Cấu hình SSH trên thiết bị mạng Cisco (Router, Switch, Firewall)

Cisco đã triển khai SSH vào trong các thiết bị của mình và như một biện pháp để thay thế Telnet. Việc sử dụng Telnet để truy cập và quản trị các thiết bị là không an toàn, và nhiều thông tin có thể bị đánh cắp và dẫn đến một số nguy hiểm có thể xảy ra đối với hệ thống. Cisco đã bắt đầu quan tâm và triển khai vào các thiết bị với SSH-2. Nhà sản xuất cũng cung cấp SSH-1 bởi IPSec sẽ được triển khai trên phiên bản này và cho phép người quản trị truy cập vào các thiết bị một cách an toàn.

​

Thiết lập SSH tương tự như quá trình cho phép Router sử dụng “digital certificates” (xác thực số) trong IPSec. Trước khi bắt đầu chúng ta phải được xác thực bởi Router. Nó không mất quá 30 phút để chúng ta có thể xử lý được những sự cố liên quan đến việc cấu hình này. Một việc đầu tiên là chúng ta phải tạo ra cặp khoá public/private. Trước khi thực hiện thì chúng ta phải cấu hình Router với domain bằng lệnh sau:

(config)#ip domain-name yourcompany.com
(config)#crypto key generate rsa

Dòng đầu tiên để Router sẽ là thành viên trong domain abccompany.com trong khi dòng thứ hai sẽ bắt đầu tạo ra một cặp khoá public/private. Khi thực hiện, chúng ta sẽ phải khai báo độ dài của cặp khoá mà chúng ta sử dụng. Và buộc chúng phải có cùng độ lớn trên client và trên Router. Độ lớn của các khoá nó sẽ tự động tạo ví dụ như trên Router 4000 series, một khoá 512 bit sẽ được tạo ra trong khoảng 45 giây một lần.

Dưới đây là các câu lệnh để quản trị SSH

(config)#ip time-out 30
(config)#ip ssh authentication-retires 2
(config-line)#transport input ssh

- Dòng đầu tiên giới hạn thời gian khi không được thực hiện trong bao nhiêu phút sẽ bị ngắt kết nối. Chúng ta có thể thiết lập thời gian đó ngắn hơn. Nhưng thiết lập phần này để yên tâm kết nối sẽ vẫn được đảm bảo trong thời gian đủ để giải lao.
- Dòng lệnh thứ hai giới hạn số lần cố gắng xác thực của người dùng.
- Dòng lệnh thứ ba sẽ làm việc với mode VTY, giới hạn các dạng kết nối và cổng VTY nào để nhận các thông tin. Và trong dòng lệnh này ý nhĩa là chỉ cho phép cổng VTY chỉ cho phép các phiên làm việc với SSH.

Lưu ý: chỉ sử dụng được SSH khi IOS của Router có khả năng mã hoá “encryption capable”. Router phải có khả năng về các quá trình truyền tin mã hoá dạng DES hay 3DES. Rất nhiều SSH client có khả năng mã hoá dữ liệu sử dụng các thuật toán mã hoá khác nhau. Nhưng Router Cisco chỉ có thể mã hoá các phiên làm việc SSH sử dụng DES và 3DES.

Kết luận

Các ứng dụng sử dụng giao thức SSH hoạt động tốt và có tính bảo mật cao. Một ưu điểm khác nữa là hầu hết chúng đều miễn phí nên rất thuận tiện để có được một hệ thống bảo mật với SSH. Có rất nhiều các phần mềm client và server khác nhau đều hỗ trợ tốt cho các hệ điều hành hiện đang được sử dụng rộng rãi như Window, Linux, Macintosh.

Chúc các bạn thành công!

Bài viết liên quan:

- Bảo vệ các dòng Telnet VTY cho thiết bị Cisco (Switch, Router, Firewall)

 

Các bước cấu hình SSH trên Cisco Router. Có 6 bước, chi tiết các bước như sau:

B1 : Tạo Username và Password
TGMdemo#config terminal
Enter configuration commands, one per line. End with CNTL/Z.
TGMdemo(config)#username cisco password Cisco

​

B2 : Cấu hình thông số ip domain-name.
Trên các thiết bị Cisco, mặc định sử dụng thuật toán RSA (Rivest Shamir Aldeman) để mã hóa dữ liệu. Thuật toán RSA đòi hỏi phải có 2 thông tin : hostname, ip domain-name
TGMdemo(config)# ip domain-name thegioimang.vn

B3 : Tạo ra cặp khóa "Public/ Private" để mã hóa dữ liệu
TGMdemo(config)# crypto key generate rsa ?
(mặc định 512, tối đa 2048)
TGMdemo(config)#crypto key generate ?
rsa Generate RSA keys
<cr>
TGMdemo(config)#crypto key generate rsa ?
general-keys Generate a general purpose RSA key pair for signing and encryption usage-keys Generate separate RSA key pairs for signing and encryption
<cr>
TGMdemo(config)#crypto key generate rsa gnereneral
TGMdemo(config)#crypto key generate rsa general-keys ?
exportable Allow the key to be exported label Provide a label
modulus Provide number of modulus bits on the command line
<cr>
TGMdemo(config)#crypto key generate rsa general-keys modulus 1024
The name for the keys will be: TGMdemo.thegioimang.vn
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys ...[OK]
TGMdemo(config)#

B4 : Cấu hình SSH Version 2
TGMdemo (config)# ip ssh version 2
(riêng version 1.99 tương thích với mọi version SSH khác)

B5 : Cấu hình các thông số tùy chọn khác
TGMdemo (config)# ip ssh authentication-retries 2
(Số lần cho phép thử nhập Username và Password sai)
TGMdemo (config)# ip ssh time-out 120
(thời gian chờ để nhập Username và Password)

B6 : Cấu hình cho phép các line vty chạy ssh
TGMdemo(config)#line vty 0 15
TGMdemo(config-line)#transport input ssh
TGMdemo(config-line)#login
Cài đặt chương trình Putty làm ssh client

Sau đó chạy chương trình Putty

Nhập vào username và password đã khai báo trên Router Cisco. Lúc này ta có thể cấu hình thiết bị từ xa một cách an toàn thay cho telnet truyền thống kém an toàn thường sử dụng.

Bài viết liên quan:

- Bảo vệ các dòng Telnet VTY cho thiết bị Cisco (Switch, Router, Firewall)

 

Bài viết chi tiết và dễ hiểu. Cám ơn