فعال سازی SSH بر روی روتر و سویچ سیسکو

فعال سازی SSH بر روی روتر و سویچ سیسکو

SSH پروتکلی است که با استفاده از آن میتوان روتر و سویچ را از راه دور مدیریت کرد. تفاوت اصلی آن با Telnet، ایمن بودن آن میباشد. Telnet کاملا Clear text بوده و در صورت sniff کردن آن، تمامی دستوراتی که اجرا میکنید، از جمله نام کاربری و کلمه عبور ورود به روتر یا سویچ، قابل مشاهده هست. بنابراین استفاده از SSH جهت مدیریت دستگاه ها از راه دور، به شدت توصیه میشود.

پیش از فعال سازی SSH ابتدا توجه کنید که IOS توانایی پشتیبانی از SSH را داشته باشد. برای انجام این کار از دستور show version استفاده کنید:

IOS هایی که عبارت K9 در نام آنها مشاهده میشود، توانایی پشتیبانی Cryptography را داشته و میتوان SSH را بر روی آنها فعال کرد.

SSH دارای دو ورژن یک و دو میباشد. ورژن یک را میتوان Crack کرد. بنابراین از ورژن دو استفاده کنید. هنگامی که SSH را بر روی سویچ یا روتر سیسکو فعال میکنید، ورژن آن 1.99 است. یعنی ورژن SSH آن یک است، ولی توانایی کار با ورژن دو را نیز دارد. بنابراین باید ورژن آن را به دو تغییر دهید.
SSH بر خلاف Telnet که به طور پیش فرض فقط به تعیین پسورد نیاز دارد، نیاز به User Name نیز دارد. بنابراین پس از فعال سازی SSH، یک User Name با Privilage 15 نیز ایجاد کنید. این User میتواند Local و یا بر روی یک Raidus Server باشد.

روتر برای ایجاد Certificate، نیاز به یک نام و domain name دارد. برای تعیین این دو پارامتر از دستورات زیر استفاده کنید:

R1(config)#host name RTR1

RTR1(config)#ip domain-name datis-arad.com

 

سپس با استفاده از دستور زیر، یک کلید ایجاد کنید:

RTR1(config)#crypto key generate rsa

 

The name for the keys will be: RTR1.datis-arad.com

Choose the size of the key modulus in the range of 360 to 2048 for your

General Purpose Keys. Choosing a key modulus greater than 512 may take

a few minutes.

How many bits in the modulus [512]: 768

% Generating 768 bit RSA keys, keys will be non-exportable...[OK]

به طور پیش فرض کلیدی به طور 512 بیت ساخته میشود. در صورتی که میخواهید از SSH ورژن دو استفاده کنید، طول کلید باید حداقل 768 بیت باشد.

حال باید User و پسورد برای دسترسی به روتر ایجاد کنید:

RTR1(config)#user datis privilage 15 password cisco

 

در صورتی که میخواهید روتر شما فقط از SSH ورژن دو پشتیبانی کند، از دستور زیر استفاده کنید:

RTR1(config)#ip ssh version 2

 

در نهایت دستور login local را در line vty وارد کنید:

RTR1(config)#line vty 0 15

RTR1(config-line)#login local

 

به طور پیش فرض به روتر یا سویچ میتوان Telnet و SSH زد. در صورتی که میخواهید برای افزایش ایمنی، Telnet بسته شود و فقط SSH به روتر زده شود، از دستور زیر در line vty استفاده کنید:

RTR1(config)#line vty 0 15

RTR1(config-line)#transport input {all | none | ssh | telnet}

 

اگر میخواهید کاربران بتوانند از local router به remote router ها فقط SSH بزنند، از دستور زیر استفاده کنید:

RTR1(config)#line vty 0 15

RTR1(config-line)#transport output ssh

با اجرای این دستور، کاربران از طریق RTR1 فقط میتوانند به تجهیزات دیگر SSH بزنند و امکان Telnet زدن به دیگر تجهیزات وجود ندارد.

برای SSH زدن به روتر یا سویچ، نیاز به نرم افزار Putty یا SecureCRT دارید. با این همه از روتر های دیگر نیز میتوان به این روتر SSH زدن.

در مثال فوق، SSH را بر روی RTR1 فعال کرده ایم. میخواهیم از RTR2 به RTR1 ارتباط SSH برقرار کنیم:

RTR2#ssh -l datis 1.1.1.1