SSH è sia un protocollo che un';applicazione che sostituisce Telnet e fornisce una connessione crittografata per l';amministrazione remota di un dispositivo di rete Cisco come un router, uno switch o un';appliance di sicurezza.
Cisco IOS include sia un server SSH che un client SSH. Questo documento riguarda solo la configurazione del componente server SSH.
Prerequisiti
Software
Il componente server SSH richiede di avere un';immagine del software di crittografia IPSec (DES o 3DES) da Cisco IOS versione 12.1 (1) T o successiva installata sul router. Le immagini dei servizi IP avanzati includono il componente IPSec. Questo documento è stato scritto utilizzando c2800nm-advipservicesk9-mz.123-14.T5.bin.
Configurazione SSH in Cisco Router
Preconfigurazione
È necessario configurare un nome host e un nome di dominio sul router. Per esempio:
router #
router # conf t
Immettere i comandi di configurazione, uno per riga. Termina con CNTL / Z.
router01 (config) #hostname router01
router01 (config) #ip nome-dominio soundtraining.net
È inoltre necessario generare una coppia di chiavi RSA per il router che abilita automaticamente SSH. Nell';esempio seguente, si noti come viene denominata la coppia di chiavi per la combinazione di nome host e nome dominio precedentemente configurati. Il modulo rappresenta la lunghezza della chiave. Cisco consiglia una lunghezza minima della chiave di 1024 bit (anche se la lunghezza della chiave predefinita è 512 bit):
router01 (config) #
router01 (config) #crypto key genera rsa
Il nome per le chiavi sarà: router01.soundtraining.net
Scegli la dimensione del modulo chiave nell';intervallo da 360 a 2048 per i tasti di scelta generale. La scelta di un modulo chiave maggiore di 512 può richiedere alcuni minuti.
Quanti bit nel modulo [512]: 1024
% Generazione di chiavi RSA a 1024 bit ... [OK]
Infine, è necessario utilizzare un server AAA come un server RADIUS o TACACS + o creare un database utente locale per autenticare gli utenti remoti e abilitare l';autenticazione sulle linee del terminale. Ai fini di questo documento, creeremo un database utente locale sul router. Nell';esempio seguente, l';utente :donc: è stato creato con un livello di privilegio di 15 (il massimo consentito) e una password crittografata di :p @ ss5678:. (Il comando :segreto: seguito da :0: indica al router di crittografare la seguente password in chiaro. Nella configurazione in esecuzione del router, la password non sarebbe leggibile dall';uomo.) Abbiamo anche utilizzato la modalità di configurazione della linea per dire al router di usare il suo locale database utente per l';autenticazione (login locale) sulle linee terminali 0-4.
router01 (config) #nomeutente privilegio donc 15 segreto 0 p @ ss5678
router01 (config) #line vty 0 4
router01 (config-line) #login local
Abilitazione di SSH
Per abilitare SSH, devi dire al router quale keypair usare. Facoltativamente, è possibile configurare la versione SSH (che ha come valore predefinito SSH versione 1), i valori di timeout dell';autenticazione e molti altri parametri. Nell';esempio seguente, abbiamo detto al router di utilizzare la keypair precedentemente creata e di usare SSH versione 2:
router01 (config) #
router01 (config) #ip ssh versione 2
router01 (config) #ip ssh rsa keypair-name router01.soundtraining.net
È ora possibile accedere al router in modo sicuro utilizzando un client SSH come TeraTerm.
Visualizzazione di configurazioni e connessioni SSH
È possibile utilizzare i comandi in modalità privilegiata :Visualizza ssh: e :Visualizza ip ssh: per visualizzare le configurazioni e le connessioni SSH (se presenti). Nell';esempio seguente, la configurazione SSHv1 da un router Cisco 871 viene verificata utilizzando :show ip ssh: e viene visualizzata una singola connessione SSHv1 utilizzando il comando :show ssh:. Si noti che non abbiamo abilitato SSHv2 su questo router, quindi è stato impostato su SSH versione 1.99. Si noti inoltre nell';output del comando :show ssh: che SSH versione 1 assume come valore predefinito 3DES. SSHv2 supporta AES, una tecnologia di crittografia più robusta ed efficiente. SSHv2 non è inoltre soggetto agli stessi exploit di sicurezza di SSHv1. soundtraining.net consiglia l';uso di SSHv2 e la disabilitazione di un dropback a SSHv1. Abilitando SSHv2 si disabilita SSHv1. Questo esempio è incluso solo per dimostrare la compatibilità all';indietro:
router04 #
router04 # mostra ip ssh
SSH abilitato - versione 1.99
Timeout autenticazione: 120 secondi; Nuovi tentativi di autenticazione: 3
router04 #
router04 # mostra ssh
Nome utente di stato della crittografia della versione della connessione
2 1.5 Sessione 3DES avviata donc
% Nessuna connessione al server SSHv2 in esecuzione.
router04 #
È inoltre possibile utilizzare il comando :debug ip ssh: per risolvere le configurazioni SSH.