作為網(wǎng)絡(luò)管理員的我們是如何管理企業(yè)網(wǎng)絡(luò)的核心設(shè)備——路由器和交換機(jī)的呢?如果路由交換設(shè)備沒(méi)有圖形化管理界面我們使用什么命令去連接到他的管理控制臺(tái)呢?恐怕99%的讀者會(huì)說(shuō)采取telnet的方式。然而這種連接方式真的是安全的嗎?答案是否定的,只有我們配置了SSH連接路由交換設(shè)備才能實(shí)現(xiàn)真正意義上的安全。本文筆者介紹如何在自己的路由交換設(shè)備上配置SSH服務(wù),以打造最最安全的路由交換設(shè)備。通過(guò)SSH連接路由器所傳輸?shù)娜魏螖?shù)據(jù)都是經(jīng)過(guò)加密的,非法用戶(hù)無(wú)法通過(guò)sniffer等工具進(jìn)行解密。
一、什么是SSH?
什么是SSH呢?SSH的英文全稱(chēng)是Secure Shell,是由芬蘭的一家公司開(kāi)發(fā)的。SSH由客戶(hù)端和服務(wù)端的軟件組成,有1.x和2.x兩個(gè)不兼容的版本。SSH的功能強(qiáng)大,既可以代替Telnet,又可以為FTP、POP3和PPP提供一個(gè)安全的“通道”。使用SSH可以把傳輸?shù)乃袛?shù)據(jù)進(jìn)行加密。即使有人截獲到數(shù)據(jù)也無(wú)法得到有用的信息。同時(shí)數(shù)據(jù)經(jīng)過(guò)壓縮,大大地加快了傳輸?shù)乃俣取?/p>
二、如何在路由交換設(shè)備上設(shè)置SSH服務(wù):
下面就為各位讀者介紹如何在CISCO路由器上配置SSH服務(wù)。筆者使用的是GSR 12008,所以以他為例介紹SSH-1的配置方法。
小提示:在Cisco路由器產(chǎn)品系列中只有7200系列,7500系列和12000系列(GSR)等高端產(chǎn)品的IOS支持SSH。一般支持SSH的IOS版本文件名中都帶有K3或者K4字樣,K3代表56bit SSH加密,K4代表168bit SSH加密。目前Cisco的產(chǎn)品都只支持SSH-1,還不支持SSH-2。對(duì)于默認(rèn)不支持SSH的設(shè)置例如6509我們可以通過(guò)升級(jí)IOS來(lái)解決。
第一步:配置主機(jī)名(hostname)和ip地址的域名(domain-name)
Router#configure terminal
//進(jìn)入配置模式
Router(config)#hostname softer
//設(shè)置路由器主機(jī)名為softer
softer(config)#ip domain-name softer.com
//設(shè)置IP地址的域名為softer.com。
第二步:配置登錄用戶(hù)名和密碼(以本地認(rèn)證為例)
softer(config)#username softer password 0 111111
//添加一個(gè)用戶(hù),用戶(hù)名為softer,密碼為111111。
softer(config)#line vty 0 4
//設(shè)置容許這個(gè)用戶(hù)通過(guò)網(wǎng)絡(luò)遠(yuǎn)程管理
softer(config-line)#login local
//設(shè)置本地登錄路由器需要輸入用戶(hù)名和密碼才行,默認(rèn)的只需要輸入密碼,使用用戶(hù)驗(yàn)證的方式能夠更好的管理路由器。
小提示:在輸入login local命令時(shí)要特別注意,筆者就曾經(jīng)過(guò)于著急的輸入這個(gè)命令造成無(wú)法登錄路由器了。因?yàn)橐坏┹斎脒@個(gè)login local命令后登錄路由器就必須輸入用戶(hù)名和密碼兩條信息了。
第三步:配置SSH服務(wù)
softer(config)#crypto key generate rsa
設(shè)置SSH連接的關(guān)鍵字,一般來(lái)說(shuō)關(guān)鍵字就是主機(jī)名和域名結(jié)合而來(lái)的,例如本例主機(jī)名為softer,域名為softer.com。那么這個(gè)關(guān)鍵字就是softer.softer.com
接著會(huì)出現(xiàn)英文提示——How many bits in the modulus [512]:
這是讓我們選擇加密位數(shù),用默認(rèn)的512就行了。
softer(config)#end
結(jié)束SSH服務(wù)設(shè)置
softer#write
保存設(shè)置到start文件中。
第四步:檢查SSH設(shè)置
如何檢查SSH是否設(shè)置成功了呢?使用命令“show ip ssh”即可。會(huì)顯示出如下信息。
SSH Enabled-version 1.5
Authentication timeout: 120 secs
Authentication retries: 3
這就表明SSH服務(wù)已經(jīng)啟動(dòng)。
小提示:如果我們希望將已經(jīng)啟動(dòng)的SSH服務(wù)關(guān)閉的話,可以輸入用以下命令softer(config)#crypto key zeroize rsa
第五步:設(shè)置SSH參數(shù)
配置好SSH之后,通過(guò)show run命令我們可以看到SSH默認(rèn)的參數(shù),其中超時(shí)限定為120秒,認(rèn)證重試次數(shù)為3次,當(dāng)然我們還可以通過(guò)下面命令進(jìn)行修改。
softer(config)#ip ssh {[time-out seconds]} | [authentication-retries interger]}
例如如果要把超時(shí)限定改為180秒,則應(yīng)該用softer(config)#ip ssh time-out 180命令;如果要把重試次數(shù)改成5次,則應(yīng)該用softer(config)#ip ssh authentication-retries 5命令。
經(jīng)過(guò)更加具體的配置后SSH就已經(jīng)在路由器上成功建立了,用戶(hù)就能夠通過(guò)SSH進(jìn)行安全登錄了。
三、在客戶(hù)機(jī)上登錄開(kāi)啟SSH服務(wù)的路由交換設(shè)備:
路由器上啟用了SSH服務(wù)后還需要在客戶(hù)機(jī)上安裝SSH工具。網(wǎng)絡(luò)上提供SSH連接傳輸功能的工具比較多,有興趣的讀者可以自行搜索并下載安裝。筆者只介紹一個(gè)小巧的SSH客戶(hù)端工具——WiSSH。
WiSSH小檔案:
軟件版本: Standard Edition V2.60
軟件大小: 3215 KB
軟件語(yǔ)言: 英文
軟件類(lèi)別: 共享軟件
應(yīng)用平臺(tái): Win9x/NT/2000/XP/2003
下載地址:
http://count.skycn.com/softdownload.php?id=18218&url=http://yncnc.driversky.com/down/se260_setup.exe
下載該軟件后直接安裝,然后啟動(dòng)該軟件,選擇“LOGIN”標(biāo)簽,輸入SSH服務(wù)器的IP地址,并且還需要輸入在上面建立的訪問(wèn)用戶(hù),用戶(hù)名為softer,密碼是111111。設(shè)置好后點(diǎn)“connect”按鈕連接即可。整個(gè)過(guò)程非常簡(jiǎn)單,非常好上手。(如圖1)
 |
四、總結(jié):
使用SSH加密連接路由器后任何設(shè)置和命令都不會(huì)被黑客通過(guò)sniffer截獲了,一方面提高了企業(yè)路由器的安全,另一方面由于傳輸?shù)臄?shù)據(jù)得到了加密與壓縮,所以在速度上得到了一定的提升。
