(Classe 5a) - Sistemi e Reti

Telnet semplifica l'accesso remoto al dispositivo, ma non è sicuro. I dati contenuti in un pacchetto Telnet vengono trasmessi senza crittografia. Per questo motivo, si consiglia fortemente di abilitare il protocollo SSH (Secure Shell) sui dispositivi per l'accesso remoto sicuro.

È possibile configurare un dispositivo Cisco per supportare SSH in sei fasi:

Passaggio 1. Configurare un nome host unico per il dispositivo. Un dispositivo deve avere un nome host univoco diverso da quello predefinito.

Passaggio 2. Configurare il nome dominio IP. Configurare il nome di dominio IP della rete utilizzando il comando in modalità di configurazione globale ip-domain name.

Passaggio 3. Generare una chiave per crittografare il traffico SSH. SSH crittografa il traffico tra origine e destinazione. Tuttavia, a tale scopo, è necessario generare una chiave di autenticazione univoca utilizzando il comando di configurazione globale crypto key generate rsa general-keys modulus bits. Il modulo bits determina le dimensioni della chiave e può essere configurato con un valore compreso tra 360 bit e 2048 bit. Maggiore è il valore del bit, più la password è sicura. Tuttavia, i valori di bit più grandi richiedono anche più tempo per crittografare e decrittografare le informazioni. La lunghezza minima consigliata del modulo è 1024 bit.

Passaggio 4. Verificare o creare una voce per il database locale. Creare una voce nome utente nel database locale utilizzando il comando di configurazione globale username. Nell'esempio, il parametro secret viene utilizzato in modo che la password venga crittografata utilizzando MD5.

Passaggio 5. Autenticare il database locale. Utilizzare il comando di configurazione login local della linea per autenticare la linea vty sul database locale.

Passaggio 6. Abilitare le sessioni vty SSH in entrata. Per impostazione predefinita, nessuna sessione di input è consentita sulle linee vty. È possibile specificare più protocolli di input tra cui Telnet e SSH utilizzando il comando transport input [ssh | telnet].

Come mostrato nell'esempio, il router R1 è configurato nel dominio span.com. Queste informazioni vengono utilizzate insieme al valore di bit specificato nel comando crypto key generate rsa general-keys modulus per creare una chiave di crittografia.

Successivamente, viene creata una voce di database locale per un utente denominato Bob. Infine, le linee vty sono configurate per l'autenticazione sul database locale e per accettare solo le sessioni SSH in arrivo.

Router# configure terminal
Router(config)# hostname R1
R1(config)# ip domain name span.com
R1(config)# crypto key generate rsa general-keys modulus 1024
The name for the keys will be: Rl.span.com % The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
Dec 13 16:19:12.079: %SSH-5-ENABLED: SSH 1.99 has been enabled
R1(config)#
R1(config)# username Bob secret cisco
R1(config)# line vty 0 4
R1(config-line)# login local
R1(config-line)# transport input ssh
R1(config-line)# exit
R1(config)#