book2

1.3 Secure Remote Access

1.3.1 Telnet operation

Telnet — старый протокол удалённого доступа к устройству. abbreviation
Он использует TCP 23. Проблема Telnet в том, что данные идут в открытом виде:

• username;
• password;
• commands;
• session data.

Главная мысль

Telnet небезопасен, потому что не шифрует трафик.

1.3.2 SSH operation

SSH (Secure Shell) — безопасный протокол удалённого доступа. abbreviation
Он использует TCP 22. Почему SSH лучше:

• логин шифруется;
• пароль шифруется;
• команды шифруются;
• сессия защищена.

Protocol	Port	Security
Telnet	23	Insecure
SSH	22	Secure

Формула для экзамена

23 = Telnet = insecure
22 = SSH = secure

1.3.3 Verify SSH support

Не каждый IOS image поддерживает crypto features. Проверка:

S1# show version

show version ciscoIOScommand Показывает IOS version, модель и другую системную информацию. Что искать:

• k9 в имени image. k9 обычно указывает, что crypto support есть.

1.3.4 Configure SSH

Перед настройкой SSH нужны:

• hostname;
• management IP;
• доступность устройства по сети;
• подходящий IOS image. Команды:

S1(config)# ip domain-name cisco.com
S1(config)# crypto key generate rsa
How many bits in the modulus [512]: 1024
S1(config)# username admin secret ccna
S1(config)# line vty 0 15
S1(config-line)# transport input ssh
S1(config-line)# login local
S1(config-line)# exit
S1(config)# ip ssh version 2

ip domain-name cisco.com ciscoIOScommand Задаёт domain name; нужен для генерации RSA keys. RSA — алгоритм криптографии с открытым ключом. abbreviation crypto key generate rsa ciscoIOScommand Создаёт RSA keys для SSH. username admin secret ccna ciscoIOScommand Создаёт локального пользователя и задаёт ему password в виде secret. line vty 0 15 ciscoIOScommand Переходит к настройке виртуальных терминальных линий для remote access. VTY (virtual teletype) — виртуальные линии удалённого доступа. abbreviation transport input ssh ciscoIOScommand Разрешает вход на VTY lines только по SSH. login local ciscoIOScommand Заставляет использовать локальную user database. ip ssh version 2 ciscoIOScommand Включает SSH version 2.

Важный момент

Используй SSHv2, а не SSHv1.

1.3.5 Verify SSH

Проверка:

S1# show ip ssh
S1# show ssh

show ip ssh ciscoIOScommand Показывает, включён ли SSH и какая версия используется. show ssh ciscoIOScommand Показывает активные SSH sessions. Если всё настроено правильно, ты увидишь:

• SSH enabled;
• version 2;
• active session или готовность к подключению.

1.3.6 Packet Tracer summary

Если прочитал и понял тему, ты должен видеть логику:

• Telnet небезопасен;
• SSH безопасен;
• для SSH нужны domain-name, RSA keys, local user и VTY settings.

Сжатая формула темы

SSH config = domain-name + RSA + username secret + line vty + transport input ssh + login local + version 2