התחברות מאובטחת בSSH לSwitch
SSH הוא פרוטוקול המשתמש בפורט 22, פרוטוקול זה מאופיין בכך שהוא מאובטח ומצפין את במידע הנשלח אליו (כולל הסיסמא) לעומת Telnet שאינו מאובטח כלל והמידע הנשלח בו, נשלח כ-Clear Text בו ניתן להאזין למידע (גם לסיסמא ניתן להאזין)
האפשרויות להתחברות בסוויצ’ \ ראוטר הם Telnet \ SSH \ ALL
כל הזכויות שמורות לטל בן שושן – Shushan.co.il
על מנת להתחיל אנו צריכים להגדיר סיסמה ל Enable שהוא נותן לנו הרשאות “מנהל” בסוויצ’\ ראוטר אז בואו נתחיל,
נלחץ על הסוויצ’ פעמיים ואז נבחר בלשונית CLI
בדיוק כמו בתמונה
כעת נתחיל את הפקודות
נקיש
[su_highlight]Switch1#[/su_highlight]conf t
זה קיצור של configure terminal, במצב זה נוכל לקפנג את הסוויצ’
[su_highlight]Switch1(config)#[/su_highlight]enable pass
אם רשמתם רק חלק מהמילה תוכלו להשלים אותה על ידי לחיצה על tab כמו שניתן לראות מהשורה למעלה, כתבתי pass אבל השלמתי את המילה על ידי לחיצה על TAB וכאן אנו מגדירים את הסיסמא שהיא shushan
[su_highlight]Switch1(config)#[/su_highlight]enable password shushan
הסיסמא שאנו מגדירים לEnable בלבד חשובה מאוד שכן אנו רוצים שיהיה סיסמת כניסה לפיצ’ר הזה המגדיר לניהול הסוויצ’ סיסמא אבל הוא באמת כזה בטוח?
התשובה היא לא.
בואו נבדוק למה, נכניס את הפקודה
[su_highlight]Switch1#[/su_highlight]show running-config
ונקבל את הפלט הבא:
אני רוצה שתסתכלו על השורות הראשונות, ניתן לראות שהסיסמא שהזנתי (מסומן באדום) קודם ניתן לראות אותה באופן גלוי כPlain-text ולכן אנו הולכים לשנות זאת
[su_highlight]Building configuration…[/su_highlight]
[su_highlight]Current configuration : 1226 bytes[/su_highlight]
[su_highlight]![/su_highlight]
[su_highlight]version 12.2[/su_highlight]
[su_highlight]no service timestamps log datetime msec[/su_highlight]
[su_highlight]no service timestamps debug datetime msec[/su_highlight]
[su_highlight]![/su_highlight]
enable password shushan
[su_highlight]no service password-encryption[/su_highlight]
כעת מה שנעשה הוא, נקיש את הפקודה
[su_highlight]Switch1(config)#[/su_highlight]enable secret tal
נצא ממצב Config על ידי כך שנרשום exit
[su_highlight]Switch1(config)#[/su_highlight]exit
ושוב נבדוק את ה Runing-Config
ותוכלו לראות באדום שיש סיסמא אבל הסיסמא מוצפנת (יש אתרים רבים ברשת שהופכים את הסיסמא הזו… אבל על זה נכתוב בפעם אחרת)
נקיש show running-config ונראה את הפקודה
[su_highlight]Switch1#[/su_highlight]show running-config
[su_highlight]Building configuration…[/su_highlight]
[su_highlight]Current configuration : 1273 bytes[/su_highlight]
[su_highlight]![/su_highlight]
[su_highlight]version 12.2[/su_highlight]
[su_highlight]no service timestamps log datetime msec[/su_highlight]
[su_highlight]no service timestamps debug datetime msec[/su_highlight]
[su_highlight]no service password-encryption[/su_highlight]
[su_highlight]![/su_highlight]
[su_highlight]hostname Switch1[/su_highlight]
[su_highlight]![/su_highlight]
enable secret 5 $1$mERr$I2ezA3UVTNKhrueJPtlzE0
[su_highlight]enable password shushan[/su_highlight]
[su_highlight]![/su_highlight]
[su_highlight]![/su_highlight]
[su_highlight]![/su_highlight]
[su_highlight]ip ssh version 2[/su_highlight]
[su_highlight]ip domain-name shushan.co.il[/su_highlight]
[su_highlight]![/su_highlight]
[su_highlight]username shushan privilege 1 password 0 shushan[/su_highlight]
[su_highlight]![/su_highlight]
[su_highlight]![/su_highlight]
כעת נחזור לConfigure Terminal
[su_highlight]Switch1#[/su_highlight]configure terminal
ונבצע את הפקודות הבאות:
נשנה שם לסוויצ’
[su_highlight]Switch(config)#[/su_highlight]hostname Switch1
נגדיר שם משתמש וסיסמא
[su_highlight]Switch1(config)#[/su_highlight]username shushan Password shushan
נבחר את Vlan 1
[su_highlight]Switch1(config)#[/su_highlight]interface vlan 1
נגדיר כתובת IP לניהול ה סוויצ’, בחרתי את הכתובת 192.168.1.100
[su_highlight]Switch1(config-if)#[/su_highlight]ip address 192.168.1.100 255.255.255.0
פקודה זו חשובה מאוד! אנו צריכים “להרים” את החיבור הזה, ולכן נקיש No Shutdown, ולאחר מכן ניתן לראות שנקבל הודעה שהפורט למעלה: changed state to up
[su_highlight]Switch1(config-if)#[/su_highlight]no shutdown
[su_highlight]Switch1(config-if)#[/su_highlight]
[su_highlight]%LINK-5-CHANGED: Interface Vlan1, changed state to up[/su_highlight]
[su_highlight]%LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan1, changed state to up[/su_highlight]
אנו אכן נמצאים בתוך Config אבל גם בתוך הגדרת ה interface ולכן אנו רוצים לצאת ממצב interface וחזור צעד אחורה לConfigure Terminal ולכן ידי exit נוכל לחזור פעם אחת ל Configure Terminal
[su_highlight]Switch1(config-if)#[/su_highlight]exit
ניתן כעת שם לדומיין שלנו בסוויצ’ ואני בחרתי ב Shushan.co.il
[su_highlight]Switch1(config)#[/su_highlight]ip domain-name shushan.co.il
כעת ניצור תעודת אבטחה על מנת שהחיבור יהיה מוצפן על ידי הפקודה:
[su_highlight]Switch1(config)#[/su_highlight]crypto key generate rsa
[su_highlight]The name for the keys will be: Switch1.shushan.co.il[/su_highlight]
[su_highlight]Choose the size of the key modulus in the range of 360 to 2048 for your[/su_highlight]
[su_highlight]General Purpose Keys. Choosing a key modulus greater than 512 may take[/su_highlight]
[su_highlight]a few minutes.[/su_highlight]
בשלב זה הוא ישאל אותנו בכמה סיביות אנו מעוניינים בהצפנה, נבחר 768 וזאת על מנת לבחור גרסת SSH גרסה 2
[su_highlight]How many bits in the modulus [512]:[/su_highlight] 768
[su_highlight]% Generating 768 bit RSA keys, keys will be non-exportable…[OK][/su_highlight]
כעת נבחר את גירסה 2 (אם לא הייתם מבצעים הצפנה של 768 סיביות, לא הייתם יכולים לבחור בגירסה זו)
[su_highlight]Switch1(config)#[/su_highlight]ip ssh version 2
[su_highlight]*??? 1 1:45:29.53: %SSH-5-ENABLED: SSH 1.99 has been enabled[/su_highlight]
line vty זה פירוש של virtual line, ובעצם יש לנו כ-16 חיבורים כאלו בסוויצ’ על מנת לכסות את כל החיבורים ולהכריח אותם להשתמש בSSH אנו נבחר את כולם מ 0-16 על ידי פקודה זו
[su_highlight]Switch1(config)#[/su_highlight]line vty 0 15
כעת נגדיר שההתחברות תישמר לוקאלית (מקומית)
[su_highlight]Switch1(config-line)#[/su_highlight]login local
וכאן נגדיר שהחיבור היחיד המותר הוא SSH
[su_highlight]Switch1(config-line)#[/su_highlight]transport input ssh
כעת לאחר שהגדרנו את כל מה שאנחנו צריכים על מנת להתחבר בSSH בלבד, נבצע התחברות שכזו דרך הPacket Tracer
ניתן לראות שרשמתי את כתובת הניהול של הסוויצ’ שהגדרנו קודם לכן וזאת שלא אשכח את הכתובת אם אצטרך
כעת נלחץ על אחד המחשבים ואז בלשונית Desktop נבחר את Command Prompt
נרשום פקודה זו כאשר shushan הוא למעשה שם המשתמש, ואילו הכתובת היא כתובת הניהול של הסוויצ’ אליו אני רוצה לגשת
ssh -l shushan 192.168.1.100
לאחר מכן הוא יבקש את הסיסמא לSSH, ולבסוף תתחברו, אל תשכחו! כאשר אתם רוצים להכנס לenable עליכם להקיש את הסיסמא שהחלנו בתחילת המדריך