securitatea continuă să domine industria IT și este unul dintre cei mai importanți factori de luat în considerare la proiectarea și implementarea rețelelor.prin urmare, este imperativ să putem stabili și preveni majoritatea, dacă nu toate, vulnerabilitățile care pot exista. O astfel de slăbiciune este Telnet la care SSH este alternativa.astăzi vom arunca o privire mai profundă asupra modului în care puteți activa și configura routerul Cisco pentru a utiliza SSH și de ce ar trebui să folosim întotdeauna SSH acolo unde este posibil, spre deosebire de utilizarea Telnet.,știm cu toții că, atunci când vine vorba de securitate în universul networking, Cisco este unul dintre cei mai mari jucători. Cu toate acestea, doar având un dispozitiv Cisco nu înseamnă că sunteți securizat. Sarcina este pe tine pentru a vă asigura că ați configurat dispozitivul în mod corespunzător pentru a preveni cele mai multe, dacă nu toate, lacune.
de ce să folosiți Secure Shell (SSH)?Secure Shell (SSH) îmbunătățește securitatea rețelei prin furnizarea unui mijloc de a stabili conexiuni sigure la dispozitivele de rețea pentru management, împiedicând astfel accesul hackerilor.,
folosind certificate digitale, într-o criptografie cu cheie publică / privată, SSH este capabil să autentifice clienții sau serverele asigurându-se că dispozitivul sau serverul la care urmează să vă conectați este exact cine pretind că sunt.
Ok, deci acum că avem o idee foarte scurtă despre modul în care SSH asigură traficul în rețea, următorul pas este să ne dăm seama de unde să obținem acest lucru pe care îl numim certificat digital. Trebuie să mergem într-un magazin să-l cumpere?certificatele digitale pot fi achiziționate în general în trei moduri diferite., Cel mai sigur (și scump) îl solicită de la o companie de încredere numită autorități de certificare CA. Un exemplu de o astfel de companie este VeriSign, care este foarte popular în industria CA pentru rolul lor în furnizarea de certificate de încredere la nivel mondial; aceste certificate pot costa totuși destul de un pic.există alte două modalități de a solicita un certificat. Unul este prin utilizarea unui CA intern de încredere (de încredere în cadrul unei companii), de asemenea, numit ca întreprindere sau prin generarea unui certificat de semn de sine pe dispozitivul în sine., Ultima este cea mai puțin sigură formă, dar oferă o securitate mai mult decât suficientă pentru a bloca dispozitivul de rețea mediu. Acest certificat auto semnat poate fi generat folosind construit în comenzi pe router Cisco.
Ce zici de Telnet?la fel ca SSH, Telnet poate fi folosit și pentru a vă conecta la router, dar principalul dezavantaj al utilizării Telnet este că nu criptează conexiunile sale., Aceasta înseamnă că, dacă un hacker este capabil să capteze pachete dintr-o sesiune Telnet, el sau ea ar putea vizualiza informațiile conținute în acele pachete, cum ar fi numele de utilizator și parola unui client, obținând astfel acces la routerul dvs.diagrama de mai jos vă va oferi o idee despre cum funcționează acest lucru.
SSH Configurare Router
Acum, că avem o înțelegere a modului de SSH funcționează și de ce ar trebui să utilizați în loc de Telnet, următorul pas este de fapt obtinerea de până la configurarea dispozitivului, care este întotdeauna de partea mea preferată.,pentru acest exercițiu voi folosi un Cisco 871 seria SOHO router cu IOS ver. 12.4 software-ul. În funcție de faptul dacă routerul dvs. este nou sau în prezent într-un mediu de producție, va trebui să vă conectați fie printr-o sesiune de consolă, fie printr-o sesiune Telnet.aruncați o privire la articolul meu despre configurarea unui router Cisco pentru a utiliza RADIUS pentru autentificare pentru pașii necesari pentru conectarea printr-o sesiune de consolă sau puteți verifica acest articol pe site-ul Cisco.
iată pașii:
1. Configurați un nume de gazdă pentru router folosind aceste comenzi.,
yourname#configurare terminal
Introduceți comenzi de configurare, una pe linie. End cu CNTL/Z.
numele tau (config)#hostname LabRouter
LabRouter(config)#
2. Configurați un nume de domeniu cu comanda IP domain-name urmată de orice doriți ca numele dvs. de domeniu să fie. Am folosit CiscoLab.com.
LabRouter(config)#ip domain-name CiscoLab.com
3. Generăm un certificat care va fi utilizat pentru criptarea pachetelor SSH folosind comanda crypto key generate rsa.,
se Ia act de mesajul care este afișat imediat după ce ne-introduceți această comandă: „numele de cheile vor fi: LabRouter.CiscoLab.com” … se combină gazdă al router-ul, împreună cu numele de domeniu am configurat pentru a primi numele de cheie de criptare generată; acest lucru este de ce este important pentru noi, mai întâi de toate, să configurați un nume de gazdă apoi un nume de domeniu înainte de a ne generat cheile.observați, de asemenea, că ne cere să alegem o dimensiune a modulului pentru cheia pe care urmează să o generăm. Cu cât modulul este mai mare, cu atât criptarea cheii este mai puternică., Pentru exemplul nostru, vom folosi un modul de 1024.
4. Acum că am generat cheia, următorul nostru pas ar fi să configurăm liniile noastre vty pentru accesul SSH și să specificăm ce bază de date vom folosi pentru a furniza autentificarea pe dispozitiv. Baza de date locală de pe router va face bine pentru acest exemplu.
LabRouter(config)#line vty 0 4
LabRouter(config-line)#login locale
LabRouter(config-line)#transportul de intrare ssh
5., Va trebui să creați un cont în baza de date a routerului local pentru a fi utilizat pentru autentificarea pe dispozitiv. Acest lucru poate fi realizat cu aceste comenzi.
LabRouter(config)#numele de utilizator XXXX privilegiul 15 secrete XXXX
Reglaj Fin SSH de Configurare
Ne-am cam terminat toți pașii necesari pentru a configura și de a folosi SSH pe router-ul; cu toate acestea, există câteva alte configurații care pot fi făcute pentru a asigura în continuare dispozitiv.,
pentru unul, aș recomanda să activați un exec time-out pe router pentru a împiedica pe oricine să obțină acces la dispozitiv în cazurile în care ați uitat să vă deconectați sau ați fost distras din cauza unei situații de urgență. În acest fel, routerul vă va deconecta automat după ce sesiunea a fost inactivă pentru o perioadă stabilită.
trebuie să configurați această comandă pe interfața de linie așa cum este descris mai jos.,
LabRouter(config)#line vty 0 4
LabRouter(config-line)# exec-timeout 5
Acest lucru înseamnă că, dacă ședința a fost inactiv timp de 5 minute, router-ul se va deconecta automat sesiunea.
utilizați listele de control al accesului (ACL) ca nivel suplimentar de securitate; acest lucru va asigura că numai dispozitivele cu o anumită adresă IP se pot conecta la router.
deci, să presupunem că subrețeaua IP pentru LAN este 192.168.100.0 / 24, ați crea un acl pentru a permite doar traficul din acea subrețea și aplicați acest acl la liniile vty.,
sfat Final: activați SSH2
Un alt punct crucial de reținut este utilizarea SSH2, spre deosebire de utilizarea SSH1. SSH2 îmbunătățește pe o mulțime de punctele slabe care au existat în SSH1 și din acest motiv, vă recomandăm întotdeauna folosind SSH2 acolo unde este posibil.
Permite SSH versiunea 2 cu această comandă:
LabRouter(config)#line vty 0 4
LabRouter(config)#ip ssh versopn 2
Detaliată citit pe SSH se poate face la RFC 4251