Home CCNA הסבר והגדרת התחברות מאובטחת בSSH לSwitch

הסבר והגדרת התחברות מאובטחת בSSH לSwitch

by Tal Ben Shushan 29/03/2016 0 comment
הסבר והגדרת התחברות מאובטחת בSSH לSwitch
נהנתם מהמאמר ? שתפו אותו!

התחברות מאובטחת בSSH לSwitch

Untitled-1

 SSH הוא פרוטוקול המשתמש בפורט 22, פרוטוקול זה מאופיין בכך שהוא מאובטח ומצפין את במידע הנשלח אליו (כולל הסיסמא) לעומת Telnet שאינו מאובטח כלל והמידע הנשלח בו, נשלח כ-Clear Text בו ניתן להאזין למידע (גם לסיסמא ניתן להאזין)

האפשרויות להתחברות בסוויצ’ \ ראוטר הם Telnet \ SSH \ ALL

כל הזכויות שמורות לטל בן שושן – Shushan.co.il

על מנת להתחיל אנו צריכים להגדיר סיסמה ל Enable שהוא נותן לנו הרשאות “מנהל” בסוויצ’\ ראוטר אז בואו נתחיל,

נלחץ על הסוויצ’ פעמיים ואז נבחר בלשונית CLI

בדיוק כמו בתמונה

0

כעת נתחיל את הפקודות

נקיש

 Switch1# conf t

 

זה קיצור של configure terminal, במצב זה נוכל לקפנג את הסוויצ’

 Switch1(config)# enable pass

אם רשמתם רק חלק מהמילה תוכלו להשלים אותה על ידי לחיצה על tab כמו שניתן לראות מהשורה למעלה, כתבתי pass אבל השלמתי את המילה על ידי לחיצה על TAB וכאן אנו מגדירים את הסיסמא שהיא shushan

 Switch1(config)# enable password shushan

הסיסמא שאנו מגדירים לEnable בלבד חשובה מאוד שכן אנו רוצים שיהיה סיסמת כניסה לפיצ’ר הזה המגדיר לניהול הסוויצ’ סיסמא אבל הוא באמת כזה בטוח?

התשובה היא לא.

בואו נבדוק למה, נכניס את הפקודה

 Switch1# show running-config

ונקבל את הפלט הבא:

אני רוצה שתסתכלו על השורות הראשונות, ניתן לראות שהסיסמא שהזנתי (מסומן באדום) קודם ניתן לראות אותה באופן גלוי כPlain-text ולכן אנו הולכים לשנות זאת

 Building configuration… 

 Current configuration : 1226 bytes 

 ! 

 version 12.2 

 no service timestamps log datetime msec 

 no service timestamps debug datetime msec 

 ! 

enable password shushan

 no service password-encryption 

כעת מה שנעשה הוא, נקיש את הפקודה

 Switch1(config)# enable secret tal

נצא ממצב Config על ידי כך שנרשום exit

 Switch1(config)# exit

ושוב נבדוק את ה Runing-Config

ותוכלו לראות באדום שיש סיסמא אבל הסיסמא מוצפנת (יש אתרים רבים ברשת שהופכים את הסיסמא הזו… אבל על זה נכתוב בפעם אחרת)

נקיש show running-config ונראה את הפקודה

 Switch1# show running-config

 Building configuration… 

 Current configuration : 1273 bytes 

 ! 

 version 12.2 

 no service timestamps log datetime msec 

 no service timestamps debug datetime msec 

 no service password-encryption 

 ! 

 hostname Switch1 

 ! 

enable secret 5 $1$mERr$I2ezA3UVTNKhrueJPtlzE0

 enable password shushan 

 ! 

 ! 

 ! 

 ip ssh version 2 

 ip domain-name shushan.co.il 

 ! 

 username shushan privilege 1 password 0 shushan 

 ! 

 ! 

כעת נחזור לConfigure Terminal

 Switch1# configure terminal

ונבצע את הפקודות הבאות:

נשנה שם לסוויצ’

 Switch(config)# hostname Switch1

נגדיר שם משתמש וסיסמא

 Switch1(config)# username shushan Password shushan

נבחר את Vlan 1

 Switch1(config)# interface vlan 1

נגדיר כתובת IP לניהול ה סוויצ’, בחרתי את הכתובת 192.168.1.100

 Switch1(config-if)# ip address 192.168.1.100 255.255.255.0

פקודה זו חשובה מאוד! אנו צריכים “להרים” את החיבור הזה, ולכן נקיש No Shutdown, ולאחר מכן ניתן לראות שנקבל הודעה שהפורט למעלה: changed state to up

 Switch1(config-if)# no shutdown

 Switch1(config-if)# 

 %LINK-5-CHANGED: Interface Vlan1, changed state to up 

 %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up 

אנו אכן נמצאים בתוך Config אבל גם בתוך הגדרת ה interface ולכן אנו רוצים לצאת ממצב interface וחזור צעד אחורה לConfigure Terminal ולכן ידי exit נוכל לחזור פעם אחת ל Configure Terminal

 Switch1(config-if)# exit

ניתן כעת שם לדומיין שלנו בסוויצ’ ואני בחרתי ב Shushan.co.il

 Switch1(config)# ip domain-name shushan.co.il

כעת ניצור תעודת אבטחה על מנת שהחיבור יהיה מוצפן על ידי הפקודה:

 Switch1(config)# crypto key generate rsa

 The name for the keys will be: Switch1.shushan.co.il 

 Choose the size of the key modulus in the range of 360 to 2048 for your 

 General Purpose Keys. Choosing a key modulus greater than 512 may take 

 a few minutes. 

בשלב זה הוא ישאל אותנו בכמה סיביות אנו מעוניינים בהצפנה, נבחר 768 וזאת על מנת לבחור גרסת SSH גרסה 2

 How many bits in the modulus [512]:  768

 % Generating 768 bit RSA keys, keys will be non-exportable…[OK] 

כעת נבחר את גירסה 2 (אם לא הייתם מבצעים הצפנה של 768 סיביות, לא הייתם יכולים לבחור בגירסה זו)

 Switch1(config)# ip ssh version 2

 *??? 1 1:45:29.53: %SSH-5-ENABLED: SSH 1.99 has been enabled 

line vty זה פירוש של virtual line, ובעצם יש לנו כ-16 חיבורים כאלו בסוויצ’ על מנת לכסות את כל החיבורים ולהכריח אותם להשתמש בSSH אנו נבחר את כולם מ 0-16 על ידי פקודה זו

 Switch1(config)# line vty 0 15

כעת נגדיר שההתחברות תישמר לוקאלית (מקומית)

 Switch1(config-line)# login local 

וכאן נגדיר שהחיבור היחיד המותר הוא SSH

 Switch1(config-line)# transport input ssh

כעת לאחר שהגדרנו את כל מה שאנחנו צריכים על מנת להתחבר בSSH בלבד, נבצע התחברות שכזו דרך הPacket Tracer

ניתן לראות שרשמתי את כתובת הניהול של הסוויצ’ שהגדרנו קודם לכן וזאת שלא אשכח את הכתובת אם אצטרך

כעת נלחץ על אחד המחשבים ואז בלשונית Desktop נבחר את Command Prompt
2

נרשום פקודה זו כאשר shushan הוא למעשה שם המשתמש, ואילו הכתובת היא כתובת הניהול של הסוויצ’ אליו אני רוצה לגשת

ssh -l shushan 192.168.1.100

לאחר מכן הוא יבקש את הסיסמא לSSH, ולבסוף תתחברו, אל תשכחו! כאשר אתם רוצים להכנס לenable עליכם להקיש את הסיסמא שהחלנו בתחילת המדריך

4

מאמרים קשורים

Leave a Comment