beveiliging blijft de IT-industrie domineren en is een van de belangrijkste factoren waarmee rekening moet worden gehouden bij het ontwerpen en implementeren van netwerken.
het is daarom noodzakelijk dat we in staat zijn om de meeste, zo niet alle, kwetsbaarheden die kunnen bestaan, vast te stellen en te voorkomen. Een van die zwakheden is Telnet waarop SSH het alternatief is.
vandaag zullen we dieper kijken naar hoe u uw Cisco Router kunt inschakelen en configureren om SSH te gebruiken en waarom we altijd SSH moeten gebruiken waar mogelijk in tegenstelling tot Telnet.,
we weten allemaal dat als het gaat om beveiliging binnen het netwerk universum, Cisco een van de grootste spelers is. Echter, alleen het hebben van een Cisco-apparaat betekent niet dat u bent beveiligd. De taak is aan u om ervoor te zorgen dat u dat apparaat goed hebt geconfigureerd om te voorkomen dat de meeste, zo niet alle, mazen in de wet.
waarom Secure Shell (SSH) gebruiken?
Secure Shell (SSH) verbetert de netwerkbeveiliging door een middel te bieden om veilige verbindingen tot stand te brengen met netwerkapparaten voor beheer, waardoor hackers geen toegang krijgen.,
met behulp van digitale certificaten, in een publieke/Private sleutel cryptografie, is SSH in staat om clients of servers te authenticeren om er zeker van te zijn dat het apparaat of de server waarmee u verbinding wilt maken precies is wie ze beweren te zijn.
Ok, dus nu we een heel kort idee hebben van hoe SSH netwerkverkeer beveiligt, is de volgende stap uitzoeken waar we dit ding dat we een digitaal certificaat noemen kunnen krijgen. Moeten we naar een winkel om het te kopen?
digitale certificaten kunnen in het algemeen op drie verschillende manieren worden verkregen., De meest veilige (en dure) is het aanvragen van het bij een vertrouwd bedrijf genaamd een CA – certificaat autoriteiten. Een voorbeeld van een dergelijk bedrijf is VeriSign, die zeer populair is binnen de CA-industrie voor hun rol in het leveren van wereldwijd vertrouwde certificaten; deze certificaten kunnen echter heel wat kosten.
Er zijn twee andere manieren om een certificaat aan te vragen. Een daarvan is door het gebruik van een intern vertrouwde CA (vertrouwd binnen een bedrijf) ook wel een Enterprise CA of door het genereren van een self sign certificaat op het apparaat zelf., De laatste is de minst veilige vorm, maar biedt meer dan genoeg beveiliging om uw gemiddelde netwerkapparaat te vergrendelen. Dit zelfondertekende certificaat kan worden gegenereerd met behulp van de ingebouwde opdrachten op uw Cisco-router.
hoe zit het met Telnet?
net als SSH kan Telnet ook worden gebruikt om verbinding te maken met uw router, maar het belangrijkste nadeel van het gebruik van Telnet is dat het zijn verbindingen niet versleutelt., Dit betekent dat als een hacker in staat is om pakketten van een telnet-sessie vast te leggen, hij of zij in staat zou zijn om de informatie in die pakketten te bekijken, zoals de gebruikersnaam en het wachtwoord van een client, dus het verkrijgen van toegang tot uw router.
het diagram hieronder geeft u een idee van hoe dit werkt.
SSH Router configuratie
nu we weten hoe SSH werkt en waarom we het moeten gebruiken in plaats van Telnet, is de volgende stap eigenlijk het instellen van het apparaat, wat altijd mijn favoriete deel is.,
voor deze oefening zal Ik gebruik maken van een Cisco 871 serie SOHO router met IOS ver. 12.4 software. Afhankelijk van of uw router gloednieuw is of Momenteel in een productieomgeving, moet u verbinding maken via een Console-sessie of via een Telnet-sessie.
bekijk mijn artikel over het configureren van een Cisco-router om RADIUS te gebruiken voor authenticatie voor de stappen die nodig zijn om verbinding te maken via een consolesessie of u kunt dit artikel bekijken op de website van Cisco.
Hier volgen de stappen:
1. Configureer een hostnaam voor de router met behulp van deze commando ‘ s.,
uw naam#configure terminal
voer configuratiecommando ‘ s in, één per regel. Eindig met CNTL / Z.
uw naam (config)#hostname LabRouter
LabRouter (config)#
2. Configureer een domeinnaam met het ip domain-name Commando gevolgd door wat je wilt dat je domeinnaam is. Ik gebruikte CiscoLab.com.
LabRouter (config) # ip domeinnaam CiscoLab.com
3. We genereren een certificaat dat zal worden gebruikt om de SSH pakketten te versleutelen met behulp van de crypto sleutel generate rsa Commando.,
let op het bericht dat wordt weergegeven direct nadat we dit commando invoeren: “de naam voor de sleutels zal zijn: LabRouter.CiscoLab.com” — het combineert de hostnaam van de router samen met de domeinnaam die we hebben geconfigureerd om de naam van de encryptiesleutel gegenereerd te krijgen; Dit is waarom het belangrijk was voor ons om eerst een hostnaam te configureren en vervolgens een domeinnaam voordat we de sleutels genereerden.
merk ook op dat het ons vraagt om een modulusgrootte te kiezen voor de sleutel die we gaan genereren. Hoe hoger de modulus, hoe sterker de encryptie van de sleutel., Voor ons voorbeeld gebruiken we een modulus van 1024.
4. Nu we de sleutel hebben gegenereerd, zou onze volgende stap zijn om onze VTY-lijnen te configureren voor SSH-toegang en aan te geven welke database we gaan gebruiken om authenticatie aan het apparaat te bieden. De lokale database op de router doet het prima voor dit voorbeeld.
LabRouter(config)#line VTY 0 4
LabRouter(config-line)#login local
LabRouter(config-line) # transport input ssh
5., U moet een account maken op de database van de lokale router om te worden gebruikt voor de verificatie van het apparaat. Dit kan worden bereikt met deze commando ‘ s.
LabRouter(config) # gebruikersnaam XXXX privilege 15 secret XXXX
Fine Tuning Your SSH Configuration
we hebben vrijwel alle stappen voltooid die nodig zijn om SSH te configureren en te gebruiken op uw router; er zijn echter enkele andere configuraties die kunnen worden gemaakt om uw apparaat verder te beveiligen.,
ten eerste zou ik u ten zeerste aanraden om een exec time-out op uw router in te schakelen om te voorkomen dat iemand toegang krijgt tot het apparaat in gevallen waarin u bent vergeten uit te loggen of werd afgeleid door een noodgeval. Op deze manier zal de router u automatisch uitloggen nadat de sessie een bepaalde tijd inactief is geweest.
u moet dit commando configureren op de regelinterface zoals hieronder afgebeeld.,
LabRouter(config)#line vty 0 4
LabRouter(config-line)# exec-timeout 5
Dit betekent dat als de sessie 5 minuten niet actief is geweest, de router automatisch de verbinding met de sessie zal verbreken.
gebruik ACL (Access Control Lists) als een toegevoegde beveiligingslaag; dit zorgt ervoor dat alleen apparaten met een bepaald IP-adres verbinding kunnen maken met de router.
dus laten we zeggen dat het IP Subnet voor je LAN 192.168.100.0/24 is, je zou een acl maken om alleen verkeer van dat subnet toe te staan en deze acl toe te passen op de VTY lijnen.,
laatste Tip: SSH2 inschakelen
een ander cruciaal punt om op te merken is het gebruik van SSH2 in tegenstelling tot het gebruik van SSH1. SSH2 verbetert veel van de zwakke punten die binnen SSH1 bestonden en om deze reden adviseer ik altijd SSH2 te gebruiken waar mogelijk.
SSH versie 2 inschakelen met dit commando:
LabRouter (config) # regel vty 0 4
LabRouter (config) # ip SSH versopn 2
gedetailleerde lezing van SSH kan worden gedaan op RFC 4251