En aquest article aprendrem a habilitar l’accés per SSH (Secure SHell) a un router Cisco.
Perque habilitar SSH? No en tenim prou amb el Telnet?
Doncs no, el telnet és un protocol d’accés a gestió de routers i altres dispositius que és famós per la manca de seguretat que ofereix. La comunicació no va encryptada i amb qualsevol analitzador de paquets com el Wireshark es poden capturar les comandes que s’envien el router.
Per tal d’assegurar l’accés i la transmissió de dades de manera segura és recomenable utilitzar el protocol SSH v2. Que encrypta les comunicacions i evita que aquestes puguin ser interceptades.
Com habilitem SSH a un Router Cisco?
- Ens conectem per consola al router Cisco. Per més info seguiu aquest enllaç. Si ja teniu accés per Telnet també ho podeu fer.
- Accedim a consola i haurem de posar les següents comandes:
Entrem en mode configuració del router
Router#configure terminal
Configurem el nom del router
Router(config)#hostname R_Movingit
Configurem el domini, ja que sense això no en deixarà generar les claus de rsa.
R_Movingit(config)#ip domain-name moving-it.net
A continuació generem la clau d’encryptació.
R_Movingit(config)#crypto key generate rsa 1028
Un cop generada, afegirem unes comandes de configuració de SSH.
Si l’usuari no introdueix cap usuari ni password al cap de 30 segons, la connexió es tancarà automàticament.
R_Movingit(config)#ip ssh time-out 30
Configurem també un màxim de 3 intents d’autenticació correctes.
R_Movingit(config)#ip ssh authentication-retries 3
Habilitem el protocol ssh de versió 2 que és més segur.
R_Movingit(config)#ip ssh version 2
Crearem ara un usuari amb privilege 15 (el màxim que podrà accedire sense haver de posar l’enable password).
R_Movingit(config)#username admin privilege 15 password cisco
Anirem a configurar ara la línia per la que entrarem, en aquests cas per xarxa que són les línies vty 0 4.
R_Movingit(config)#line vty 0 4
Habilitem que només es pugui accedir per ssh.
R_Movingit(config-line)#transport input ssh
L’usuari que podrà accedir per aquesta línia són els definits a mà “en local”
R_Movingit(config-line)#login local
Ualà!!Ja tenim l’accés per SSH habilitat. Proveu-ho i si teniu algun problema no dubteu en afegir els vostres comentaris.
Salut i ens veiem per les xarxes!!
Escriu el teu comentari