Настройка ssh и telnet на CISCO.

Для тестирования и настройки подключений к оборудованию CISCO был собран стенд на GNS3.
r-s-h

Маршрутизатор 3640 с поднятым сабинтерфейсом FastEthernet0/0.2 с ip 10.1.2.1/24 и хост с ОС Debian 7 c ip 10.1.2.2/24 соединенные между собой свичем SW.

Проверяем на доступность маршрутизатор

debi_ping
Пинг проходит успешно, но маршрутизатор пока отвергает подключение по telnet и ssh.

debi_telnet_ref

Исправим это, настроим пароль на доступ к привилегированному режиму и к консольному порту, настроим telnet, ssh.

1.Установка пароля на доступ к привилегированному режиму.
Для установки пароля на доступ к привилегированному режиму перейдем в режим глобальной конфигурации и установим пароль.

router#config terminal
router(config)#enable secret cisco
router(config)#enable password ciscocisco

Команда enable secret создает зашифрованный пароль
Команда enable password хранит пароль в открытом виде
При использовании одновременно двух команд приоритет отдается enable secret, а пароль в enable password не используется, так же не рекомендуется использовать одинаковый пароль в этих командах.

2.Установка пароля на доступ устройству через консольный порт.

router#configure terminal
router(config)#line console 0
router(config-line)#password cisco
router(config-line)#login
router(config-line)#end

3.Установка пароля на доступ устройству через telnet.

router#configure terminal
router(config)#line vty 0 15
router(config-line)#password cisco
router(config-line)#login

В данном случае пароль установлен на все 16 линий, если нужно то можно менять диапазон, например line vty 0 4.

Смотрим что у нас получилось. Ниже приведены интересующие нас строчки из running-config

router#show running-config
!
enable secret 5 $1$tasv$QdGGQJIj.PEPk3sz66NMe/
enable password ciscocisco
!
 
!
line con 0
exec-timeout 0 0
privilege level 15
password cisco
logging synchronous
login
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
line vty 0 4
password cisco
login
line vty 5 15
password cisco
login
!

Проверяем подключение

debi_telnet
Все работает.

4. Включаем шифрование паролей.
Как мы видим пароли в конфигурации лежат в открытом виде, зашифруем их для этого используем команду service password-encryption в режиме глобальной конфигурации.

router#configure terminal
router(config)#service password-encryption

Смотрим что получилось

router#show running-config
!
enable secret 5 $1$tasv$QdGGQJIj.PEPk3sz66NMe/
enable password 7 00071A150754080F1C2243
!
line con 0
exec-timeout 0 0
privilege level 15
password 7 1511021F0725
logging synchronous
login
line vty 0 4
password 7 110A1016141D
login
line vty 5 15
password 7 110A1016141D
login
!

Пароли зашифрованы, если перед хешем пароля стоит цифра 5 то пароль зашифрован алгоритмом MD5 и плохо поддается дешифровке, а цифра 7 обозначает слабый алгоритм шифрования, который легко подвержен дешифровке.

5. Настройка доступа по ssh

Пароли передаваемые протоколом telnet никак не шифруются, и могут быть перехвачены, для того чтоб этого не случилось настроим доступ к устройству через протокол ssh.

Для генерации ключа ssh необходимо задать ip domain-name.

router(config)#ip domain-name test.dom

Генерируем ключ ssh, размер ключа указываем максимально возможный 2048

router(config)#crypto key generate rsa general-keys modulus 2048

Создаем пару логин пароль

router(config)#username admin secret cisco

В конфигурации линий vty 0-15 покажем что логин берется из локальной базы и входящий протокол будет ssh

router(config)#line vty 0-15
router(config-line)#login local
router(config-line)#transport input ssh

По умолчанию CISCO включает версию ssh 1.99

router#show ip ssh
SSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication retries: 3

изменим её на ssh 2 командой

router#config t
router(config)#ip ssh version 2

проверяем

router#show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3

Пробуем подключится

debi_ssh
Подключение проходит успешно.

Для большей безопасности на вход line vty можно повесить стандартный access-list со списком разрешенных хостов.

Создаем стандартный access-list 2 разрешающий хост 10.1.2.3, остальные он запрещает по умолчанию.

router#configure terminal
router(config)#access-list 2 permit 10.1.2.3

Весим его на вход line vty 0 15

router#configure terminal
router(config)#line vty 0 15
router(config-line)#access-class 2 in

Проверяем с хоста 10.1.2.2

debi_ssh_den
Доступ запрещен.

На этом всё.

2 Comments

  1. DustinDob

    I read through this site and you’ve got so much useful info, saved to my bookmarks.

Comments are closed.