セキュリティは引き続きIT業界を支配し、ネットワークを設計および展開する際に考慮すべき最も重要な要素の一つです。
したがって、すべてではないにしても、存在する可能性のあるほとんどの脆弱性を確認し、防止することが不可欠です。 そのような弱点の一つは、SSHが代替であるTelnetです。
今日は、SSHを使用するようにCiscoルータを有効にして設定する方法と、Telnetを使用するのではなく、可能な限り常にSSHを使用する必要がある理由をより深,
いうのは皆さんご存知の通りでセキュリティのネットワークは、宇宙シスコの一つです。 しかし、ものCiscoデバイスとなっていますが確保されています。 すべてではないにしても、ほとんどの抜け穴を防ぐために、そのデバイスを適切に設定したことを確認する責任があります。
なぜSecure Shell(SSH)を使うのですか?
Secure Shell(SSH)は、管理用のネットワークデバイスへの安全な接続を確立する手段を提供することによって、ネットワークセキュリティを向上させ、ハッカー,
デジタル証明書を使用して、公開/秘密キー暗号化では、SSHはクライアントまたはサーバーを認証し、接続しようとしているデバイスまたはサーバーが正確に
さて、SSHがネットワークトラフィックを保護する方法について非常に簡単なアイデアが得られたので、次のステップは、デジタル証明書と呼ばれるこ 私たちはそれを購入するために店に行く必要がありますか?
デジタル証明書は、一般的に三つの異なる方法で取得することができます。, 最も安全な(そして高価な)のは、CA認証局と呼ばれる信頼できる会社からそれを要求することです。 そのような会社の例としてVeriSignがありますが、これは世界中の信頼できる証明書を提供する役割でCA業界で非常に人気があります。
証明書を要求するには、他に二つの方法があります。 一つは、エンタープライズCAとも呼ばれる内部で信頼されたCA(社内で信頼される)を使用するか、デバイス自体に自己署名証明書を生成することです。, そしてもう一つが、少なくとも安全形のものによる十分なセキュリティロック自平均的ネットワーク装置です。 この自己署名証明書は、ciscoルータの組み込みコマンドを使用して生成できます。
Telnetはどうですか?
SSHと同様に、Telnetを使用してルーターに接続することもできますが、Telnetを使用する主な欠点は、接続を暗号化しないことです。, これは、ハッカーがTelnetセッションからパケットをキャプチャできる場合、クライアントのユーザー名やパスワードなど、それらのパケット内に含まれる情報を
以下の図は、これがどのように機能するかのアイデアを提供します。
SSHルーターの設定
SSHの仕組みとTelnetの代わりにそれを使用する理由を理解したので、次のステップは実際にはデバイスの設定,この演習では、IOS verを搭載したCisco871シリーズSOHOルータを使用します。 12.4ソフトウェア。 ルーターが新品であるか、現在稼働環境にあるかに応じて、コンソールセッションまたはTelnetセッションを介して接続する必要があります。コンソールセッションによって接続するのに必要とされるステップの認証のためにRADIUSを使用するためにCiscoルータを設定することの私の記事を見て
手順は次のとおりです。
1. 設定のホスト名をルーターを使用これらのコマンド.,
yourname#ターミナルの設定
設定コマンドを行ごとに入力します。 CNTL/Zで終わります。
yourname(config)#hostname LabRouter
LabRouter(config)#
2. Ip domain-nameコマンドを使用してドメイン名を設定し、その後にドメイン名を希望するものを指定します。 私は使用しましたCiscoLab.com.
LabRouter(config)#ipドメイン名CiscoLab.com
3. Crypto key generate rsaコマンドを使用してSSHパケットを暗号化するために使用される証明書を生成します。,
このコマンドを入力した直後に表示されるメッセージに注意してください:”キーの名前は次のようになります。LabRouter.CiscoLab.com”–それは生成された暗号化キーの名前を得るために私達が構成したドメイン名と共にルーターのホスト名を結合します;これは私達がキーを生成する前に
生成しようとしているキーのモジュラスのサイズを選択するように求められることにも注意してください。 モジュラスが高いほど、鍵の暗号化は強くなります。, この例では、1024のモジュラスを使用します。
4. キーを生成したので、次のステップはSSHアクセス用にvtyラインを設定し、デバイスに認証を提供するために使用するデータベースを指定することです。 ルータ上のローカルデータベースは、この例ではうまくいきます。
LabRouter(config)#line vty0 4
LabRouter(config-line)#ログインローカル
LabRouter(config-line)#トランスポート入力ssh
5., デバイスへの認証に使用するには、ローカルルーターのデータベースにアカウントを作成する必要があります。 これは、これらのコマンドで実行できます。
LabRouter(config)#username XXXX privilege15secret XXXX
SSH設定の微調整
ルーターでSSHを設定および使用するために必要なすべての手順をほぼ完了しましたが、デバイスをさらにセキュアにするために行うことができる他の設定がいくつかあります。,
一つは、私は非常にあなたがログアウトするのを忘れたり、緊急事態のために気を取られた場合にデバイスへのアクセスを得ることから誰かを防ぐために、ルータ上のexecタイムアウトを有効にすることをお勧めします。 このようにして、セッションが設定された時間アイドル状態になった後、ルータは自動的にログアウトします。
以下に示すように、lineインターフェイスでこのコマンドを設定する必要があります。,
LabRouter(config)#line vty0 4
LabRouter(config-line)#exec-timeout5
これは、セッションが5分間アイドル状態になっている場合、ルータが自動的にセッションを切断することを意味します。これにより、特定のIPアドレスを持つデバイスのみがルータに接続できるようになります。
LANのIPサブネットが192.168.100.0/24であるとすると、そのサブネットからのトラフィックのみを許可するaclを作成し、このaclをvty回線に適用します。,
最後のヒント:Ssh2を有効にする
注意すべきもう一つの重要なポイントは、SSH2を使用するのではなく、SSH1を使用することです。 SSH2はssh1内に存在していた多くの弱点を改善し、このため、可能であれば常にSSH2を使用することをお勧めします。
次のコマンドでSSHバージョン2を有効にします。
LabRouter(config)#line vty0 4
LabRouter(config)#ip ssh versopn2
SSHの詳細な読み取りはRFC4251で行うことができます