Csco SSH配置使用
http://training.cumt.edu.cn/ciscotechnology/experience/0126.htm
テレネットを使って遠隔設備のメンテナンスを行う時、パスワードと通信はすべて明文で、snifferの聞き込みを受けやすいので、SSHを使ってテレネットに代わるべきです.SSH(Secure Shell)サービスは、tcp 22ポートを使用して、クライアントソフトウェアが接続要求を開始した後、サーバから公開鍵を受け取り、暗号化方法を協議します.成功後、すべての通信は暗号化されます.
Cscoデバイスは現在SSH v 1のみをサポートしており、v 2はサポートされていません.CscoがSSHを実現する目的は、より安全な機器管理接続を提供することであり、ホストからホストへの通信暗号化には適用されない.Cscoは、エンドツーエンドの通信暗号化ソリューションとしてIPSECを使用することを推奨する.
1.IOS装置(6500 MSFC、8500、7500)の構成:
a)ソフトウェアニーズ
IOSバージョン12.0.(10)S以上はIPSEC 56 Featureを含む.
オススメは、IOS 12.2 IP PLUS IPSEC 56 C以上のバージョンです.
基本的にCiccoの全シリーズのルータはサポートされていますが、指定されたバージョンのソフトウェアを実行するためには、ハードウェアのアップグレードが必要かもしれません.
b)ユーザー定義
username mize [email protected]
d)ドメイン名を定義する
ip doman-name mize.myrice.com
e)鍵の生成
crypt key generate rsa modulus 2048
実行結果:
The name for the keys will be:6509-mize.myrice.com
% The key modulus size 2048 BIts
Generanting RSA keys…
[OK]
f)SSHでシステムのホストに登録できるソースIPアドレスを指定します.
access-list 90 remark Hosts allowed to SSH in/低バージョンはremarkキーワードをサポートしていないかもしれません.
access-list 90 permit 10.1.100
access-list 90 permit 10.1.101
g)ログイン制限
LINEコン0
login local
ラインvs 0
login local//ローカル定義のユーザ名とパスワードでログインします.
Transport input SSH//SSHでのログインのみ許可されています.
access-class 90 in/ソースホストのみの登録を許可します.
2.CatOS(6500/4000交換エンジンなど)の構成:
a)ソフトウェアニーズ
CatOSを実行する6500/4000交換エンジンはSSHサービスを提供するために6.1以上の「K 9」バージョンのソフトウェアが必要です.例えば、cat 600-sup 2 cvk 9.7-4-3.binとcat 400-k 9.6-3-3 a.bin.
8540/8510スイッチサポートSSHは以上の12.1(12 c)EYバージョンのソフトウェアが必要です.
3550スイッチはSSHをサポートするために12.1(11)EA 1以上のバージョンのソフトウェアが必要です.
他のスイッチはSSHをサポートしていないかもしれません.
b)鍵の生成
set crypt key rsa 2048
鍵の生成には1~2分かかりますが、実行後はコマンドshow crypt keyで生成した鍵を確認できます.
c)管理ワークステーションの住所を制限する
set ip permit 10.1.100 ssh/SSH登録のみ使用可能なワークステーション
set ip permit 10.1.101 ssh
set ip permit enable ssh/SSH接続のソースアドレスをチェックする
set ip permit enable telnet/Tenet接続のソースアドレスを確認する
set ip permit enable snmp/snmp要求のソースアドレスをチェックします.
サービスのip permitがdisable状態であれば、すべての接続が許可されます(もちろん、サービス自体は、telnetユーザ認証機構を含むことがあります).指定されたサービスのip permitがenable状態である場合、ワークステーションを管理するアドレスは、予めset ip permit<ワークステーションのIPアドレスを管理する>[オプションのサブネットマスク][使用可能なサービスタイプ(ssh/telnet/snmp)]で定義されていなければならない.
ip permitの設定を確認するためにコマンドshow ip permitが使用できます.
いくつかのサービスにはセキュリティ・ホール(httpなど)があるかもしれません.または契約自体は比較的安全ではないです.サービスが必要でない場合は、シャットダウンすることができます.サービスが必要であれば、これらのサービスは合法的なユーザーにのみ提供されることを保証する措置をとるべきである.
3.SSHクライアント
a)管理ワークステーションから登録する
SSH v 1プロトコルをサポートする端末シミュレーションプログラムを使用しなければ、SSHプロトコル管理装置を使用できません.Secure CRT 3.3を使用することを推奨します.無料ソフトウェアputtyも利用できます.Secure CRTを使ってSSHデバイスにログインする方法を紹介します.
Secure CRTプログラムを実行し、メニューFileを選択して、C Quick Connect...以下のパラメータを設定します.Protocol:ssh 1 Hostname(ホスト名):10.1.1 Port(ポート):22 Username(ユーザ名):mize Cper(暗号化方法):3 DS Authentication(認証方式):passwordはConnectをクリックして、デバイスの暗号化を受け付けます.(一回だけ)またはAccept&Save(次の使用のために鍵を保存します.プロトコルが実現されている問題で、SSH Buffer Overflowの問題に遭遇する可能性があります.「16 k以上の鍵を受信しました」というメッセージがあれば、再接続してください.正常に接続すれば、パスワードを入力してシステムにログインできます.
第二回ログインはFileをクリックして、C Connectをクリックして接続10.1.1をクリックすればいいです.
b)IOS設備用SSHプロトコルから他の機器に登録する.
IOS機器は、SSH接続要求(SSH Cientとして)を開始し、IOS機器から3 DS対応のIOS機器に登録し、以下のコマンド(-l指定ユーザ名)を使用してもよい.
ssh�Cl mize 10.3.3
IOSデバイスからDES(56ビット)対応のIOSを登録し、以下のコマンド(-c desで1 des暗号化方式を指定します)を使います.
ssh、Cc des、Cl mize 10.5.5
3 DS対応のCatOSをIOSから登録し、6509/4006の交換エンジンなど、以下のコマンドを使用します.
ssh 10.6.6
4.制限telnetソースの住所
SSHをサポートしていない機器に対しては、インターネットのソースアドレスを制限する方法でセキュリティを強化することができます.管理者の住所を増やさないために、すべての設備の配置を見直し、中継装置の方法、すなわち制御された設備は中継装置のtelnetアクセスだけを許可し、中継装置は複数の管理者がより安全な方法で登録することができる.
テレネットを使って遠隔設備のメンテナンスを行う時、パスワードと通信はすべて明文で、snifferの聞き込みを受けやすいので、SSHを使ってテレネットに代わるべきです.SSH(Secure Shell)サービスは、tcp 22ポートを使用して、クライアントソフトウェアが接続要求を開始した後、サーバから公開鍵を受け取り、暗号化方法を協議します.成功後、すべての通信は暗号化されます.
Cscoデバイスは現在SSH v 1のみをサポートしており、v 2はサポートされていません.CscoがSSHを実現する目的は、より安全な機器管理接続を提供することであり、ホストからホストへの通信暗号化には適用されない.Cscoは、エンドツーエンドの通信暗号化ソリューションとしてIPSECを使用することを推奨する.
1.IOS装置(6500 MSFC、8500、7500)の構成:
a)ソフトウェアニーズ
IOSバージョン12.0.(10)S以上はIPSEC 56 Featureを含む.
オススメは、IOS 12.2 IP PLUS IPSEC 56 C以上のバージョンです.
基本的にCiccoの全シリーズのルータはサポートされていますが、指定されたバージョンのソフトウェアを実行するためには、ハードウェアのアップグレードが必要かもしれません.
b)ユーザー定義
username mize [email protected]
d)ドメイン名を定義する
ip doman-name mize.myrice.com
e)鍵の生成
crypt key generate rsa modulus 2048
実行結果:
The name for the keys will be:6509-mize.myrice.com
% The key modulus size 2048 BIts
Generanting RSA keys…
[OK]
f)SSHでシステムのホストに登録できるソースIPアドレスを指定します.
access-list 90 remark Hosts allowed to SSH in/低バージョンはremarkキーワードをサポートしていないかもしれません.
access-list 90 permit 10.1.100
access-list 90 permit 10.1.101
g)ログイン制限
LINEコン0
login local
ラインvs 0
login local//ローカル定義のユーザ名とパスワードでログインします.
Transport input SSH//SSHでのログインのみ許可されています.
access-class 90 in/ソースホストのみの登録を許可します.
2.CatOS(6500/4000交換エンジンなど)の構成:
a)ソフトウェアニーズ
CatOSを実行する6500/4000交換エンジンはSSHサービスを提供するために6.1以上の「K 9」バージョンのソフトウェアが必要です.例えば、cat 600-sup 2 cvk 9.7-4-3.binとcat 400-k 9.6-3-3 a.bin.
8540/8510スイッチサポートSSHは以上の12.1(12 c)EYバージョンのソフトウェアが必要です.
3550スイッチはSSHをサポートするために12.1(11)EA 1以上のバージョンのソフトウェアが必要です.
他のスイッチはSSHをサポートしていないかもしれません.
b)鍵の生成
set crypt key rsa 2048
鍵の生成には1~2分かかりますが、実行後はコマンドshow crypt keyで生成した鍵を確認できます.
c)管理ワークステーションの住所を制限する
set ip permit 10.1.100 ssh/SSH登録のみ使用可能なワークステーション
set ip permit 10.1.101 ssh
set ip permit enable ssh/SSH接続のソースアドレスをチェックする
set ip permit enable telnet/Tenet接続のソースアドレスを確認する
set ip permit enable snmp/snmp要求のソースアドレスをチェックします.
サービスのip permitがdisable状態であれば、すべての接続が許可されます(もちろん、サービス自体は、telnetユーザ認証機構を含むことがあります).指定されたサービスのip permitがenable状態である場合、ワークステーションを管理するアドレスは、予めset ip permit<ワークステーションのIPアドレスを管理する>[オプションのサブネットマスク][使用可能なサービスタイプ(ssh/telnet/snmp)]で定義されていなければならない.
ip permitの設定を確認するためにコマンドshow ip permitが使用できます.
いくつかのサービスにはセキュリティ・ホール(httpなど)があるかもしれません.または契約自体は比較的安全ではないです.サービスが必要でない場合は、シャットダウンすることができます.サービスが必要であれば、これらのサービスは合法的なユーザーにのみ提供されることを保証する措置をとるべきである.
6500/4000 :
set ip http server disable // http
set ip permit enable snmp // SNMP
set snmp comm. read-only // SNMP COMM
set snmp comm. read-write
set snmp comm. read-write-all
8500、7500、MSFC IOS :
no ip http server // http
no snmp // snmp
no service dhcp // dhcp
no ip finger // finger
no service tcp-small-server // tcp
no service udp-small-server // udp
service password-encryption //
3.SSHクライアント
a)管理ワークステーションから登録する
SSH v 1プロトコルをサポートする端末シミュレーションプログラムを使用しなければ、SSHプロトコル管理装置を使用できません.Secure CRT 3.3を使用することを推奨します.無料ソフトウェアputtyも利用できます.Secure CRTを使ってSSHデバイスにログインする方法を紹介します.
Secure CRTプログラムを実行し、メニューFileを選択して、C Quick Connect...以下のパラメータを設定します.Protocol:ssh 1 Hostname(ホスト名):10.1.1 Port(ポート):22 Username(ユーザ名):mize Cper(暗号化方法):3 DS Authentication(認証方式):passwordはConnectをクリックして、デバイスの暗号化を受け付けます.(一回だけ)またはAccept&Save(次の使用のために鍵を保存します.プロトコルが実現されている問題で、SSH Buffer Overflowの問題に遭遇する可能性があります.「16 k以上の鍵を受信しました」というメッセージがあれば、再接続してください.正常に接続すれば、パスワードを入力してシステムにログインできます.
第二回ログインはFileをクリックして、C Connectをクリックして接続10.1.1をクリックすればいいです.
b)IOS設備用SSHプロトコルから他の機器に登録する.
IOS機器は、SSH接続要求(SSH Cientとして)を開始し、IOS機器から3 DS対応のIOS機器に登録し、以下のコマンド(-l指定ユーザ名)を使用してもよい.
ssh�Cl mize 10.3.3
IOSデバイスからDES(56ビット)対応のIOSを登録し、以下のコマンド(-c desで1 des暗号化方式を指定します)を使います.
ssh、Cc des、Cl mize 10.5.5
3 DS対応のCatOSをIOSから登録し、6509/4006の交換エンジンなど、以下のコマンドを使用します.
ssh 10.6.6
4.制限telnetソースの住所
SSHをサポートしていない機器に対しては、インターネットのソースアドレスを制限する方法でセキュリティを強化することができます.管理者の住所を増やさないために、すべての設備の配置を見直し、中継装置の方法、すなわち制御された設備は中継装置のtelnetアクセスだけを許可し、中継装置は複数の管理者がより安全な方法で登録することができる.
:
inter lo 0
ip address 10.10.1.100 255.255.255.255
ip telnet source-interface Loopback0 // telnet
:
access-list 91 remark Hosts allowed to TELNET in
access-list 91 permit 10.10.1.100
access-list 91 permit 10.10.1.101
line con 0
password xxxxxxxx
line vty 0 4
password xxxxxxxx
access-class 91 in