SSH-konfiguration på Cisco Router (Svenska)

admin

säkerhet fortsätter att dominera IT-industrin och är en av de viktigaste faktorerna att tänka på när man utformar och distribuerar nätverk.

det är därför absolut nödvändigt att vi kan fastställa och förhindra de flesta, om inte alla, sårbarheter som kan finnas. En sådan svaghet är Telnet som SSH är alternativet till.

idag ska vi ta en djupare titt på hur du kan aktivera och konfigurera din Cisco-Router för att använda SSH och varför vi alltid ska använda SSH där det är möjligt i motsats till att använda Telnet.,

Vi vet alla att när det gäller säkerhet inom nätverk universum, Cisco är en av de största spelarna. Men att bara ha en Cisco-enhet betyder inte att du är säker. Onus är på dig för att säkerställa att du har konfigurerat den enheten korrekt för att förhindra de flesta, om inte alla, kryphål.

Varför Använda SSH (Secure Shell)?

Secure Shell (SSH) förbättrar nätverkssäkerheten genom att tillhandahålla ett sätt att upprätta säkra anslutningar till nätverksenheter för hantering, vilket förhindrar hackare från att få tillgång till.,

med hjälp av digitala certifikat kan SSH i en offentlig / privat nyckelkryptografi autentisera klienter eller servrar som ser till att den enhet eller server du ska ansluta till är exakt den som de påstår sig vara.

Ok, så nu när vi har en mycket kort uppfattning om hur SSH säkrar nätverkstrafik, nästa steg är att räkna ut var att få det här vi kallar ett digitalt certifikat. Måste vi gå in i en butik för att köpa den?

digitala certifikat kan förvärvas på i allmänhet tre olika sätt., Den säkraste (och dyra) begär det från ett betrott företag som heter En ca – certifikatmyndigheter. Ett exempel på ett sådant företag är VeriSign, som är mycket populär inom CA-industrin för sin roll i att tillhandahålla världsomspännande betrodda certifikat.dessa certifikat kan dock kosta ganska lite.

det finns två andra sätt att begära ett certifikat. En är genom att använda en internt betrodd CA (betrodd inom ett företag) kallas också ett företag CA eller genom att generera ett själv teckencertifikat på själva enheten., Den sista är den minst säkra formen, men ger mer än tillräckligt med säkerhet för att låsa din genomsnittliga nätverksenhet. Det här självsignerade certifikatet kan genereras med hjälp av de inbyggda kommandona på din Cisco-router.

vad sägs om Telnet?

liksom SSH kan Telnet också användas för att ansluta till din router, men den största nackdelen med att använda Telnet är att den inte krypterar sina anslutningar., Detta innebär att om en hacker kan fånga paket från en Telnet session, han eller hon skulle kunna visa information som finns i dessa paket, såsom en kunds användarnamn och lösenord, därför få tillgång till din router.

diagrammet nedan ger dig en uppfattning om hur detta fungerar.

SSH-routerkonfiguration

nu när vi har en förståelse för hur ssh fungerar och varför vi ska använda den istället för Telnet, är nästa steg faktiskt att komma ner för att konfigurera enheten, vilket alltid är min favoritdel.,

för denna övning kommer jag att använda en Cisco 871 series Soho router med IOS ver. 12.4 programvara. Beroende på om routern är helt ny eller för närvarande i en produktionsmiljö måste du antingen ansluta via en konsolsession eller via en Telnet-session.

ta en titt på min artikel om att konfigurera en Cisco-router för att använda RADIUS för autentisering för de steg som behövs för att ansluta via en konsolsession eller så kan du kontrollera den här artikeln på Ciscos webbplats.

här är stegen:

1. Konfigurera ett värdnamn för routern med hjälp av dessa kommandon.,

yourname#configure terminal

Ange konfigurationskommandon, en per rad. Avsluta med CNTL / Z.

yourname (config)#hostname LabRouter

LabRouter(config) #

2. Konfigurera ett domännamn med kommandot ip domain-name följt av vad du vill att ditt domännamn ska vara. Jag använde CiscoLab.com.

LabRouter(config)#ip-domän-namn CiscoLab.com

3. Vi genererar ett certifikat som kommer att användas för att kryptera SSH-paketen med hjälp av krypteringsnyckeln generera RSA-kommandot.,

notera meddelandet som visas direkt efter att vi har skrivit in det här kommandot: ”namnet på nycklarna kommer att vara: LabRouter.CiscoLab.com” — it combines the hostname of the router along the domain name we configured to get the name of the encryption key generated; det är därför det var viktigt för oss att först och främst konfigurera ett värdnamn sedan ett domännamn innan vi genererade nycklarna.

Observera också att det ber oss att välja en storlek på modul för nyckeln vi ska generera. Ju högre modul, desto starkare kryptering av nyckeln., Till exempel använder vi en modul på 1024.

4. Nu när vi har genererat nyckeln skulle vårt nästa steg vara att konfigurera våra vty-linjer för SSH-åtkomst och ange vilken Databas vi ska använda för att tillhandahålla autentisering till enheten. Den lokala databasen på routern kommer att göra bra för det här exemplet.

LabRouter(config)#line VTY 0 4

LabRouter(config-line) # login local

LabRouter(config-line) # transport input ssh

5., Du måste skapa ett konto i den lokala routerns databas som ska användas för autentisering till enheten. Detta kan åstadkommas med dessa kommandon.

LabRouter(config)#username XXXX privilege 15 secret XXXX

finjustera din SSH-konfiguration

Vi har i stort sett slutfört alla steg som behövs för att konfigurera och använda SSH på din router; det finns dock några andra konfigurationer som kan göras för att ytterligare säkra enheten.,

för en, jag rekommenderar starkt att du aktiverar en exec time-out på routern för att förhindra att någon från att få tillgång till enheten i fall du glömde att logga ut eller blev distraherad på grund av en nödsituation. På så sätt loggar routern automatiskt ut dig efter att sessionen har varit inaktiv under en viss tid.

Du måste konfigurera kommandot på linjegränssnittet enligt bilden nedan.,

LabRouter(config)#line VTY 0 4

LabRouter(config-line)# exec-timeout 5

om sessionen har varit inaktiv i 5 minuter kommer routern automatiskt att koppla bort sessionen.

använd access Control Lists (ACL) som ett extra lager av säkerhet.Detta säkerställer att endast enheter med viss IP-adress kan ansluta till routern.

så låt oss säga att IP-subnätet för ditt LAN är 192.168.100.0 / 24, Du skulle skapa en acl för att tillåta endast trafik från det subnätet och tillämpa denna acl på VTY-linjerna.,

sista tips: aktivera SSH2

en annan viktig punkt att notera är användningen av ssh2 i motsats till att använda SSH1. SSH2 förbättras på en hel del av de svagheter som fanns inom SSH1 och därför rekommenderar jag alltid att använda ssh2 där det är möjligt.

Aktivera SSH version 2 med det här kommandot:

LabRouter(config)#line VTY 0 4

LabRouter(config)#ip SSH versopn 2

detaljerad läsning på SSH kan göras på RFC 4251

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *