보안을 지배하는 것을 계속 그것은 산업과의 가장 중요한 요소를 디자인할 때 고려하고 배포하는 네트워크입니다.그러므로 우리가 존재할 수있는 취약점이 전부는 아니더라도 대부분을 확인하고 예방할 수있는 것이 필수적입니다. 이러한 약점 중 하나는 SSH 가 대안 인 텔넷입니다.
오늘 우리는 깊이 살펴보는 방법을 사용하도록 설정하고 구성할 수 있습 Cisco 라우터를 사용하는 경우 왜 우리는 항상 사용 SSH 가능한 경우 반대로 사용하여 Telnet.,<피>우리 모두는 네트워킹 우주 내에서 보안에 관해서,시스코는 가장 큰 선수 중 하나입니다 것을 알고있다. 그러나 시스코 장치 만 가지고 있다고해서 보안이 유지되는 것은 아닙니다. 의 책임은 당신에는지 확인을 구성하는 장치를 제대로 대부분을 방지하는 경우,모든 파일이 있습니다.보안 쉘(SSH)을 사용하는 이유는 무엇입니까?
Secure Shell(SSH)을 향상시킵 네트워크 보안을 제공하여 의미의 보안 연결을 설정하는 네트워킹 장치를 관리하는 것을 방지하는 해커에서 얻 액세스입니다.,
디지털 인증서를 사용하여,에/공개 키 암호화,SSH 은 인증을 받을 수 있는 클라이언트는 서버에 보는 장치 또는 서버 연결에 대해서는 정확히 확인할 수 있게 되었습니다.
좋습니다,그래서 우리는 아주 간단한 아이디어는 어떻게 SSH 확보 네트워크 트래픽 다음 단계에서 위치를 알아내는 이 일을 우리가 부르는 디지털 인증서입니다. 우리는 그것을 구입하기 위해 가게에 가야합니까?
디지털 인증서는 일반적으로 세 가지 방법으로 획득 할 수 있습니다., 가장 안전하고(비싼)CA-Certificate Authority 라는 신뢰할 수있는 회사에서 요청하는 것입니다. 예의 하나 같은 회사는 VeriSign,매우 인기있는 이내에 캘리포니아에 대한 업계에서 자신의 역할을 제공하는 세계적인 신뢰할 수 있는 인증서를;이 인증서는 그러나 비용이 꽤 있습니다.
인증서를 요청하는 다른 두 가지 방법이 있습니다. 를 사용하여 내부적으로 신뢰할 수 있는 캘리포니아(신뢰할 수 있는 회사 내에서)라고도 기업의 캘리포니아 또는 생성하여 각자 서명 인증서는 장치에 자체입니다., 마지막 하나는 가장 안전한 형태이지만 평균 네트워크 장치를 잠글 수있는 충분한 보안 이상을 제공합니다. 이 자체 서명 인증서는 Cisco 라우터에 내장 된 명령을 사용하여 생성 할 수 있습니다.
텔넷은 어떻습니까?
SSH 와 마찬가지로 텔넷도 라우터에 연결하는 데 사용할 수 있지만 텔넷을 사용하는 주된 단점은 연결을 암호화하지 않는다는 것입니다., 즉,이 경우 해커가할 수 있 패킷을 캡처하기 위해서는 Telnet 세션을,그 또는 그녀는 것을 볼 수 있는 정보에 포함된 패킷과 같이 클라이언트의 사용자 이름과 암호를 따라서 액세스 권한을 얻습니다.아래 다이어그램은 이것이 어떻게 작동하는지에 대한 아이디어를 줄 것입니다.
SSH 라우터 구성
이제는 우리가 이해의 방법 SSH 작동하고 왜 우리가 대신 사용하여 Telnet,다음 단계는 실제로 다운 받을 구성하는 장치를 항상 내가 좋아하는 부분입니다.,
이 연습을 위해 Ios ver 와 함께 Cisco871 시리즈 SOHO 라우터를 사용할 것입니다. 12.4 소프트웨어입니다. 는지 여부에 따라 당신의 라우터에 새로운 브랜드 또는 현재 프로덕션 환경에서,당신은 당신을해야 할 것을 하나를 통해 연결 콘솔 세션을 통해서 또는 Telnet 세션이 있습니다.
살펴에 내 문서를 구성하는 시스코 라우터를 사용 반경에 대한 인증을 위해 필요한 단계를 통해 연결 콘솔 세션이나 확인할 수 있습니다 이 문서에서는 시스코의 웹 사이트입니다.다음 단계는 다음과 같습니다.
1. 이 명령을 사용하여 라우터의 호스트 이름을 구성하십시오.,
yourname#configure terminal
구성 명령을 한 줄에 하나씩 입력하십시오. 나는 이것이 내가하는 일이 아니라는 것을 알고 있지만,내가하는 일이 무엇인지 알지 못한다. 구성하는 도메인 이름으로 ip 도메인 이름을 명령은 다음에 뭐든 당신이 당신의 도메인 이름을 합니다. 나는 사용했다 CiscoLab.com 이 경우 두 개의 도메인이 있습니다.CiscoLab.com 나는 이것을 할 수 없다. 암호화 키 생성 rsa 명령을 사용하여 SSH 패킷을 암호화하는 데 사용할 인증서를 생성합니다.,
주의 메시지가 표시되는 권리하려면 다음 명령을 입력하십시오:”이름에 대한 열쇠가 될 것입니다:LabRouter.CiscoLab.com”-그것을 결합 호스트 이름의 라우터와 함께 도메인 이름 우리는 하도록 구성의 이름을 얻을 암호화 키 생성된다;이것은 왜 그것이 우리에게 중요하면,첫째,구성하는 호스트 이름을 그 도메인 이름을 우리가 전에 생성됩니다.
또한 우리가 생성하려고하는 키에 대한 모듈러스의 크기를 선택하도록 요청한다는 것을 알 수 있습니다. 모듈러스가 높을수록 키의 암호화가 강해집니다., 우리의 예를 들어,1024 의 모듈러스를 사용하겠습니다.나는 이것이 어떻게 작동하는지 이해하지 못한다. 이제는 우리가 생성되는 열쇠는 우리의 다음 단계는 것을 우리의 구성 vty 선 SSH 접속 지정하는 데이터베이스를 사용하는 것 인증을 제공합니다. 라우터의 로컬 데이터베이스는이 예제에 대해 잘 수행 할 것입니다.
LabRouter(config)#line vty0 4
LabRouter(config-line)#login local
LabRouter(config-line)#transport input ssh
5., 장치에 인증하는 데 사용할 로컬 라우터의 데이터베이스에 계정을 만들어야합니다. 이러한 명령으로 수행할 수 있습니다.
LabRouter(config)#XXXX 사용자 이름 권한 비밀 15XXXX
미세 조정하 SSH 구성
우리는 거의 모든 단계를 완료하는 데 필요한 구성 및 사용 SSH 에서 당신의 라우터는 그러나,거기에 몇 가지 다른 구성을 만들 수 있습니다 추가 보안 장치입니다.,
중 하나를 당신이 사용 가능한 exec 시간에 당신의 라우터에서 누군가를 방지하기 위하에 대한 액세스 권한을 받은 장치의 경우에 당신은 잊을 로그아웃하거나 얻은 산만하기 때문입니다. 이렇게하면 세션이 설정된 시간 동안 유휴 상태 인 후 라우터가 자동으로 로그 아웃됩니다.
아래에 묘사 된대로 라인 인터페이스에서이 명령을 구성해야합니다.,
LabRouter(config)#선 vty0 4
LabRouter(config-line)#exec-timeout5
즉,이 경우 세션가 유휴 상태에 있었 5 분,라우터를 자동으로 분리합니다.
사용 ACL(액세스 제어 목록)한층의 보안이 보장되는 장치만으로는 특정 IP 주소에 연결할 수 있습니다.LAN 의 IP 서브넷이 192.168.100.0/24 라고 가정 해 봅시다.이 서브넷의 트래픽 만 허용하고이 acl 을 vty 라인에 적용 할 acl 을 만듭니다.,
최종 팁:Ssh2 사용
주목해야 할 또 다른 중요한 점은 SSH1 사용과 반대로 SSH2 를 사용하는 것입니다. SSH2 는 SSH1 내에 존재하는 많은 약점을 개선하며 이러한 이유로 가능한 경우 항상 SSH2 를 사용하는 것이 좋습니다.
SSH 버전 2 명령:
LabRouter(config)#선 vty0 4
LabRouter(config)#ip ssh versopn2
에 대한 자세한 독서에 SSH 에서 할 수 있는 RFC4251