, ellei kaikki, mahdollisesti olemassa olevat haavoittuvuudet. Yksi tällainen heikkous on Telnet, jolle SSH on vaihtoehto.
Tänään otamme syvemmälle katsomaan, miten voit ottaa käyttöön ja määrittää Cisco Reitittimen käyttää SSH-ja miksi meidän pitäisi aina käyttää SSH mahdollisuuksien vastakohtana käyttäen Telnet.,
me kaikki tiedämme, että mitä tulee tietoturvaan verkostoitumisuniversumissa, Cisco on yksi suurimmista toimijoista. Kuitenkin, vain ottaa Cisco laite ei tarkoita, että olet suojattu. Onus on sinun varmistaa, että olet määrittänyt laitteen oikein estää useimmat, ellei kaikki, porsaanreiät.
Miksi käyttää Secure Shelliä (SSH)?
Secure Shell (SSH) parantaa verkon turvallisuutta tarjoamalla keino luoda turvallinen yhteydet verkkolaitteiden hallintaan, mikä estää hakkereita pääsemästä.,
Käyttämällä Digitaalisia Varmenteita, Julkisen/Yksityisen Avaimen Salaus, SSH pystyy todentamaan asiakkaille tai palvelimia varmistetaan, että laite tai palvelin, jolle olet aikeissa liittää on tarkalleen, keitä he väittävät olevansa.
Ok, niin, nyt, että meillä on hyvin lyhyt ajatus siitä, miten SSH turvaa verkkoliikenteen, seuraava askel on selvittää, mistä saada tämä asia kutsumme digitaalisen sertifikaatin. Pitääkö meidän mennä kauppaan ostamaan se?
digitaaliset varmenteet voi hankkia yleensä kolmella eri tavalla., Varmin (ja kallein) pyytää sitä luottoyhtiöltä nimeltä CA – varmenteiden viranomaiset. Esimerkki yksi tällainen yritys on VeriSign, joka on erittäin suosittu sisällä CA Alan niiden rooli tarjoamalla maailmanlaajuisesti luotettu todistukset; nämä todistukset voidaan kuitenkin maksaa melko vähän.
todistusta voi hakea kahdella muulla tavalla. Yksi on käyttää sisäisesti luotettu CA (trusted yrityksen sisällä) kutsutaan myös enterprise CA-tai tuottamalla itse allekirjoittaa todistuksen itse laitteessa., Viimeinen on vähiten turvallinen muoto, mutta tarjoaa enemmän kuin tarpeeksi turvallisuutta lukita keskimääräinen verkkolaite. Tämä itse allekirjoitettu varmenne voidaan luoda käyttämällä sisäänrakennettu komentoja Cisco reititin.
Entä Telnet?
Kuten SSH, Telnet voidaan myös käyttää yhteyden reitittimeen mutta suurin haitta käyttää Telnet on, että se ei salata sen yhteydet., Tämä tarkoittaa, että jos hakkeri pystyy kaapata paketteja Telnet-istunnon, hän tai hän voisi nähdä tiedot sisältyvät ne paketit, kuten asiakkaan käyttäjätunnus ja salasana, siksi pääsy reitittimen.
alla oleva kaavio antaa käsityksen siitä, miten tämä toimii.
SSH-Reitittimen Kokoonpano
Nyt kun meillä on käsitys siitä, miten SSH toimii ja miksi meidän pitäisi käyttää sitä sen sijaan, Telnet, seuraava askel on todella saada alas konfigurointi laite, joka on aina minun suosikki osa.,
tätä harjoitusta varten käytän Cisco 871-sarjan SOHO-reititintä IOS verillä. 12.4 ohjelmisto. Riippuen siitä, onko reititin on uusi tai tällä hetkellä tuotantoympäristössä, olet menossa on joko yhteyden kautta Console session kautta tai Telnet-istunnon.
katso minun artikkeli määrittäminen Cisco reitittimen käyttää SÄDE-todennuksen vaiheet, jotka tarvitaan yhteyden kautta Console session tai voit tarkistaa tämän artikkelin Ciscon verkkosivuilla.
Tässä ovat vaiheet:
1. Määritä reitittimen palvelinnimi näillä komennoilla.,
omanimi#configure terminal
Anna kokoonpano komentoja, yksi komento per rivi. Lopuksi CNTL/Z
omanimi (config)#hostname LabRouter
LabRouter(config)#
2. Määritä verkkotunnus ip-verkkotunnuksen komennolla, jota seuraa mitä tahansa haluat verkkotunnuksesi olevan. Käytin CiscoLab.com.
LabRouter(config)#ip domain-nimi CiscoLab.com
3. Luomme varmenteen, jota käytetään SSH-pakettien salaamiseen salausavaimen generate RSA-komennolla.,
huomioi, että viesti, joka näkyy heti, kun astumme tämän komennon: ”nimi avaimet ovat: LabRouter.CiscoLab.com” — se yhdistää hostname reitittimen mukana verkkotunnus me määritetty saada nimi salausavain syntyy; tämä on, miksi se oli tärkeää, ensinnäkin, määritä isäntänimi sitten toimialueen nimi, ennen kuin olemme luodut avaimet.
Huomaa myös, että se pyytää meitä valitsemaan koko modulus avain aiomme luoda. Mitä korkeampi moduuli, sitä vahvempi on avaimen salaus., Esimerkiksi käytämme modulusta 1024.
4. Nyt, että meillä on avain, seuraava askel olisi määrittää vty linjat SSH-yhteys ja määrittää, mitkä tietokannan aiomme käyttää antamaan todennus laitteen. Reitittimen paikallinen tietokanta pärjää tästä esimerkistä ihan hyvin.
LabRouter(config)#line vty 0 4
LabRouter(config-line)#login local
LabRouter(config-line)#transport input ssh
5., Sinun täytyy luoda tili paikallisen reitittimen tietokantaan, jota käytetään laitteen todentamiseen. Tämä voidaan toteuttaa näillä käskyillä.
LabRouter(config)#username XXXX etuoikeus 15 salaisuus XXXX
Hieno Viritys SSH-Kokoonpano
– Olemme aika paljon suorittanut kaikki vaiheet, joita tarvitaan määrittää ja käyttää SSH-reitittimen; kuitenkin, on olemassa joitakin muita kokoonpanoja, jotka voidaan edelleen turvata laitteeseen.,
yksi, haluaisin hyvin suositella voit antaa gateway time-out reitittimen estää ketään pääsemästä käsiksi laitteella tapauksissa, unohdit kirjautua ulos tai on hajamielinen, koska hätätilanteessa. Näin reititin kirjautuu automaattisesti ulos, kun istunto on ollut tyhjäkäynnillä tietyn ajan.
sinun täytyy määrittää tämä komento riviliitäntään alla kuvatulla tavalla.,
LabRouter(config)#line vty 0 4
LabRouter(config-line)# exec-timeout 5
Tämä tarkoittaa, että jos istunto on ollut käyttämättä 5 minuuttia, reititin siirtyy automaattisesti katkaista istunnon.
käytä Access Control listoja (ACL) lisättynä turvallisuuskerroksena; näin varmistetaan, että reitittimeen voivat muodostaa yhteyden vain laitteet, joilla on tietty IP-osoite.
Näin oletetaan, että IP-Aliverkon LÄHIVERKOSSA on 192.168.100.0/24, voit luoda acl sallia vain liikenne aliverkon ja soveltaa tätä acl, että vty linjat.,
lopullinen Vihje: ota SSH2
käyttöön toinen tärkeä huomautus on SSH2: n käyttö SSH1: n sijasta. SSH2 parantaa paljon heikkouksia, että on olemassa sisällä SSH1 ja tästä syystä suosittelen aina käyttäen SSH2, jos mahdollista.
Ota SSH versio 2 komento:
LabRouter(config)#line vty 0 4
LabRouter(config)#ip ssh versopn 2
Tarkemmat käsittelyssä SSH voidaan tehdä milloin RFC 4251