二、为SSH协议进行特别的配置

对于思科的网络设备来说,其主要支持ssh与telent两种远程连接协议。作为网络管理员,需要注意的是这两种远程连接协议的区别,特别是在安全性上的差异。由于Telnet协议在网络中进行数据传输的时候,采用的都是明文的形式。如用户名与密码、指令等等都是通过明文形式传输的。为此其很不安全。故笔者建议大家,采用ssh协议来进行远程管理。这个协议在功能上跟telnet协议基本相同,只是更加的安全。因为如果采用ssh协议的话,那么数据在网络中传输采用的都是加密处理过的数据。即使其他攻击者截取了这些信息,不知道加密的方法,他们就无法对数据进行解密。为此他们即使获取了这些信息,也没有丝毫的用处。所以,从安全性上考虑,笔者建议大家采用ssh远程管理协议。

如果采用telnet协议的话,只需要配置虚拟端口口令与enable口令即可。但是如果采用ssh协议的话,还需要做一些准备工作。具体的来说,主要有以下几方面的内容。

一是要确认现有的IOS版本是否支持ssh协议。由于telnet协议出现的早。为了弥补telnet协议的不足,才在后来推出了ssh协议。为此并不是所有的IOS版本都支持ssh协议。现在推出的版本都已经支持了这个协议,主要是那些早期的设备。有可能采用的还是旧的IOS,对ssh协议支持的不是很好。一般来说,要让网络设备支持ssh协议的话,要求IOS的版本至少要达到12.1以上。如果没有达到这个版本,那么网络管理员可能就需要对其进行升级。以满足ssh协议管理的要求。

二是需要产生ssh协议所需要的密钥。除了在版本上要保证外,还需要为ssh加密传输产生一个密钥。默认情况下,思科的网络设备不会自动产生ssh连接所需要的密钥,需要网络管理员利用命令crypto key generate rsa等类似的命令来生成密钥。这个命令的含义就是利用RSA算法产生一个可用的密钥。在比较新的IOS版本中,除了支持RSA以外,网络管理员还可以选择其他类型的密钥。为此可以根据对安全的要求不同,采用不同安全等级的密钥算法。不过笔者认为,一般情况下这个RSA的算法已经足够安全了,特别是对于交换机来说。

三是还需要启用aaa new-model全局配置命令。这个命令主要用来指定ssh连接所需要使用的本地用户名和口令对入站的SSH会话进行认证,以及完成一些DNS名称和虚拟终端配置方面的工作。对这个AAA进行合理的配置,可以进一步提高SSH远程连接的安全性,以及消除一些SSH远程连接过程中的一个安全隐患。为此网络管理员需要评估ssh连接的安全风险,并根据风险的等级和来源进行AAA的相关配置。只有如此,才能够有针对性的提高远程管理的安全。


共3页: 上一页123下一页

相关内容