Securitatea Switch-ului: Implementare şi Administrare

Acces la Distanţă Securizat

Înainte de a configura SSH, switch-ul trebuie sa fie minim configurat cu un hostname unic şi cu setări corecte de conectivitate în reţea.

Pasul 1. Verificaţi dacă SSH este tolerat.

Folosiţi comanda show ip ssh pentru a verifica daca switch-ul tolerează SSH. . . Dacă pe switch nu este instalat un IOS care prezintă caracteristici de criptografie, această comandă nu va fi recunoscută.

Pasul 2. Configuraţi domeniul IP

Configuraţi numele domeniului IP al reţelei folosind comanda ip domain-name domain-name global configuration mode. In Figura 1, valoarea numelui domeniului este cisco.com. . . ..

Pasul 3. Generarea perechilor de chei RSA

Generarea unei perechi de chei RSA activează în mod automat SSH. Folosiţi comanda de configurare globală crypto key generate rsa pentru a activa serverul SSH pe switch şi pentru a genera perechea de chei RSA. . . Când se generează chei RSA, administratorului i se cere să introducă o lungime în modul. Cisco recomandă folosirea unui modul de dimensiune 1,024 biţi (vedeţi exemplul de configurare din Figura 1). Un modul mai lung este mai sigur, însă durează mai mult până este generat şi folosit.

Notă:Pentru a şterge o pereche de chei RSA folosiţi comanda de configurare globală crypto key zeroize rsa. . . După ce perechea de chei RSA a fost ştearsă, serverul SSH este dezactivat automat.

Pasul 4. Configuraţi autentificarea utilizatorului

Serverul SSH poate autentifica utilizatori local sau prin utilizarea unui server de autentificare. Pentru a crea o metoda de autentificare locală, creaţi o pereche de nume de utilizator şi parolă folosind comanda de configurare globală username username password password. . . . . . În exemplu, utilizatorului admin îi este atribuită parola ccna.

Pasul 5. Configuraţi liniile vty

Activaţi protocolul SSH pe liniile vty folosind comanda de configurare a liniilor transport input ssh. . . Catalyst 2960 are linii vty de la 0 la 15. Această configurare impiedică conexiunile non-SSH (precum Telnet) şi limitează switch-ul la a accepta numai conexiuni SSH. Folosiţi comanda de configurare globală line vty iar apoi comanda de configurare a liniilor login local pentru a solicita autentificare locală din baza de date de utilizatori pentru conexiunile SSH.

Folosiţi Syntax Checker din Figura 2, pentru a configura SSH pe switch-ul S1.