Zdalny dostęp poprzez SSH
Zwyczajowo zdalne zarządzanie urządzeniami odbywało się przez Telnet. Telnet nie jest bezpieczny. Dane zawarte w pakiecie telnet są nadawane w postaci niezaszyfrowanej. Korzystanie z narzędzia takich jak Wireshark, umożliwia wytropienie sesji telnet i uzyskanie informacji dotyczącej hasła. Z tego powodu zaleca się, aby uruchomić SSH jako narzędzie do bezpiecznego zdalnego dostępu. Skonfigurowanie urządzenia Cisco aby wykorzystywało ssh wymaga czterech kroków, tak jak pokazano na rysunku.
Krok 1. Upewnij się, że router ma unikalną nazwę hosta, a następnie skonfiguruj nazwę domeny za pomocą polecenia ip domain-name domain-name w trybie konfiguracji globalnej.
Krok 2. Do szyfrowania ruchu SSH muszą zostać wygenerowane przez router klucze jednokierunkowe. Klucze są tym, co rzeczywiście jest używane do szyfrowania i deszyfrowania danych. Aby utworzyć klucz szyfrowania, należy użyć polecenia crypto key generate rsa general-keys modulus modulus-size w trybie konfiguracji globalnej. Szczególne znaczenie różnych parametrów tego polecenia jest złożone i wykracza poza zakres tego kursu, ale warto zapamiętać, że moduł określa rozmiar klucza i może być skonfigurowany w przedziale od 360 bitów do 2048 bitów. Im większy moduł tym bardziej bezpieczny jest klucz, ale dłużej trwa szyfrowanie i deszyfrowanie informacji. Minimalna zalecana długość modułu to 1024 bity.
Router(config)# crypto key generate rsa general-keys modulus 1024
Krok 3. Utworzenie lokalnej bazy danych użytkowników przy pomocy polecenia username name secret secret w trybie konfiguracji globalnej.
Krok 4. Włącz obsługę sesji SSH za pomocą następujących poleceń w trybie konfiguracji terminali VTY: login local i transport input ssh.
Usługa SSH na routerze jest teraz dostępna za pomocą klienta SSH.