راه اندازی SSH در Cisco



راه اندازی SSH در Cisco


برگرفته از سایت عصر اراد  :

جهت کنترل و تنظیم روتر و یا سوئیچ های شرکت Cisco  به استفاده از پروتکل مدیریتی نیاز داریم. مدیران شبکه اغلب از پروتکل Telnet  جهت مدیریت از راه دور روتر و سوئیچ های Cisco  استفاده می کنند. نقص عمده Telnet  در انتقال اطلاعات به صورت Clear-Text  می باشد. این نقص به یک Attacker  اجازه شنود تمامی اطلاعات جابه جا شده بین دستگاه مدیر شبکه و دستگاه مدیریت شده را می دهد. بدین ترتیب اگر از پروتکل Telnet  استفاده کنید، خروجی #show run و در واقع تنضیمات کامل روتر و سوئیچ شما و حتی کلمه عبور مدیر دستگاه توسط یک نرم افزار  Sniffer قابل شنود است.

راه حل این مشکل استفاده از پروتکل Secure Shell (SSH) است که تمامی اطلاعات بین دستگاه مدیر شبکه و روتر یا سوئیچ به صورت Encrypt شده منتقل می شود. پروتکل SSH با استفاده از ساختار PKI کار می کند. در این روش اطلاعات با استفاده از Public Key و Private Key روتر و سوئیچ Encrypt  می شود.

قبل از راه اندازی SSH می بایست از نسخه IOS ، سیستم عامل روتر و سوئیچ های سیسکو ، اطمینان حاصل کنیم. در واقع،IOS می بایست سیستم Encryption مورد نیاز SSH را پشتیبانی کند. اگر K9 در اسم فایل IOS  موجود باشد، شما قادر به راه اندازی SSH  می باشید.

برای کنترل نسخه IOS مورد استفاده بروی روتر یا سوئیچ از دستور #show version استفاده کنید.

alt

برای راه اندازی SSH، روتر یا سوئیچ شما نیاز به تنظیم  Host Name و Domain Name دارد. جهت انجام این تنظیمات از دستورhostname  و ip domain-name استفاده کنید. در این مثال از دستورهای زیر استفاده شده:

alt

 

config)#hostname Arad-Router)

config)#ip domain-name AsreArad.com)

 

بر خلاف پروتکل Telnet، برای راه اندازی SSH نیاز  به  ساختن  یک User Account  بروی  روتر یا سوئیچ  داریم. برای این کار می توانید از دستور username در IOS سیسکو استفاده کنید. در این مثال از دستور زیر برای ساختن کاربر با نام admin و بالاترین سطح دسترسی (سطح 15) و کلمه عبور P@ssw0rd استفاده شده:

ssh3


(config)#username admin privilege 15 secret P@ssw0rd
 

همانطور که قبلاٌ اشاره شد، SSH برای encrypt کردن ارتباط نیاز به یک کلید دارد. این کلید بوسیله روتر یا سوئیچ شما تولید و استفاده می شود. برای این کار می توانید از دستور crypto key generate rsa استفاده کرد. طول  کلید  تولید  شده  می تواند از 360 تا4096  بیت متغیر باشد. هر چه طول کلید بیشتر باشد، امنیت بالاتر ولی Load بروی دستگاه بیشتر خواهد بود. به صورت پیش فرض 512 بیت انتخاب می شود. در این مثال از دستور زیر استفاده شده و طول کلید 1024 بیت انتخاب شده:

alt


(config)# Crypto key generate rsa

 

لاین vty در واقع درگاه مجازی برای ارتباطات مدیریتی روتر یا سوئیچ می باشد. پروتکل  Telnetبه صورت پیش فرض بروی این درگاه تنظیم شده است. برای راه اندازی SSH می بایست این پروتکل را جایگزین Telnet کنیم و authentication جهت اتصال را به Local Database روتر یا سوئیچ که یک user account بروی آن ساختیم ارجاء دهیم. در این مثال از دستورهای زیر استفاده شده:

ssh5


(config)#line vty 0 4
(config-line)#transport input ssh
(config-line)#login local

 

در مرحله نهایی راه اندازی SSH بروی روتر یا سوئیچ، برای بالا بردن امنیت لازم است که نسخه SSH را به نسخه 2 ارتقاء دهیم. برای ارتقاء نسخه SSH میتوان از دستور ip ssh version 2 استفاده کرد. لازم به ذکر است برای راه اندازی نسخه 2 SSH حداقل طول کلید را باید 768 بیت انتخاب کرده باشید. در این مثال از دستور زیر استفاده شده:

ssh6


(config)#ip ssh version 2

 

پس از راه اندازی سرویس SSH، حال می بایست از یک SSH Client جهت اتصال به روتر یا سوئیچ سیسکو استفاده کرد.PuTTY یکی از نرم افزارهایی است که می توان از آن بعنوان SSH Client استفاده کرد. پس از نصب نرم افزار PuTTY، کافیست تا آن را اجرا کنید و در قسمت Host Name(or IP address)  آدرس IP روتر یا سوئیچ خود را وارد کنید. مطمئن شوید که در قسمت Connection Type، گزینه SSH را انتخاب شده است. بروی دکمهOpen  کلیک کنید تا ارتباط SSH برقرار شود.

  
 

ssh7


(http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html)

در حین برقراری ارتباط ممکن است پیغام امنیتی زیر را از سیستم دریافت کنید. دلیل آن عدم ثبت کلید مورد استفاده توسطSSH بروی سیستم شما می باشد. دکمه Yes را زده و به ارتباط ادامه دهید.

ssh8

 

پس از برقراری ارتباط و قبل از اتصال کامل به IOS می بایست با شناسه کاربری ساخته شده به روتر یا سوئیچ Login کنید.

ssh9
نظرات 0 + ارسال نظر
برای نمایش آواتار خود در این وبلاگ در سایت Gravatar.com ثبت نام کنید. (راهنما)
ایمیل شما بعد از ثبت نمایش داده نخواهد شد