Kapcsolók védelme - Felügyelet és megvalósítás

Biztonságos távoli hozzáférés

Az SSH konfigurálása előtt a kapcsolónak rendelkeznie kell egyedi eszköznévvel és megfelelő hálózati beállításokkal.

1. Az SSH támogatás ellenőrzése.

A show ip ssh paranccsal lehet ellenőrizni a kapcsoló SSH-támogatását. Ha a kapcsoló nem kriptográfiai IOS-t futtat, akkor ezt a parancsot az eszköz nem fogja felismerni.

2. Az IP-tartománynév beállítása.

A hálózat IP-tartománynevének beállítására használjuk az ip domain-name tartománynév globális konfigurációs parancsot. Az 1. ábrán a tartománynév értéke cisco.com..

3. RSA-kulcspár generálása.

Az RSA-kulcspár generálása automatikusan engedélyezi az SSH-t. A crypto key generate rsa globális konfigurációs paranccsal engedélyezhetjük a kapcsolón az SSH-t, és egyben RSA-kulcspárt is generálhatunk. Az RSA-kulcsok létrehozásakor a rendszergazdának meg kell adni a használni kívánt modulus hosszúságot. A Cisco javaslata szerint legalább 1024 bit hosszúságúnak kell lennie a modulusnak (lásd az 1. ábrán látható mintát). Hosszabb modulus használata sokkal biztonságosabb, de egyben hosszabb ideig is tart a kulcs előállítása és használata.

MEGJEGYZÉS: az RSA-kulcspár törléséhez használjuk a crypto key zeroize rsa globális konfigurációs parancsot. Miután az RSA-kulcspár törlésre kerül, az SSH-szerver automatikusan kikapcsol.

4. Felhasználói hitelesítés beállítása.

Az SSH-szerver hitelesítheti a felhasználókat helyi adatbázis vagy hitelesítési szerver segítségével. A helyi adatbázisból történő hitelesítéshez meg kell adnunk egy felhasználónevet és jelszót a username felhasználónév secret jelszó globális konfigurációs paranccsal. A példában a felhasználó admin és a hozzárendelt jelszó a ccna..

5. A VTY-vonalak beállítása.

Az SSH-protokoll VTY-vonalon történő engedélyezéséhez használjuk a transport input ssh vonali konfigurációs parancsot. A Catalyst 2960 VTY-vonalai a 0-15 értéktartományba esnek . Ez a beállítás megakadályozza a nem SSH (például Telnet) kapcsolatokat, és egyedüli felügyeleti protokollnak az SSH-t engedélyezi. Használjuk a line vty globális konfigurációs parancsot, majd a login local vonali konfigurációs utasítást a helyi hitelesítési adatbázis használatához.

A 2. ábrán található parancsszimulátorban gyakorolhatjuk az S1 kapcsoló SSH-támogatásának beállítását.