Меры по обеспечению безопасности сети

Методы защиты устройств

Удалённый доступ по протоколу SSH

Устаревшим протоколом для удалённого управления устройствами является Telnet. Этот протокол не является безопасным. Данные в пакете Telnet передаются в незашифрованном виде. Используя такие инструменты, как Wireshark, злоумышленник может «проанализировать» сеанс Telnet и получить информацию о пароле. По этой причине в целях обеспечения безопасного удалённого доступа настоятельно рекомендуется использовать на устройствах протокол SSH. Настройка поддержки протокола SSH для устройства Cisco выполняется в четыре этапа, как показано на рисунке.

Шаг 1. Убедитесь в том, что маршрутизатору присвоено уникальное имя узла, после чего настройте IP-доменное имя сети, используя команду ip domain-name domain-name в режиме глобальной конфигурации.

Шаг 2. Необходимо создать односторонние секретные ключи, которые будут использоваться маршрутизатором для шифрования трафика по SSH. Ключ представляет собой объект, который фактически используется для шифрования и расшифровки данных. Для создания ключа шифрования используется команда crypto key generate rsa general-keys modulus modulus-size в режиме глобальной конфигурации. Конкретное значение отдельных фрагментов этой команды отличается достаточной сложностью и не рассматривается в рамках настоящего курса, однако в данный момент следует просто учитывать, что этот модуль определяет размер ключа, и его можно настроить в диапазоне от 360 до 2048 бит. Чем больше модуль, тем выше уровень безопасности ключа, но тем больше времени занимает шифрование и расшифровка данных. Минимальная рекомендуемая длина модуля — 1024 бит.

Router(config)# crypto key generate rsa general-keys modulus 1024

Шаг 3. Создайте локальную запись имени пользователя базы данных, используя команду username name secret secret в режиме глобальной конфигурации.

Шаг 4. Разрешите использование входящих сеансов SSH для VTY при помощи команд строки VTY login local и transport input ssh.

Доступ к службе протокола SSH на маршрутизаторе теперь можно осуществлять посредством программного обеспечения клиента SSH.