La sicurezza continua a dominare il settore IT ed è uno dei fattori più importanti da considerare durante la progettazione e la distribuzione delle reti.
È, quindi, imperativo che siamo in grado di accertare e prevenire la maggior parte, se non tutte, le vulnerabilità che possono esistere. Una di queste debolezze è Telnet a cui SSH è l’alternativa.
Oggi daremo uno sguardo più profondo a come è possibile abilitare e configurare il router Cisco per utilizzare SSH e perché dovremmo sempre usare SSH dove possibile invece di utilizzare Telnet.,
Sappiamo tutti che quando si tratta di sicurezza all’interno dell’universo di networking, Cisco è uno dei più grandi giocatori. Tuttavia, avere solo un dispositivo Cisco non significa che sei protetto. L’onere è su di te per assicurarti di aver configurato correttamente quel dispositivo per prevenire la maggior parte, se non tutte, le scappatoie.
Perché usare Secure Shell (SSH)?
Secure Shell (SSH) migliora la sicurezza della rete fornendo un mezzo per stabilire connessioni sicure ai dispositivi di rete per la gestione, impedendo così agli hacker di accedere.,
Utilizzando certificati digitali, in una crittografia a chiave pubblica/privata, SSH è in grado di autenticare client o server assicurando che il dispositivo o il server a cui si sta per connettersi sia esattamente chi affermano di essere.
Ok, quindi ora che abbiamo una breve idea di come SSH protegge il traffico di rete, il passo successivo è capire dove ottenere questa cosa che chiamiamo un certificato digitale. Dobbiamo andare in un negozio per acquistarlo?
I certificati digitali possono essere acquisiti generalmente in tre modi diversi., Il più sicuro (e costoso) è richiederlo da una società di fiducia chiamata CA – Certificate Authorities. Un esempio di una di queste società è VeriSign, che è molto popolare nel settore CA per il loro ruolo nella fornitura di certificati affidabili in tutto il mondo; questi certificati possono tuttavia costare un bel po’.
Esistono altri due modi per richiedere un certificato. Uno consiste nell’utilizzare una CA attendibile internamente (trusted within a company) chiamata anche CA aziendale o generando un certificato self sign sul dispositivo stesso., L’ultimo è il modulo meno sicuro, ma fornisce una sicurezza più che sufficiente per bloccare il dispositivo di rete medio. Questo certificato autofirmato può essere generato utilizzando i comandi integrati sul router Cisco.
Che dire di Telnet?
Come SSH, Telnet può essere utilizzato anche per connettersi al router, ma, lo svantaggio principale di utilizzare Telnet è che non crittografare le sue connessioni., Ciò significa che se un hacker è in grado di catturare i pacchetti da una sessione Telnet, lui o lei sarebbe in grado di visualizzare le informazioni contenute all’interno di tali pacchetti, come il nome utente e la password di un client, quindi ottenere l’accesso al router.
Lo schema seguente ti darà un’idea di come funziona.
Configurazione del router SSH
Ora che abbiamo una comprensione di come funziona SSH e perché dovremmo usarlo al posto di Telnet, il passo successivo è in realtà scendendo alla configurazione del dispositivo, che è sempre la mia parte preferita.,
Per questo esercizio userò un router Cisco serie 871 SOHO con IOS ver. 12.4 software. A seconda che il router sia nuovo di zecca o attualmente in un ambiente di produzione, dovrai connetterti tramite una sessione di console o tramite una sessione Telnet.
Dai un’occhiata al mio articolo sulla configurazione di un router Cisco per utilizzare RADIUS per l’autenticazione per i passaggi necessari per connettersi tramite una sessione di Console o puoi controllare questo articolo sul sito Web di Cisco.
Ecco i passaggi:
1. Configurare un nome host per il router utilizzando questi comandi.,
yourname#configure terminal
Immettere i comandi di configurazione, uno per riga. Termina con CNTL / Z.
yourname (config)#hostname LabRouter
LabRouter(config)#
2. Configurare un nome di dominio con il comando ip domain-name seguito da quello che si desidera che il nome di dominio sia. Ho usato CiscoLab.com.
LabRouter (config) # nome di dominio ip CiscoLab.com
3. Generiamo un certificato che verrà utilizzato per crittografare i pacchetti SSH utilizzando il comando crypto key generate rsa.,
Prendere nota del messaggio che viene visualizzato a destra entriamo dopo questo comando: “Il nome per le chiavi: LabRouter.CiscoLab.com” — combina il nome host del router con il nome di dominio è stato configurato per ottenere il nome della chiave di crittografia generata; e questo è il motivo per cui è stato importante per noi, prima di tutto, configurare un nome di host quindi un nome di dominio prima abbiamo generato le chiavi.
Si noti anche che ci chiede di scegliere una dimensione di modulo per la chiave che stiamo per generare. Più alto è il modulo, più forte è la crittografia della chiave., Per il nostro esempio, useremo un modulo di 1024.
4. Ora che abbiamo generato la chiave, il nostro prossimo passo sarebbe quello di configurare le nostre linee vty per l’accesso SSH e specificare quale database useremo per fornire l’autenticazione al dispositivo. Il database locale sul router andrà bene per questo esempio.
LabRouter(config)#line vty 0 4
LabRouter(config-line)#login local
LabRouter(config-line)#transport input ssh
5., Sarà necessario creare un account sul database del router locale da utilizzare per l’autenticazione al dispositivo. Questo può essere realizzato con questi comandi.
LabRouter(config)#username XXXX privilege 15 secret XXXX
Messa a punto della configurazione SSH
Abbiamo praticamente completato tutti i passaggi necessari per configurare e utilizzare SSH sul router; tuttavia, ci sono alcune altre configurazioni che possono essere fatte per proteggere ulteriormente il dispositivo.,
Per uno, ti consiglio vivamente di abilitare un timeout exec sul tuo router per impedire a chiunque di accedere al dispositivo nei casi in cui hai dimenticato di disconnetterti o ti sei distratto a causa di un’emergenza. In questo modo, il router ti disconnetterà automaticamente dopo che la sessione è stata inattiva per un tempo impostato.
È necessario configurare questo comando sull’interfaccia a riga come illustrato di seguito.,
LabRouter(config)#line vty 0 4
LabRouter(config-line)# exec-timeout 5
Ciò significa che se la sessione è rimasta inattiva per 5 minuti, il router disconnetterà automaticamente la sessione.
Utilizzare gli elenchi di controllo degli accessi (ACL) come ulteriore livello di sicurezza; ciò garantirà che solo i dispositivi con un determinato indirizzo IP siano in grado di connettersi al router.
Quindi diciamo che la sottorete IP per la tua LAN è 192.168.100.0 / 24, creeresti un acl per consentire solo il traffico da quella sottorete e applicare questo acl alle linee vty.,
Suggerimento finale: Abilita SSH2
Un altro punto cruciale da notare è l’uso di SSH2 invece di usare SSH1. SSH2 migliora molte delle debolezze che esistevano all’interno di SSH1 e per questo motivo consiglio sempre di usare SSH2 dove possibile.
Abilitare SSH versione 2 con questo comando:
LabRouter(config)#line vty 0 4
LabRouter(config)#ip ssh versopn 2
lettura particolareggiata su SSH può essere fatto in RFC 4251