Как настроить SSH на Cisco

Сетевой протокол SSH часто используется для удаленного управления маршрутизаторами и коммутаторами Cisco. Протокол SSH, в отличие от telnet, осуществляет шифрование всей информации, в том числе передаваемых паролей. В статье будет рассмотрена настройка SSH сервера на оборудовании Cisco, позволяющего осуществлять безопасное удаленное управление устройствами.

Настройка SSH на Cisco. Обязательные параметры.

Для включения SSH в Cisco IOS необходимо выполнить следующие 5 обязательных шагов.

1. Задать имя устройства при помощи команды hostname
(config)#hostname sw01
2. Задать имя пользователя и пароль
(config)#username Admin1 secret 5 $1$ukk...
3. Настроить DNS домен при помощи команды ip domain-name
(config)#ip domain-name domain.ru
4. Сгенерировать RSA ключ для использования SSH на устройстве.

Для этого используется команда

(config)#crypto key generate rsa

Проверить ключ можно при помощи команды:

#show crypto key mypubkey rsa

При наличии ключа, будет отображено его имя и дата создания:

% Key pair was generated at: 00:07:18 YEKT Jul 31 2014
Key name: sw01.domain.ru
Usage: Encryption Key
Key Data:
xxxxxxxx xxxxxxxx xxxxxxxx ...
5. Разрешить поддержку SSH для виртуального терминала
(config)#line vty 0 4
(config-line)#transport input ssh
(config-line)#login local (если не используется aaa new-model в пункте 2)


Настройка SSH на Cisco. Необязательные параметры.

При настройке SSH сервера на Cisco я, обычно, задаю следующие необязательные параметры.

1. Версия протокола SSH.

Используем 2-ю версию.

(config)#ip ssh version 2
2. Количество попыток аутентификации

Ограничение количества попыток аутентификации используется для предоствращения перебора пароля

(config)#ip ssh authentication-retries 2
3. Логирование событий протокола SSH
(config)#ip ssh logging events

При этом в логах можно будет увидеть какие пользователи с каких хостов пытались получить доступ к устройству. 

1w5d: %SSH-5-SSH2_SESSION: SSH2 Session request from 192.168.1.2 (tty = 0) 
using crypto cipher 'aes128-cbc', hmac 'hmac-md5' Succeeded
1w5d: %SSH-5-SSH2_USERAUTH: User 'Admin1' authentication for SSH2 Session
from 192.168.1.2 (tty = 0) using crypto cipher 'aes128-cbc', hmac 'hmac-md5'
Succeeded

Наличие в логах большого количества записей о неуспешной аутентификации либо записей с попыткой аутентификации под несуществующим именем пользователя может говорить о попытках подбора пароля.

1w5d: %SSH-5-SSH2_USERAUTH: User 'User' authentication for SSH2 Session from
192.168.1.2 (tty = 0) using crypto cipher 'aes128-cbc', hmac 'hmac-md5' Failed
4. Изменяю входящий порт SSH сервера на нестандартный.

О том, как сменить входящий порт SSH на Cisco можно подробно прочитать в нашей статье Cisco SSH. Смена порта подключения.

Итак, настройки SSH закончены. Теперь можно скачать Putty с официального сайта и наслаждаться удаленным управлением Cisco!


Проверка настроек SSH на Cisco

Для проверки настроек используем команду show ip ssh, которая отображает статус и версию SSH сервера, а также некоторые параметры аутентификации.

sw01.domain.ru#show ip ssh 
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3

Просмотреть текущие SSH сессии можно командой show ssh, которая отображает версию протокола, статус сессии, имя пользователя и параметры шифрования.

sw01.domain.ru#show ssh
%No SSHv1 server connections running.
Connection Version Mode Encryption Hmac State Username
0 2.0 IN aes128-cbc hmac-md5 Session started Admin1
0 2.0 OUT aes128-cbc hmac-md5 Session started Admin1
1 2.0 IN aes128-cbc hmac-md5 Session started Admin2
1 2.0 OUT aes128-cbc hmac-md5 Session started Admin2


В статье рассмотрен процесс настройки и проверки SSH сервера на коммутаторах и маршрутизаторах Cisco. Приятной работы!

 

Андрей

31.07.2014

Понравилась статья? Поделитесь с друзьями!

Добавить комментарий


Защитный код
Обновить