Криптотрейдинг: прибыльная торговля криптовалютой.
Июн 11, 2019
53 Views
Комментарии к записи Как настроить SSH (Secure Shell) для удаленного входа на маршрутизаторе Cisco отключены

Как настроить SSH (Secure Shell) для удаленного входа на маршрутизаторе Cisco

Written by
Биткоин: краткое руководство

До ввода SSH в Cisco IOS единственным протоколом удаленного входа был Telnet. Telnet, хотя и достаточно функциональный, является небезопасным протоколом, в котором весь сеанс, включая аутентификацию, является разборчивым и, следовательно, может быть услышан.

SSH — это и протокол, и приложение, которое заменяет Telnet и обеспечивает зашифрованное соединение для удаленного администрирования сетевого устройства Cisco, такого как маршрутизатор, коммутатор или устройство безопасности.

Система Cisco IOS включает в себя как сервер SSH, так и клиент SSH. Этот документ относится только к конфигурации компонента сервера SSH.

Предпосылки

программное обеспечение

Для компонента сервера SSH требуется, чтобы на маршрутизаторе было установлено криптографическое программное обеспечение IPSec (DES или 3DES) с Cisco IOS версии 12.1 (1) T или более поздней. Образы расширенных IP-сервисов содержат компонент IPSec. Этот документ был написан с использованием c2800nm-advipservicesk9-mz.123-14.T5.bin.

Начальная конфигурация

Вы должны настроить имя хоста и имя домена на маршрутизаторе. Например:

№ роутера

маршрутизатор # конф

Введите команды конфигурации, по одной на строку. Завершить на CNTL / Z.

router01 (config) # имя_хоста router01

router01 (config) #ip domain-domain.local

Вы также должны сгенерировать пару ключей RSA для своего маршрутизатора, который автоматически включает SSH. В следующем примере обратите внимание на имя пары ключей для комбинации имени хоста и имени домена, которые были предварительно настроены. Модуль представляет длину ключа. Cisco рекомендует минимальную длину ключа 1024 бит (даже если длина ключа по умолчанию составляет 512 бит):

router01 (config) #

router01 (config) # ключ шифрования генерирует RSA

Имя ключа будет: router01.domain.local

Выберите размер ключевого модуля в диапазоне от 360 до 2048 для универсальных ключей. Выбор модуля ключа больше 512 может занять несколько минут.

Сколько бит в модуле [512]1024

% Генерация 1024-битных ключей RSA …[OK]

Наконец, вы должны либо использовать сервер AAA, такой как сервер RADIUS или TACACS +, либо создать локальную базу данных пользователей для аутентификации удаленных пользователей и включения аутентификации на терминальных линиях. Для целей этого документа мы создадим локальную базу данных пользователей на маршрутизаторе. В следующем примере пользователь «donc» был создан с уровнем привилегий 15 (максимально допустимым) и получил зашифрованный пароль «p @ ss5678». (Команда «secret», за которой следует «0», указывает маршрутизатору зашифровать следующий пароль в виде открытого текста. В конфигурации маршрутизатора пароль не будет удобочитаемым.) Мы также использовали режим конфигурации линии, чтобы указать маршрутизатору использовать его локальную базу данных. Пользователи для аутентификации (локальный логин) на терминальных линиях 0-4.

router01 (config) # имя пользователя донк привилегия 15 секрет 0 p @ ss5678

router01 (config) #line vty 0 4

router01 (config-line) #login local

Включение SSH

Чтобы включить SSH, вы должны указать маршрутизатору, чья пара ключей используется. При желании вы можете настроить версию SSH (по умолчанию, версия 1 SSH), значения времени ожидания аутентификации и некоторые другие параметры. Следующий пример указывает маршрутизатору использовать ранее созданную пару ключей и использовать SSH версии 2:

router01 (config) #

router01 (config) #ip ssh версия 2

router01 (config) #ip ssh rsa имя пары ключей router01.domain.local

Теперь вы можете безопасно войти в маршрутизатор с помощью клиента SSH, такого как TeraTerm.

Просмотр конфигураций и соединений SSH

Вы можете использовать команды привилегий «see ssh» и «look ip ssh» для отображения конфигураций и соединений SSH (если они существуют). В следующем примере конфигурация SSHv1 от маршрутизатора Cisco 871 проверяется с использованием «show ip ssh», а одиночное соединение SSHv1 отображается с помощью команды «show ssh». Обратите внимание, что мы не включили SSHv2 на этом маршрутизаторе, поэтому по умолчанию это был SSH версии 1.99. Также обратите внимание на вывод команды «show ssh», что SSH версии 1 по умолчанию использует 3DES. SSHv2 поддерживает AES, более надежную и эффективную технологию шифрования. SSHv2 также не подвержен тем же уязвимостям безопасности, что и SSHv1. Наилучшая практика рекомендует использовать SSHv2 и отключить SSHv1. Включение SSHv2 отключает SSHv1. Этот пример включен только для демонстрации обратной совместимости:

router04 #

router04 # show ip ssh

SSH включен — версия 1.99

Тайм-аут аутентификации: 120 секунд; Повторная аутентификация: 3

router04 #

router04 # show ssh

Версия соединения Статус шифрования Имя пользователя

2 1.5 Запуск донецкого сеанса 3DES

% Нет соединения с сервером SSHv2.

router04 #

Вы также можете использовать команду «debug ip ssh» для решения проблем с конфигурациями SSH.

Copyright (c) 2008 Дон Р. Кроули

Article Categories:
Криптовалюта
Как устроен блокчейн

Comments are closed.