Sikkerhet fortsetter å dominere IT-bransjen og er en av de viktigste faktorene for å vurdere når du designe og distribuere nettverk.
Det er derfor viktig at vi er i stand til å fastslå og hindre at de fleste, om ikke alle, sårbarheter som kan eksistere. En slik svakhet er Telnet som SSH er alternativet.
i Dag vi vil ta en dypere titt på hvordan du kan aktivere og konfigurere Cisco Ruteren for å bruke SSH og hvorfor vi bør alltid bruke SSH der det er mulig, i motsetning til ved å bruke Telnet.,
Vi vet alle at når det kommer til sikkerhet i nettverk universet, Cisco er en av de største aktørene. Men, bare å ha en Cisco-enhet betyr ikke at du er sikret. Det påhviler deg å sikre at du har konfigurert enheten på riktig måte for å hindre at de fleste, om ikke alle, smutthull.
Hvorfor Bruke SSH (Secure Shell)?
SSH (Secure Shell) forbedrer sikkerheten på nettverket ved å gi et middel for å opprette sikre tilkoblinger til nettverk enheter for styring, og dermed hindre hackere fra å få tilgang.,
ved Hjelp av Digitale Sertifikater, i et Offentlig/Privat Nøkkel Kryptografi, SSH er i stand til å godkjenne klienter eller servere for å sikre at enheten eller på serveren du er i ferd med å koble til, akkurat som de hevder å være.
Ok, så nå som vi har en veldig kort idé om hvordan SSH fester network trafikk, er det neste trinnet er å finne ut hvor du skal få denne tingen vi kaller et digitalt sertifikat. Må vi gå inn i en butikk for å kjøpe den?
Digitale Sertifikater kan være ervervet i generelt tre forskjellige måter., Den mest sikre (og dyre) ber om det fra en pålitelig selskap som heter et CA – Sertifikat Myndigheter. Et eksempel på et slikt selskap er VeriSign, som er svært populære i CA Bransjen for sin rolle i å gi verden over klarerte sertifikater; disse sertifikatene kan imidlertid koste ganske mye.
Det er to andre måter som ber om et sertifikat. Den ene er ved hjelp av et internt pålitelig CA (klarert i en bedrift) også kalt en enterprise CA eller ved å generere en selv signere sertifikatet på selve enheten., Den siste er den minst sikre form, men gir mer enn nok sikkerhet til å låse ned gjennomsnittlig nettverk enheten. Denne selv-signert sertifikat kan genereres ved hjelp av den innebygde kommandoer på din Cisco router.
Hva Om Telnet?
Som SSH, Telnet kan også brukes til å koble til ruteren, men den største ulempen med å bruke Telnet, er at det ikke kryptere sine forbindelser., Dette betyr at hvis en hacker er i stand til å fange opp pakker fra en Telnet-økt, han eller hun vil være i stand til å vise informasjon som finnes i disse pakkene, for eksempel en kundes brukernavn og passord, er derfor å få tilgang til ruteren.
diagrammet under vil gi deg en idé om hvordan dette fungerer.
SSH ruterkonfigurasjon
Nå som vi har en forståelse av hvordan SSH fungerer og hvorfor bør vi bruke det i stedet for Telnet, det neste trinnet er faktisk å komme ned for å konfigurere enheten, som er alltid min favoritt del.,
For denne oppgaven vil jeg bruke en Cisco 871 serien SOHO ruter med IOS ver. 12.4 programvare. Avhengig av om ruteren er helt ny eller for tiden i et produksjonsmiljø, er du nødt til å enten koble til via en Konsollen eller gjennom en Telnet-økt.
Ta en titt på min artikkel om konfigurering av et Cisco-ruteren for å bruke RADIUS for godkjenning for de nødvendige trinnene for å koble til via en Konsoll-økt, eller du kan sjekke denne artikkelen på Cisco ‘ s nettside.
Her er fremgangsmåten:
1. Konfigurere et vertsnavn for ruteren ved å bruke disse kommandoene.,
dittnavn#konfigurere terminal
skriv Inn konfigurasjon kommandoer, en per linje. Avslutt med CNTL/Z.
dittnavn (config)#vertsnavn LabRouter
LabRouter(config)#
2. Konfigurere et domenenavn sammen med ip-domene-navn kommando etterfulgt av hva du ønsker å få dine domenenavn for å være. Jeg brukte CiscoLab.com.
LabRouter(config)#ip-domene-navn CiscoLab.com
3. Vi genererer et sertifikat som skal brukes til å kryptere SSH pakker ved hjelp av crypto-tasten for å generere rsa-kommandoen.,
merk meldingen som vises rett etter at vi skrive inn denne kommandoen: «navnet På tastene vil være: LabRouter.CiscoLab.com» – det kombinerer vertsnavnet på ruteren, sammen med domenenavn vi konfigurert for å få navnet på krypteringsnøkkel som ble generert, og dette er grunnen til at det var viktig for oss å, først av alt, må du konfigurere et vertsnavn deretter et domenenavn før vi genererte nøkler.
legg også Merke til at den ber oss om å velge en størrelse av modulus for nøkkelen vi er i ferd med å generere. Jo høyere elastisitet, jo sterkere kryptering av-tasten., For vårt eksempel, vil vi bruke en modulus av 1024.
4. Nå som vi har generert nøkkel, vårt neste skritt ville være å konfigurere våre vty linjer for SSH-tilgang og angi hvilken database skal vi bruke til å gi godkjenning til enheten. Den lokale databasen på ruteren vil gjøre det bra i dette eksemplet.
LabRouter(config)#linje vty 0 4
LabRouter(config-linje)#logg inn lokal
LabRouter(config-linje)#transport inngang ssh
5., Du må opprette en konto på den lokale ruteren er databasen som skal brukes for å autentisere til enheten. Dette kan oppnås med disse kommandoene.
LabRouter(config)#brukernavn XXXX privilegium 15 hemmelige XXXX
Finjustere Din SSH Konfigurasjon
Vi har ganske mye fullført alle de nødvendige trinnene for å konfigurere og bruke SSH på ruteren, men det er noen andre konfigurasjoner som kan gjøres for ytterligere å sikre enheten.,
For én, ville jeg anbefaler deg å gjøre exec time-out på ruteren for å hindre noen fra å få tilgang til enheten, i tilfelle du har glemt å logge ut eller ble forstyrret på grunn av en krise. Denne måten, vil ruteren automatisk logget ut etter økten har vært inaktiv i en angitt tid.
Du må konfigurere denne kommandoen på linje grensesnitt som er avbildet nedenfor.,
LabRouter(config)#linje vty 0 4
LabRouter(config-linje)# exec-timeout 5
Dette betyr at hvis økten har vært inaktiv i 5 minutter, vil ruteren automatisk avslutte økten.
Bruke Access Control Lists (ACL) som et ekstra lag av sikkerhet, og dette vil sikre at bare enheter med visse IP-adressen er i stand til å koble til ruteren.
Så la oss si at IP-Delnett for LAN er 192.168.100.0/24, du ville lage en acl for å tillate trafikk fra at delnett og bruke denne acl til vty linjer.,
Siste Tips: Aktiver SSH2
et Annet viktig punkt å merke seg er bruken av SSH2 i motsetning til ved hjelp SSH1. SSH2 forbedres på en rekke svakheter som eksisterte innenfor SSH1 og dette er årsaken til at jeg anbefaler at du alltid bruker SSH2 der det er mulig.
Aktiver SSH-versjon 2 med denne kommandoen:
LabRouter(config)#linje vty 0 4
LabRouter(config)#ip ssh versopn 2
Detaljert lesing på SSH kan gjøres på RFC 4251