Безопасность коммутатора: управление и исполнение

Защищённый удалённый доступ

Перед настройкой протокола SSH на коммутаторе нужно настроить уникальное имя узла и соответствующие параметры сетевого подключения.

Шаг 1. Проверка поддержки протокола SSH.

Чтобы проверить, поддерживается ли протокол SSH, используйте команду show ip ssh. Если на коммутаторе работает IOS, не поддерживающая криптографические функции, данная команда не будет распознана.

Шаг 2. Настройка домена IP.

Присвойте имя IP-домену сети с помощью команды режима глобальной конфигурации ip domain-name имя домена. На рис. 1 имя домена назначено как cisco.com.

Шаг 3. Создание пар ключей RSA.

Не во всех версиях IOS по умолчанию используется версия 2 протокола SSH, а версия 1 SSH содержит ряд известных уязвимостей. Для настройки SSH версии 2 выполните команду режима глобальной конфигурации ip ssh version 2. Создание пары ключей RSA автоматически включает протокол SSH. Используйте команду режима глобальной конфигурации crypto key generate rsa, чтобы включить сервер SSH на коммутаторе и сгенерировать пару ключей RSA. При создании ключей RSA администратору требуется ввести длину модуля. Cisco рекомендует минимальный размер модуля 1024 бит (см. пример конфигурации на рис. 1). Более длинный модуль безопаснее, но его создание и использование требует больше времени.

Примечание. Для удаления пары ключей RSA используйте команду режима глобальной конфигурации crypto key zeroize rsa. После удаления пары ключей RSA SSH-сервер автоматически отключается.

Шаг 4. Настройка аутентификации пользователя.

SSH-сервер может аутентифицировать пользователей локально или с помощью сервера аутентификации. Для использования локального метода аутентификации создайте пару «имя пользователя — пароль» с помощью команды режима глобальной конфигурации username имя_пользователя secret password. В этом примере для пользователя admin назначен пароль ccna.

Шаг 5. Настройка каналов vty.

Включите протокол SSH на каналах vty с помощью команды режима конфигурации канала transport input ssh. Диапазон каналов vty коммутатора Catalyst 2960 составляет от 0 до 15. Данная конфигурация предотвращает подключения по протоколам кроме SSH (например Telnet) и разрешает коммутатору принимать подключения только по протоколу SSH. Используйте команду режима глобальной конфигурации line vty, а затем команду режима конфигурации канала login local, чтобы при подключениях SSH требовалась локальная аутентификация из локальной базы данных имён.

Шаг 6. Включите SSH версии 2.

По умолчанию SSH поддерживает обе версии (1 и 2). Если поддерживаются обе версии, результат команды show ip ssh сообщает о поддержке версии 1.99. У версии 1 есть ряд известных уязвимостей. По этой причине рекомендуется включать только версию 2. Включите эту версию SSH, используя команду режима глобальной конфигурации ip ssh version 2.

Для настройки протокола SSH на коммутаторе S1 используйте инструмент проверки синтаксиса (см. рис. 2).