配置SSH協(xié)議的詳細(xì)步驟
由于一些設(shè)備的特別性質(zhì),我們需要單獨(dú)進(jìn)行配置SSH協(xié)議的操作。那么現(xiàn)在我們所介紹的是思科的路由器所涉及的SSH協(xié)議的相關(guān)調(diào)配。那么現(xiàn)在我們分析一下:使用telnet進(jìn)行遠(yuǎn)程設(shè)備維護(hù)的時(shí)候,由于密碼和通訊都是明文的,易受sniffer偵聽(tīng),所以應(yīng)采用SSH替代telnet.SSH (Secure Shell)服務(wù)使用tcp 22 端口,客戶端軟件發(fā)起連接請(qǐng)求后從服務(wù)器接受公鑰,協(xié)商加密方法,成功后所有的通訊都是加密的。Cisco 設(shè)備目前只支持SSH v1,不支持v2.Cisco實(shí)現(xiàn) SSH的目的在于提供較安全的設(shè)備管理連接,不適用于主機(jī)到主機(jī)的通訊加密。Cisco推薦使用IPSEC作為端對(duì)端的通訊加密解決方案。
配置SSH協(xié)議1:
IOS設(shè)備(如6500 MSFC、8500、7500)的配置:
a) 軟件需求
IOS版本12.0.(10)S 以上 含IPSEC 56 Feature
推薦使用 IOS 12.2 IP PLUS IPSEC 56C以上版本
基本上Cisco全系列路由器都已支持,但為運(yùn)行指定版本的軟件您可能需要相應(yīng)地進(jìn)行硬件升級(jí)
b) 定義用戶
user mize pass nnwh@163.net
user sense secret ssn
d) 定義域名
ip domain-name mize.myrice.com //配置SSH必需
e) 生成密鑰
crypto key generate rsa modulus 2048
執(zhí)行結(jié)果:
The name for the keys will be: 6509-mize.myrice.com % The key modulus size is 2048 bits Generating RSA keys ... [OK]
f)指定可以用SSH登錄系統(tǒng)的主機(jī)的源IP地址
access-list 90 remark Hosts allowed toSSHin //低版本可能不支持remark關(guān)鍵字 access-list 90 permit 10.10.1.100 access-list 90 permit 10.10.1.101
g) 限制登錄
line con 0 login local line vty 0 4 login local //使用本地定義的用戶名和密碼登錄 transport inputSSH//只允許用SSH登錄(注意:禁止telnet和從交換引擎session!) access-class 90 in //只允許指定源主機(jī)登錄#p#
配置SSH協(xié)議2:
CatOS(如6500/4000交換引擎)的配置:
a) 軟件需求
運(yùn)行CatOS的6500/4000交換引擎提供SSH服務(wù)需要一個(gè)6.1以上“k9"版本的軟件,如: cat6000-sup2cvk9.7-4-3.bin 和 cat4000-k9.6-3-3a.bin.
8540/8510交換機(jī)支持SSH需要以上12.1(12c)EY版本軟件。
3550交換機(jī)支持SSH需要12.1(11)EA1以上版本軟件。
其他交換機(jī)可能不支持SSH.
b) 生成密鑰
set crypto key rsa 2048
密鑰的生成需要1-2分鐘,執(zhí)行完畢后可用命令show crypto key查看生成的密鑰。
c) 限制管理工作站地址
set ip permit 10.10.1.100SSH//只允許使用SSH登錄的工作站 set ip permit 10.10.1.101SSHset ip permit enableSSH//檢查SSH連接的源地址 set ip permit enable telnet //檢查telnet連接的源地址 set ip permit enable snmp //檢查snmp請(qǐng)求的源地址
如果服務(wù)的ip permit 處于disable狀態(tài),所有的連接將被允許(當(dāng)然服務(wù)如telnet本身可能包含用戶認(rèn)證機(jī)制)。如果指定服務(wù)的ip permit 處于enable狀態(tài),則管理工作站的地址必須事先用set ip permit <管理工作站IP地址> [可選的子網(wǎng)掩碼] [允許使用的服務(wù)類型(SSH/telnet/snmp)]來(lái)定義
可用命令 show ip permit 來(lái)檢查ip permit 的配置
某些服務(wù)可能存在安全漏洞(如http)或協(xié)議本身設(shè)計(jì)就是比較不安全的(如snmp、telnet)。如果服務(wù)不是必要的,可以將之關(guān)閉;如果服務(wù)是必須的,應(yīng)采取措施保證這些服務(wù)僅向合法用戶提供:
6500/4000交換引擎:
set ip http server disable //關(guān)閉http服務(wù) set ip permit enable snmp //限制SNMP源地址 set snmp comm. read-only //清空預(yù)設(shè)的SNMP COMM字 set snmp comm. read-write set snmp comm. read-write-all
8500、7500、MSFC等IOS設(shè)備:
no ip http server //關(guān)閉http服務(wù) no snmp //關(guān)閉snmp服務(wù) no service dhcp //關(guān)閉 dhcp 服務(wù) no ip finger //關(guān)閉 finger 服務(wù) no service tcp-small-server //關(guān)閉tcp基本服務(wù) no service udp-small-server //關(guān)閉 udp基本服務(wù) service password-encryption //啟用明文密碼加密服務(wù)#p#
配置SSH協(xié)議3:
SSH客戶端
a) 從管理工作站登錄
必須使用支持SSH v1協(xié)議的終端仿真程序才能使用SSH協(xié)議管理設(shè)備,推薦使用Secure CRT 3.3, 也可以使用免費(fèi)軟件putty.下面介紹使用Secure CRT登錄SSH設(shè)備的方法:
運(yùn)行Secure CRT程序,選擇菜單File-Quick Connect…,設(shè)置以下參數(shù):
Protocol(協(xié)議): SSH1 Hostname(主機(jī)名): 10.10.1.1 Port(端口): 22 Username(用戶名): mize Ciper(加密方法): 3DES Authentication(認(rèn)證方式)assword 點(diǎn)擊Connect,這時(shí)可能會(huì)提示您接受來(lái)自設(shè)備的加密公鑰,選擇Accept once(只用一次)或Accept & Save (保存密鑰以便下次使用)。由于協(xié)議實(shí)現(xiàn)的問(wèn)題,可能會(huì)碰到SSH Buffer Overflow的問(wèn)題,如果出現(xiàn)“收到大于16k的密鑰"的提示,請(qǐng)重新連接。連接正常,輸入密碼即可登錄到系統(tǒng)。
第二次登錄點(diǎn)擊File-Connect 點(diǎn)擊連接10.10.1.1即可。
b) 從IOS設(shè)備用SSH協(xié)議登錄其他設(shè)備
IOS設(shè)備也可以發(fā)起SSH連接請(qǐng)求(作為SSH Client),從IOS設(shè)備登錄支持3DES的IOS設(shè)備,使用以下命令(-l 指定用戶名):
SSH-l mize 10.10.3.3
從IOS設(shè)備登錄支持 DES(56位)的IOS,使用以下命令(-c des指定1 des加密方式):
SSH-c des-l mize 10.10.5.5
從IOS設(shè)備登錄支持 3DES的CatOS, 如6509/4006的交換引擎,使用如下命令(無(wú)需指定用戶名):
SSH 10.10.6.6#p#
配置SSH協(xié)議4:
限制telnet源地址
對(duì)于未支持SSH 的設(shè)備,可采取限制telnet源地址的方法來(lái)加強(qiáng)安全性。為了不致于增加一個(gè)管理員地址就要把所有的設(shè)備配置修改一遍,可以采用中繼設(shè)備的方法,即受控設(shè)備只允許中繼設(shè)備的telnet訪問(wèn),中繼設(shè)備則允許多個(gè)管理員以較安全的方法(如SSH)登錄。
設(shè)置中繼設(shè)備:
inter lo 0 ip address 10.10.1.100 255.255.255.255 ip telnet source-interface Loopback0 //發(fā)起telnet的源地址
設(shè)置受控設(shè)備:
access-list 91 remark Hosts allowed to TELNET in access-list 91 permit 10.10.1.100 access-list 91 permit 10.10.1.101 line con 0 password xxxxxxxx line vty 0 4 password xxxxxxxx access-class 91 in
