Immagina di essere un amministratore di rete in una grande organizzazione con numero di switch e router. Per configurare uno switch o un router in una posizione lontana, ci sono due opzioni. Uno è quello di avvicinarsi allo switch o al router per configurarlo.
Questo sembra buono, ma immagina quanto sia difficile avvicinarsi a ogni dispositivo per configurarlo. La seconda e semplice opzione è la configurazione remota dello switch o del router.
La configurazione remota di uno switch / router può essere eseguita utilizzando i protocolli telnet o ssh. Ma l'uso di telnet ha uno svantaggio. Invia i dati in testo semplice. Quindi, se ti capita di digitare un nome utente e una password per l'autenticazione con lo switch da una posizione remota, verrà passato in testo normale e chiunque annusi sulla rete può facilmente scoprire le tue credenziali di accesso. Questo è un grosso rischio per la sicurezza. Per ovviare a questo problema, dovremmo usare il protocollo ssh per la configurazione remota dello switch o del router. Il protocollo SSH è uguale a telnet ma utilizza la crittografia durante la comunicazione. Ciò rende difficile per gli hacker rilevare le credenziali. Vediamo come abilitare ssh su router e switch Cisco usando IOS.
Qui sto usando un router.
Il comando "conf t" abilita la modalità di configurazione globale dello switch o del router. Il comando "hostname R1" cambia il nome predefinito del router in R1. Il nome del router viene utilizzato per generare nomi per le chiavi dal protocollo ssh. Quindi è necessario modificare il nome predefinito del router. Il comando "ip domain-name ccnav6.com" imposta il nome dominio per il router. Il nome di dominio è necessario anche per l'impostazione del nome per le chiavi di crittografia. (ccnav6.com è un nome di dominio fittizio che ho usato. Puoi usare il tuo nome di dominio). È tempo di impostare le credenziali di accesso sul router. Il comando "nome utente admin password 123456" imposta rispettivamente nome utente e password su admin e 123456. La "linea vty 0 15" il comando seleziona le linee vty da 0 a 15 per la configurazione della linea.
Il comando "login local" imposta l'accesso al router locale. Il comando "exit" ci porta dalla modalità di configurazione della linea alla modalità di configurazione globale. è tempo di generare chiavi ssh.
Il comando "crypto key generate rsa" genera le chiavi crittografiche usando l'algoritmo Rivest Shamir Adlemann. Ti verrà richiesto di inserire il numero di bit nel modulo. Impostarlo troppo basso sarà troppo facile da decifrare. Impostarlo troppo alto richiederà tempo. L'ho impostato su 1024. Vediamo le informazioni sul protocollo ssh che abbiamo abilitato sul router.
Il comando "show ip ssh" fa questo. Il motivo per anteporre questo comando a "do" è che "show ip ssh" è un comando di modalità exec privilegiato e non può essere eseguito in modalità di configurazione globale. Dalle informazioni visualizzate possiamo anche vedere che il timeout di autenticazione è stato impostato su 120 secondi e che i tentativi di autenticazione sono impostati su tre. Cambiamoli. Il comando "ip ssh time-out 60" cambia il timeout di autenticazione a 60 secondi. Il comando "ip ssh authentication-retries" viene utilizzato per modificare i tentativi di autenticazione. Infine dovremo impostare ssh come protocollo di trasporto di input su linee di accesso vty.
Il comando "line vty 0 15" seleziona tutte le linee vty. Il comando "trasporto input ssh" imposta ssh come protocollo di trasporto input. Il comando "exit" come già detto ci porta fuori dalla modalità di configurazione della linea. Abbiamo abilitato con successo il protocollo ssh sul nostro router.
Vediamo ancora una volta le informazioni su ssh che abbiamo appena abilitato usando "do show ip ssh" .
