Cisco路由器的SSH配置詳解.doc

Cisco路由器的SSH配置詳解2008-06-18 13:04如果你一直利用Telnet控制網(wǎng)絡(luò)設(shè)備，你可以考慮采用其他更安全的方式。本文告訴你如何用SSH替換Telnet.使用Telnet這個(gè)用來訪問遠(yuǎn)程計(jì)算機(jī)的TCP/IP協(xié)議以控制你的網(wǎng)絡(luò)設(shè)備相當(dāng)于在離開某個(gè)建筑時(shí)大喊你的用戶名和口令。很快地，會(huì)有人進(jìn)行監(jiān)聽，并且他們會(huì)利用你安全意識(shí)的缺乏。SSH是替代Telnet和其他遠(yuǎn)程控制臺(tái)管理應(yīng)用程序的行業(yè)標(biāo)準(zhǔn)。SSH命令是加密的并以幾種方式進(jìn)行保密。在使用SSH的時(shí)候，一個(gè)數(shù)字證書將認(rèn)證客戶端（你的工作站）和服務(wù)器（你的網(wǎng)絡(luò)設(shè)備）之間的連接，并加密受保護(hù)的口令。SSH1使用RSA加密密鑰，SSH2使用數(shù)字簽名算法（DSA）密鑰保護(hù)連接和認(rèn)證。加密算法包括Blowfish，數(shù)據(jù)加密標(biāo)準(zhǔn)（DES），以及三重DES（3DES）。SSH保護(hù)并且有助于防止欺騙，“中間人”攻擊，以及數(shù)據(jù)包監(jiān)聽。實(shí)施SSH的第一步是驗(yàn)證你的設(shè)備支持SSH.請(qǐng)登錄你的路由器或交換機(jī)，并確定你是否加載了一個(gè)支持SSH的IPSec IOS鏡像。在我們的例子中，我們將使用Cisco IOS命令。運(yùn)行下面的命令：Router Show flash該命令顯示已加載的IOS鏡像名稱。你可以用結(jié)果對(duì)比你的供應(yīng)商的支持特性列表。在你驗(yàn)證了你的設(shè)備支持SSH之后，請(qǐng)確保設(shè)備擁有一個(gè)主機(jī)名和配置正確的主機(jī)域，就像下面的一樣：Router config terminalRouter (config)# hostname RouterRouter (config)# ip domain-name BluS在這個(gè)時(shí)候，你就可以啟用路由器上的SSH服務(wù)器。要啟用SSH服務(wù)器，你首先必須利用下面的命令產(chǎn)生一對(duì)RSA密鑰：Router (config)# crypto key generate rsa在路由器上產(chǎn)生一對(duì)RSA密鑰就會(huì)自動(dòng)啟用SSH.如果你刪除這對(duì)RSA密鑰，就會(huì)自動(dòng)禁用該SSH服務(wù)器。實(shí)施SSH的最后一步是啟用認(rèn)證，授權(quán)和審計(jì)（AAA）。在你配置AAA的時(shí)候，請(qǐng)指定用戶名和口令，會(huì)話超時(shí)時(shí)間，一個(gè)連接允許的嘗試次數(shù)。像下面這樣使用命令：Router (config)# aaa new-modelRouter (config)# username BluShin password p4ssw0rdRouter (config)# ip ssh time-outRouter (config)# ip ssh authentication-retries要驗(yàn)證你已經(jīng)配置了SSH并且它正運(yùn)行在你的路由器上，執(zhí)行下面的命令：Router# show ip ssh在驗(yàn)證了配置之后，你就可以強(qiáng)制那些你在AAA配置過程中添加的用戶使用SSH，而不是Telnet.你也可以在虛擬終端（vty）連接中應(yīng)用SSH而實(shí)現(xiàn)同樣的目的。這里給出一個(gè)例子：Router (config)# line vty 0 4Router (config-line)# transport input SSH在你關(guān)閉現(xiàn)存的Telnet會(huì)話之前，你需要一個(gè)SSH終端客戶端程序以測試你的配置。我極力推薦PuTTY；它是免費(fèi)的，而且它是一個(gè)優(yōu)秀的終端軟件。IOS設(shè)備配置實(shí)例Native IOS設(shè)備的配置a） 軟件需求IOS版本12.0.（10）S 以上 含IPSEC 56 Feature推薦使用 IOS 12.2 IP PLUS IPSEC 56C以上版本基本上Cisco全系列路由器都已支持，但為運(yùn)行指定版本的軟件您可能需要相應(yīng)地進(jìn)行硬件升級(jí)b） 定義用戶user BluShin secret p4ssc） 定義域名ip domain-name BluS /配置SSH必需d） 生成密鑰crypto key generate rsa modulus 2048執(zhí)行結(jié)果：The name for the keys will be: 6509- % The key modulus size is 2048 bits Generating RSA keys . OKe）指定可以用SSH登錄系統(tǒng)的主機(jī)的源IP地址access-list 90 remark Hosts allowed to SSH in /低版本可能不支持remark關(guān)鍵字 access-list 90 permit 00 access-list 90 permit 01f） 限制登錄line con 0 login local line vty 0 4 login local /使用本地定義的用戶名和密碼登錄 transport input SSH /只允許用SSH登錄(注意：禁止telnet和從交換引擎session!) access-class 90 in /只允許指定源主機(jī)登錄2.CatOSCatOS設(shè)備的配置a） 軟件需求運(yùn)行CatOS的6500/4000交換引擎提供SSH服務(wù)需要一個(gè)6.1以上“k9”版本的軟件，如： cat6000-sup2cvk9.7-4-3.bin 和 cat4000-k9.6-3-3a.bin.8540/8510交換機(jī)支持SSH需要以上12.1（12c）EY版本軟件。3550交換機(jī)支持SSH需要12.1（11）EA1以上版本軟件。其他交換機(jī)可能不支持SSH.b） 生成密鑰set crypto key rsa 2048密鑰的生成需要1-2分鐘，執(zhí)行完畢后可用命令show crypto key查看生成的密鑰。c） 限制管理工作站地址set ip permit 00 ssh /只允許使用SSH登錄的工作站 set ip permit 01 ssh set ip permit enable ssh /檢查SSH連接的源地址 set ip permit enable telnet /檢查telnet連接的源地址 set ip permit enable snmp /檢查snmp請(qǐng)求的源地址如果服務(wù)的ip permit 處于disable狀態(tài)，所有的連接將被允許（當(dāng)然服務(wù)如telnet本身可能包含用戶認(rèn)證機(jī)制）。如果指定服務(wù)的ip permit 處于enable狀態(tài)，則管理工作站的地址必須事先用set ip permit 可選的子網(wǎng)掩碼 允許使用的服務(wù)類型（ssh/telnet/snmp）來定義可用命令 show ip permit 來檢查ip permit 的配置某些服務(wù)可能存在安全漏洞（如http）或協(xié)議本身設(shè)計(jì)就是比較不安全的（如snmp、telnet）。如果服務(wù)不是必要的，可以將之關(guān)閉；如果服務(wù)是必須的，應(yīng)采取措施保證這些服務(wù)僅向合法用戶提供：6500/4000交換引擎：set ip http server disable /關(guān)閉http服務(wù) set ip permit enable snmp /限制SNMP源地址 set snmp comm. read-only /清空預(yù)設(shè)的SNMP COMM字 set snmp comm. read-write set snmp comm. read-write-all8500、7500、MSFC等IOS設(shè)備：no ip http server /關(guān)閉http服務(wù) no snmp /關(guān)閉snmp服務(wù) no service dhcp /關(guān)閉 dhcp 服務(wù) no ip finger /關(guān)閉 finger 服務(wù) no service tcp-small-server /關(guān)閉tcp基本服務(wù) no service udp-small-server /關(guān)閉 udp基本服務(wù) service password-encryption /啟用明文密碼加密服務(wù)SSH 客戶端a） 從管理工作站登錄必須使用支持SSH v1協(xié)議的終端仿真程序才能使用SSH協(xié)議管理設(shè)備，推薦使用Secure CRT 3.3， 也可以使用免費(fèi)軟件putty.下面介紹使用Secure CRT登錄SSH設(shè)備的方法：運(yùn)行Secure CRT程序，選擇菜單File Quick Connect設(shè)置以下參數(shù)：Protocol（協(xié)議）： ssh1 Hostname（主機(jī)名）： Port（端口）： 22 Username（用戶名）： mize Ciper（加密方法）： 3DES Authentication（認(rèn)證方式）assword 點(diǎn)擊Connect，這時(shí)可能會(huì)提示您接受來自設(shè)備的加密公鑰，選擇Accept once（只用一次）或Accept & Save （保存密鑰以便下次使用）。由于協(xié)議實(shí)現(xiàn)的問題，可能會(huì)碰到SSH Buffer Overflow的問題，如果出現(xiàn)“收到大于16k的密鑰”的提示，請(qǐng)重新連接。連接正常，輸入密碼即可登錄到系統(tǒng)。第二次登錄點(diǎn)擊File Connect 點(diǎn)擊連接即可。b） 從IOS設(shè)備用SSH協(xié)議登錄其他設(shè)備IOS設(shè)備也可以發(fā)起SSH連接請(qǐng)求（作為SSH Client），從IO