HƯỚNG DẪN CẤU HÌNH SSH TRÊN CISCO ROUTER

Cấu Hình SSH Router Cisco 

Bài viết này hướng dẫn cách định cấu hình và thiết lập SSH để quản lý từ xa Bộ định tuyến IOS của Cisco . Chúng tôi sẽ hướng dẫn bạn cách kiểm tra xem SSH có được phiên bản IOS của bạn hỗ trợ hay không, cách kích hoạt nó, tạo khóa RSA cho bộ định tuyến của bạn và cuối cùng định cấu hình SSH làm giao thức quản lý ưu tiên trong giao diện PuTTY .

Secure Shell (SSH) cung cấp một phương tiện kết nối an toàn và đáng tin cậy với các thiết bị từ xa. Đó là một giao thức mạng được mã hóa cho phép người dùng truy cập thiết bị một cách an toàn thông qua các phiên giao diện dòng lệnh . SSH sử dụng cổng TCP 22 được chỉ định để đăng nhập an toàn, truyền tệp và chuyển tiếp cổng.

SSH sử dụng khóa công khai để xác thực thiết bị từ xa và mã hóa tất cả dữ liệu giữa thiết bị đó và máy trạm, điều này làm cho nó trở thành lựa chọn tốt nhất cho các mạng công cộng, không giống như (telnet) truyền dữ liệu dưới dạng văn bản thuần túy khiến nó phải đối mặt với các mối đe dọa bảo mật, điều này khiến (telnet ) chỉ được khuyến nghị cho các mạng riêng tư để giữ cho dữ liệu không bị thay đổi.

XÁC MINH HỖ TRỢ SSH TRÊN BỘ ĐỊNH TUYẾN CỦA BẠN

Bước đầu tiên bao gồm việc kiểm tra xem IOS của bộ định tuyến Cisco của bạn có hỗ trợ SSH hay không. Hầu hết các bộ định tuyến Router Cisco hiện đại đều hỗ trợ SSH, vì vậy đây không phải là vấn đề.

Để kiểm tra, chỉ cần vào privilege mode và sử dụng lệnh show ip ssh : 

null

BẢO MẬT QUYỀN TRUY CẬP VÀO BỘ ĐỊNH TUYẾN

Trước tiên, bạn nên hạn chế quyền truy cập vào bộ định tuyến Cisco trước khi bật SSH. Điều này rất quan trọng, đặc biệt khi thiết bị có giao diện đối diện với các mạng công cộng như Internet, Điểm truy cập công cộng.

Trước tiên, chúng tôi tạo thông tin đăng nhập người dùng cho thiết bị và sau đó bật Athentication, Authorization & Accounting Services  (AAA) . Cuối cùng, đảm bảo mật khẩu bí mật được đặt để bảo vệ quyền truy cập vào  privilege mode , cùng với lệnh service password-encryption đều được mã hóa :

Datech (config)# username admin privilege 15 secret Datech.Jsc
Datech (config)# aaa new-model
Datech(config)# aaa authentication login default local
Datech (config)# enable secret Datech@2018
Datech (config)# service password-encryption

null

Tiếp theo, chúng tôi khuyên bạn chỉ nên hạn chế truy cập từ xa qua giao thức SSH. Điều này sẽ đảm bảo rằng các dịch vụ không an toàn như Telnet không thể được sử dụng để truy cập vào bộ định tuyến. Telnet gửi tất cả thông tin không được mã hóa, bao gồm tên người dùng / mật khẩu, và do đó được coi là một rủi ro bảo mật.

Chúng tôi sẽ sử dụng lệnh ssh đầu vào truyền tải trong phần VTY để hạn chế truy cập từ xa chỉ bằng SSH. Lưu ý rằng chúng tôi cũng có thể sử dụng danh sách Access để hạn chế kết nối SSH với bộ định tuyến của mình:

Datech(config)# line vty 0 4
Datech(config-line)# transport input ssh
Datech(config-line)# login authentication default
Datech(config-line)# password datech@2018

null

TẠO KHÓA RSA CỦA BỘ ĐỊNH TUYẾN CỦA CHÚNG TÔI 

Khóa kỹ thuật số phục vụ mục đích giúp bảo mật hơn nữa thông tin liên lạc giữa các thiết bị. Bước tiếp theo của chúng tôi liên quan đến việc tạo một cặp khóa RSA sẽ được SSH sử dụng để giúp mã hóa kênh liên lạc.

Trước khi tạo khóa RSA của chúng tôi, cần phải xác định miền của bộ định tuyến của chúng tôi bằng lệnh ip domain-name , sau đó là lệnh tạo crypto key generate:

null

Cuối cùng các bạn nhập lệnh " show SSH " để kiểm tra.

Bài viết này giải thích tầm quan trọng của việc bật và sử dụng SSH để quản lý và định cấu hình bộ định tuyến Cisco của bạn từ xa. Chúng tôi đã biết cách tạo người dùng để quản lý từ xa , bật AAA encrypt clear-text passwords, enable SSHv2, generate RSA keys.