bezpieczeństwo nadal dominuje w branży IT i jest jednym z najważniejszych czynników, które należy wziąć pod uwagę podczas projektowania i wdrażania sieci.
dlatego konieczne jest, abyśmy byli w stanie ustalić i zapobiec większości, jeśli nie wszystkim, podatnościom, które mogą istnieć. Jedną z takich słabości jest Telnet, dla którego alternatywą jest SSH.
dzisiaj przyjrzymy się, w jaki sposób można włączyć i skonfigurować Router Cisco do korzystania z SSH i dlaczego zawsze powinniśmy używać SSH tam, gdzie to możliwe, w przeciwieństwie do korzystania z Telnetu.,
wszyscy wiemy, że jeśli chodzi o bezpieczeństwo w świecie sieci, Cisco jest jednym z największych graczy. Jednak samo posiadanie urządzenia Cisco nie oznacza, że jesteś zabezpieczony. Obowiązkiem użytkownika jest upewnienie się, że skonfigurowano to urządzenie prawidłowo, aby zapobiec większości, jeśli nie wszystkim, lukom.
dlaczego warto używać Secure Shell (SSH)?
Secure Shell (SSH) poprawia bezpieczeństwo sieci, zapewniając sposób nawiązywania bezpiecznych połączeń z urządzeniami sieciowymi do zarządzania, zapobiegając w ten sposób dostępowi hakerów.,
korzystając z certyfikatów cyfrowych, w kryptografii klucza publicznego / prywatnego, SSH jest w stanie uwierzytelnić klientów lub serwery, zapewniając, że urządzenie lub serwer, z którym masz się połączyć, jest dokładnie tym, za kogo się podają.
Ok, więc teraz, gdy mamy bardzo krótki pomysł, jak SSH zabezpiecza ruch sieciowy, następnym krokiem jest dowiedzieć się, gdzie uzyskać to, co nazywamy certyfikatem cyfrowym. Czy musimy iść do sklepu, aby go kupić?
certyfikaty cyfrowe można nabywać na trzy różne sposoby., Najbezpieczniejszym (i najdroższym) jest żądanie go od zaufanej firmy o nazwie CA – Certificate Authorities. Przykładem takiej firmy jest VeriSign, która jest bardzo popularna w branży CA ze względu na swoją rolę w dostarczaniu zaufanych certyfikatów na całym świecie; certyfikaty te mogą jednak sporo kosztować.
istnieją dwa inne sposoby żądania certyfikatu. Jednym z nich jest użycie wewnętrznie zaufanego urzędu certyfikacji (zaufanego w firmie) zwanego również urzędem certyfikacji przedsiębiorstwa lub generowanie certyfikatu samoczynnego podpisu na samym urządzeniu., Ostatni z nich jest najmniej bezpieczną formą, ale zapewnia więcej niż wystarczającą ochronę, aby zablokować przeciętne urządzenie sieciowe. Ten sam podpisany certyfikat można wygenerować za pomocą wbudowanych poleceń na routerze Cisco.
a co z Telnetem?
podobnie jak SSH, Telnet może być również używany do łączenia się z routerem, ale główną wadą korzystania z Telnet jest to, że nie szyfruje swoich połączeń., Oznacza to, że jeśli haker jest w stanie przechwycić pakiety z sesji Telnet, będzie mógł przeglądać informacje zawarte w tych pakietach, takie jak nazwa użytkownika i hasło klienta, a tym samym uzyskać dostęp do routera.
na poniższym diagramie dowiesz się, jak to działa.
Konfiguracja routera SSH
teraz, gdy już wiemy, jak działa SSH i dlaczego powinniśmy go używać zamiast Telnetu, następnym krokiem jest skonfigurowanie urządzenia, co jest zawsze moją ulubioną częścią.,
do tego ćwiczenia będę używał routera SOHO z serii Cisco 871 z systemem IOS ver. 12.4 oprogramowanie. W zależności od tego, czy twój router jest fabrycznie nowy, czy znajduje się obecnie w środowisku produkcyjnym, będziesz musiał połączyć się przez sesję konsoli lub przez sesję Telnet.
zapoznaj się z moim artykułem na temat konfigurowania routera Cisco do korzystania z RADIUS do uwierzytelniania dla kroków potrzebnych do połączenia za pośrednictwem sesji konsoli lub możesz sprawdzić ten artykuł na stronie Cisco.
oto kroki:
1. Skonfiguruj nazwę hosta dla routera za pomocą tych poleceń.,
Twoja nazwa#konfiguracja terminala
wprowadź polecenia konfiguracyjne, po jednym w każdej linii. Koniec z CNTL/Z.
yourname (config)#hostname LabRouter
LabRouter(config)#
2. Skonfiguruj nazwę domeny za pomocą polecenia nazwa domeny ip, po którym następuje dowolna nazwa domeny. Używałem CiscoLab.com.
LabRouter (config)#IP domain-name CiscoLab.com
3. Generujemy certyfikat, który będzie używany do szyfrowania pakietów SSH za pomocą polecenia Crypto Key generate RSA.,
zwróć uwagę na komunikat, który jest wyświetlany zaraz po wpisaniu tej komendy: „nazwa klawiszy będzie brzmiała: LabRouter.CiscoLab.com” — łączy nazwę hosta routera z nazwą domeny, którą skonfigurowaliśmy, aby uzyskać nazwę wygenerowanego klucza szyfrowania; dlatego ważne było, abyśmy najpierw skonfigurowali nazwę hosta, a następnie nazwę domeny przed wygenerowaniem kluczy.
zauważ również, że prosi nas o wybranie rozmiaru modułu dla klucza, który mamy wygenerować. Im wyższy moduł, tym silniejsze szyfrowanie klucza., W naszym przykładzie użyjemy modułu 1024.
4. Teraz, gdy wygenerowaliśmy klucz, naszym następnym krokiem będzie skonfigurowanie naszych linii vty dla dostępu SSH i określenie, której bazy danych będziemy używać do uwierzytelniania urządzenia. Lokalna baza danych na routerze sprawdzi się w tym przykładzie.
LabRouter(config)#line vty 0 4
LabRouter(Config-line)#login local
LabRouter(Config-line)#transport input ssh
5., Musisz utworzyć konto w bazie danych routera lokalnego, aby było używane do uwierzytelniania urządzenia. Można to osiągnąć za pomocą tych poleceń.
LabRouter(config) # username XXXX privilege 15 secret XXXX
dostrajanie konfiguracji SSH
wykonaliśmy prawie wszystkie kroki potrzebne do skonfigurowania i korzystania z SSH na routerze; jednak istnieją inne konfiguracje, które mogą być wykonane w celu dalszego zabezpieczenia urządzenia.,
Po pierwsze, Gorąco polecam włączenie czasu exec na routerze, aby uniemożliwić każdemu uzyskanie dostępu do urządzenia w przypadkach, gdy zapomniałeś wylogować się lub zostałeś rozproszony z powodu awarii. W ten sposób router automatycznie wyloguje cię po bezczynności sesji Przez określony czas.
musisz skonfigurować to polecenie w interfejsie linii, jak pokazano poniżej.,
LabRouter(config)#line vty 0 4
LabRouter(Config-line)# exec-timeout 5
oznacza to, że jeśli sesja była bezczynna przez 5 minut, router automatycznie rozłączy sesję.
użyj list kontroli dostępu (ACL) jako dodatkowej warstwy zabezpieczeń; zapewni to, że tylko Urządzenia z określonym adresem IP będą mogły połączyć się z routerem.
Załóżmy więc, że podsieć IP dla Twojej sieci LAN to 192.168.100.0/ 24, utworzyłbyś acl, aby zezwolić tylko na ruch z tej podsieci i zastosować ten acl do linii vty.,
ostatnia wskazówka: Włącz SSH2
kolejną istotną kwestią jest użycie SSH2 w przeciwieństwie do używania SSH1. SSH2 poprawia wiele słabości, które istniały w SSH1 i z tego powodu polecam zawsze używać SSH2, gdzie to możliwe.
Włącz SSH w wersji 2 za pomocą tego polecenia:
LabRouter(config)#line vty 0 4
LabRouter(config)#ip SSH versopn 2
szczegółowy odczyt SSH można wykonać w RFC 4251