niedziela, 8 listopada 2015

ICDN 1 - Zabezpieczenie dostępu do switch'a 2960 SSH cz.11

Opisywany w poprzednich wpisach telnet jest prostym sposobem do podłączenia się do urządzenia, natomiast nie jest on praktycznie w żaden sposób zabezpieczony przed podsłuchem w sieci.
Dlatego też warto wykorzystać do podłączenia SSH, czyli bezpieczne przesyłanie np. haseł w sposób zaszyfrowany.

Tak jak w przypadku Telnetu wykorzystamy Putty, ponieważ pozwala on na użycie SSH.
W przypadku Telnetu potrzebne było jedynie hasło, aby zalogować się do konsoli, w przypadku SSH potrzebujemy również nazwy użytkownika.





1.Konfiguracja SSH

Przechodzimy do konsoli do trybu konfiguracji globalnej.

S2960>enable
S2960#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
S2960(config)#username beadmin password TajneHaslo_ssh

S2960(config)#

Następnym krokiem jest skonfigurowanie domeny, w której urządzenie jest używane. Ta konfiguracja potrzebna jest wygenerowania certyfikatu, który będzie ufał urządzeniu.

S2960(config)# ip domain-name beadmin.com


Po skonfigurowaniu domeny musimy wygenerować klucze prywatny oraz publiczny.
Dla większego bezpieczeństwa wpiszemy 1024 zamiast 512 bitów przy generowaniu klucza.

S2960(config)# crypto key generate rsa

The name for the keys will be: S2960.beadmin.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.


How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Teraz wybierzemy wersję SSH. Do wyboru mamy v1 oraz v2 - wybierzemy nowszą v2.

S2960(config)# ip ssh version 2
*mar 1 0:29:30.311: %SSH-5-ENABLED: SSH 1.99 has been enabled

Teraz wymusimy logowanie tylko za pomocą SSH.

S2960(config)#line vty 0 1
S2960(config-line)#transport input ssh
S2960(config-line)#login local








Brak komentarzy:

Prześlij komentarz