CiscoルータはTelnet接続の代わりにSSHを使用する
Telnet制御ネットワークデバイスをずっと利用している場合は、他のより安全な方法を採用することを考えることができます.ここでは、TelnetをSSHで置き換える方法を説明します.
TelnetというリモートコンピュータにアクセスするためのTCP/IPプロトコルを使用して、ネットワークデバイスを制御することは、建物を離れるときにユーザー名とパスワードを叫ぶことに相当します.すぐに、誰かが傍受し、安全意識の欠如を利用します.
SSHはTelnetやその他のリモートコンソール管理アプリケーションに代わる業界標準です.SSHコマンドは暗号化され、いくつかの方法で秘密にされています.
SSHを使用すると、デジタル証明書がクライアント(ワークステーション)とサーバ(ネットワークデバイス)との接続を認証し、保護されたパスワードを暗号化します.SSH 1はRSA暗号化鍵を使用し、SSH 2はデジタル署名アルゴリズム(DSA)鍵を使用して接続および認証を保護する.
暗号化アルゴリズムには、Blowfish、データ暗号化規格(DES)、および三重DES(3 DES)が含まれる.SSHは、詐欺、「仲介者」攻撃、パケット傍受を防止するのに役立ちます.
SSHを実装する最初のステップは、デバイスがSSHをサポートしていることを確認することです.ルータまたはスイッチにログインし、SSHをサポートするIPSec IOSミラーをロードしているかどうかを確認してください.
我々の例では、Cisco IOSコマンドを使用します.次のコマンドを実行します.
このコマンドは、ロードされたIOSミラー名を表示します.結果を使用して、ベンダーのサポートプロパティのリストを比較できます.
デバイスがSSHをサポートしていることを確認したら、次のように、デバイスにホスト名と正しいホストドメインがあることを確認してください.
このとき、ルータ上のSSHサーバを有効にすることができます.SSHサーバを有効にするには、まず次のコマンドを使用して一対のRSAキーを生成する必要があります.
ルータに一対のRSA鍵を生成するとSSHが自動的に有効になります.このRSA鍵を削除すると、SSHサーバが自動的に無効になります.
SSHを実装する最後のステップは、認証の有効化、認証、監査(AAA)です.AAAを構成するときは、ユーザー名とパスワード、セッションタイムアウト時間、接続が許可されている試行回数を指定してください.次のようにコマンドを使用します.
SSHが設定されており、ルータ上で動作していることを確認するには、次のコマンドを実行します.
構成を検証すると、Telnet.ではなくAAA構成中に追加したユーザーにSSHを強制することができます.仮想端末(vty)接続にSSHを適用して同じ目的を達成することもできます.ここでは、次の例を示します.
既存のTelnetセッションを閉じる前に、SSH端末クライアントプログラムを使用して構成をテストする必要があります.PuTTYを極力お勧めします.無料で、優れた端末ソフトウェアです.
最後の考え
ルータとスイッチでSSHを有効にした後、既存のアクセス制御リストをすべて変更して、これらのデバイスへの接続を許可することを保証します.大きなセキュリティ・ホールが詰まっていることを上司に報告することができます.現在、すべてのネットワーク管理セッションが暗号化され、保護されています.
TelnetというリモートコンピュータにアクセスするためのTCP/IPプロトコルを使用して、ネットワークデバイスを制御することは、建物を離れるときにユーザー名とパスワードを叫ぶことに相当します.すぐに、誰かが傍受し、安全意識の欠如を利用します.
SSHはTelnetやその他のリモートコンソール管理アプリケーションに代わる業界標準です.SSHコマンドは暗号化され、いくつかの方法で秘密にされています.
SSHを使用すると、デジタル証明書がクライアント(ワークステーション)とサーバ(ネットワークデバイス)との接続を認証し、保護されたパスワードを暗号化します.SSH 1はRSA暗号化鍵を使用し、SSH 2はデジタル署名アルゴリズム(DSA)鍵を使用して接続および認証を保護する.
暗号化アルゴリズムには、Blowfish、データ暗号化規格(DES)、および三重DES(3 DES)が含まれる.SSHは、詐欺、「仲介者」攻撃、パケット傍受を防止するのに役立ちます.
SSHを実装する最初のステップは、デバイスがSSHをサポートしていることを確認することです.ルータまたはスイッチにログインし、SSHをサポートするIPSec IOSミラーをロードしているかどうかを確認してください.
我々の例では、Cisco IOSコマンドを使用します.次のコマンドを実行します.
Router> Show flashこのコマンドは、ロードされたIOSミラー名を表示します.結果を使用して、ベンダーのサポートプロパティのリストを比較できます.
デバイスがSSHをサポートしていることを確認したら、次のように、デバイスにホスト名と正しいホストドメインがあることを確認してください.
Router> config terminal
Router (config)# hostname hostname
Router (config)# ip domain-name domainnameこのとき、ルータ上のSSHサーバを有効にすることができます.SSHサーバを有効にするには、まず次のコマンドを使用して一対のRSAキーを生成する必要があります.
Router (config)# crypto key generate rsaルータに一対のRSA鍵を生成するとSSHが自動的に有効になります.このRSA鍵を削除すると、SSHサーバが自動的に無効になります.
SSHを実装する最後のステップは、認証の有効化、認証、監査(AAA)です.AAAを構成するときは、ユーザー名とパスワード、セッションタイムアウト時間、接続が許可されている試行回数を指定してください.次のようにコマンドを使用します.
Router (config)# aaa new-model
Router (config)# username password
Router (config)# ip ssh time-out
Router (config)# ip ssh authentication-retriesSSHが設定されており、ルータ上で動作していることを確認するには、次のコマンドを実行します.
Router# show ip ssh構成を検証すると、Telnet.ではなくAAA構成中に追加したユーザーにSSHを強制することができます.仮想端末(vty)接続にSSHを適用して同じ目的を達成することもできます.ここでは、次の例を示します.
Router (config)# line vty 0 4
Router (config-line)# transport input SSH既存のTelnetセッションを閉じる前に、SSH端末クライアントプログラムを使用して構成をテストする必要があります.PuTTYを極力お勧めします.無料で、優れた端末ソフトウェアです.
最後の考え
ルータとスイッチでSSHを有効にした後、既存のアクセス制御リストをすべて変更して、これらのデバイスへの接続を許可することを保証します.大きなセキュリティ・ホールが詰まっていることを上司に報告することができます.現在、すべてのネットワーク管理セッションが暗号化され、保護されています.