A biztonság továbbra is uralja az informatikai iparágat, és az egyik legfontosabb tényező, amelyet figyelembe kell venni a hálózatok tervezésekor és telepítésekor.
ezért elengedhetetlen, hogy a legtöbb, ha nem minden létező sebezhetőséget meg tudjuk állapítani és meg tudjuk akadályozni. Az egyik ilyen gyengeség a Telnet, amelyre az SSH az alternatíva.
ma mélyebben megvizsgáljuk, hogyan lehet engedélyezni és konfigurálni a Cisco routert az SSH használatához, és miért kell mindig SSH-t használni, ha lehetséges, szemben a Telnet használatával.,
mindannyian tudjuk, hogy amikor a hálózati univerzumon belüli biztonságról van szó, a Cisco az egyik legnagyobb játékos. Azonban, csak miután egy Cisco eszköz nem jelenti azt, hogy biztosított. Az onus az Ön számára biztosítja, hogy megfelelően konfigurálta az eszközt, hogy megakadályozza a legtöbb, ha nem az összes kiskaput.
miért használjon Secure Shell (SSH)?
A Secure Shell (SSH) javítja a hálózati biztonságot azáltal, hogy biztonságos kapcsolatot biztosít a hálózati eszközökkel a menedzsment számára, ezáltal megakadályozza a hackerek hozzáférését.,
digitális tanúsítványok használatával, nyilvános / privát kulcs kriptográfiában az SSH képes hitelesíteni az ügyfeleket vagy szervereket, biztosítva, hogy a csatlakozni kívánt eszköz vagy szerver pontosan az legyen, akinek állítják.
Ok, tehát most, hogy nagyon rövid elképzelésünk van arról, hogy az SSH hogyan biztosítja a hálózati forgalmat, a következő lépés annak kiderítése, hogy honnan szerezzük ezt a dolgot digitális tanúsítványnak. Be kell mennünk egy boltba, hogy megvegyük?
A digitális tanúsítványok általában három különböző módon szerezhetők be., A legbiztonságosabb (és legdrágább) egy megbízható cég, a CA – Certificate Authorities. Egy ilyen cég példája a VeriSign, amely a CA-iparban nagyon népszerű a világszerte megbízható tanúsítványok biztosításában betöltött szerepük miatt; ezek a tanúsítványok azonban meglehetősen drágák lehetnek.
a tanúsítvány kérésének két másik módja van. Az egyik egy belsőleg megbízható CA (megbízható cégen belül) használata, amelyet vállalati CA-nak is neveznek,vagy önjel-tanúsítvány generálása az eszközön., Az utolsó a legkevésbé biztonságos forma, de több mint elegendő biztonságot nyújt az átlagos hálózati eszköz lezárásához. Ez az önaláírt tanúsítvány a Cisco router beépített parancsaival generálható.
mi a helyzet a Telnettel?
Az SSH-hoz hasonlóan a Telnet is használható az útválasztóhoz való csatlakozáshoz, de a Telnet használatának fő hátránya, hogy nem titkosítja a kapcsolatait., Ez azt jelenti, hogy ha egy hacker képes csomagokat rögzíteni egy Telnet munkamenetből, akkor képes lesz megtekinteni a csomagokban található információkat, például az ügyfél felhasználónevét és jelszavát, ezért hozzáférhet az útválasztóhoz.
az alábbi ábra képet ad arról, hogyan működik ez.
SSH Router konfiguráció
most, hogy megértjük, hogyan működik az SSH, és miért kell használni a Telnet helyett, a következő lépés valójában az eszköz konfigurálása, amely mindig a kedvenc részem.,
ehhez a gyakorlathoz Cisco 871 sorozatú SOHO útválasztót fogok használni IOS ver-rel. 12.4 szoftver. Attól függően, hogy az útválasztó teljesen új vagy jelenleg termelési környezetben van-e, vagy konzol munkameneten vagy Telnet munkameneten keresztül kell csatlakoznia.
vessen egy pillantást a Cisco router konfigurálásáról szóló cikkemre, hogy a RADIUS-t hitelesítéshez használja a konzol munkameneten keresztül történő csatlakozáshoz szükséges lépésekhez, vagy ellenőrizheti ezt a cikket a Cisco webhelyén.
itt vannak a lépések:
1. Konfigurálja az útválasztó gazdagépnevét ezekkel a parancsokkal.,
yourname#configure terminal
Enter konfigurációs parancsok, egy soronként. Vége CNTL/Z.
yourname (config)#hostname LabRouter
LabRouter(config)#
2. Konfiguráljon egy tartománynevet az ip domain-name paranccsal, majd kövesse azt, amit szeretne a domain név. Régebben CiscoLab.com.
LabRouter (config) # ip domain-name CiscoLab.com
3. Létrehozunk egy tanúsítványt, amelyet az SSH csomagok titkosítására használnak a crypto key generate rsa paranccsal.,
tudomásul veszik el a megjelenő üzenetet után írja be ezt a parancsot: “A nevet a kulcsok: LabRouter.CiscoLab.com” … ez egyesíti a hostname a router, valamint a domain név beállítva, hogy a nevét, a titkosítási kulcs generált; ezért fontos volt számunkra, hogy először állítsa be a hostname, akkor a domain név előtt keletkezett a kulcsokat.
vegye figyelembe azt is, hogy azt kéri tőlünk, hogy válasszunk ki egy modulus méretet a kulcshoz, amelyet generálni fogunk. Minél magasabb a modulus, annál erősebb a kulcs titkosítása., Például egy 1024-es modulust fogunk használni.
4. Most, hogy létrehoztuk a kulcsot, a következő lépés az lenne, hogy konfiguráljuk a VTY sorokat az SSH hozzáféréshez, és meghatározzuk, hogy melyik adatbázist fogjuk használni az eszköz hitelesítéséhez. A helyi adatbázis a router fog tenni csak finom erre a példára.
LabRouter(config)#line VTY 0 4
LabRouter(config-line)#login local
LabRouter(config-line)#transport input ssh
5., Létre kell hoznia egy fiókot a helyi útválasztó adatbázisában, amelyet az eszköz hitelesítéséhez kell használni. Ez lehet elérni ezeket a parancsokat.
LabRouter(config) # username XXXX privilege 15 secret XXXX
finomhangolása az SSH konfiguráció
már nagyjából befejezte az összes szükséges lépéseket, hogy konfigurálja és használja SSH a router; azonban vannak más konfigurációk, hogy lehet tenni, hogy tovább biztosítsa a készüléket.,
egy, én nagyon ajánlom, hogy lehetővé teszi egy exec idő-out a router, hogy megakadályozza, hogy bárki hozzáférjen a készülék, ha elfelejtette, hogy kijelentkezik, vagy kapott zavart, mert vészhelyzet. Ily módon az útválasztó automatikusan kijelentkezik, miután a munkamenet beállított ideig tétlen volt.
ezt a parancsot a vonalfelületen az alábbiak szerint kell konfigurálnia.,
LabRouter(config)#line vty 0 4
LabRouter(config-line)# exec-timeout 5
Ez azt jelenti, hogy ha a munkamenet 5 percig tétlen volt, az útválasztó automatikusan leválasztja a munkamenetet.
használja a hozzáférés-vezérlési listákat (ACL) a biztonság hozzáadott rétegeként; ez biztosítja, hogy csak bizonyos IP-címmel rendelkező eszközök csatlakozhassanak az útválasztóhoz.
tehát tegyük fel, hogy a LAN IP alhálózata 192.168.100.0/24, létrehozna egy acl-t, amely csak az adott alhálózatból származó forgalmat engedélyezi, és ezt az acl-t alkalmazza a vty vonalakra.,
végső tipp: engedélyezze az SSH2
egy másik fontos megjegyzés az SSH2 használata, szemben az SSH1 használatával. Az SSH2 javítja az SSH1-en belül létező számos gyengeséget, ezért azt javaslom, hogy mindig használja az SSH2-t, ahol lehetséges.
engedélyezze az SSH 2-es verzióját ezzel a paranccsal:
LabRouter(config) # line VTY 0 4
LabRouter (config) # ip SSH versopn 2
Az SSH részletes olvasása az RFC 4251