Il protocollo abilitato di default sui router Cisco è Telnet. Come molti sapranno l’uso di questo protocollo è deprecato per il semplice fatto che lo scambio dei dati tra i server e host avviene in chiaro, username e password vengono inviati senza alcuna forma di crittazione.
SSH risolve questo problema, ma va abilitato.
Innanzitutto eliminiamo le eventuali altre chiavi generate in passato, che potrebbero essere compromesse e non essendo state generate da noi c’è poco da fidarsi ;)
r_1751V(config)#crypto key zeroize rsa
% All RSA keys will be removed.
% All router certs issued using these keys will also be removed.
Do you really want to remove these keys? [yes/no]: yes
r_1751V(config)#
*Mar 1 03:30:50.139: %SSH-5-DISABLED: SSH 1.99 has been disabled
r_1751V(config)#
A questo punto generiamo la nostra nuova chiave RSA a 1024 bit
r_1751V(config)#crypto key generate rsa general-keys modulus 1024
The name for the keys will be: r_1751V.v3-labs.info
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
*Mar 1 03:32:04.403: %SSH-5-ENABLED: SSH 1.99 has been enabled
Ora configuriamo alcuni parametri di SSH come il timeout (è il tempo che il router attende l’inserimento di un comando prima di interrompere la sessione), e l’authentication-retries (il numero di tentativi permessi prima che l’interfaccia venga resettata)
r_1751V(config)#ip ssh time-out 120
r_1751V(config)#ip ssh authentication-retries 4
Ora dobbiamo dire al router su quale line vogliamo abilitare l’accesso tramite SSH
r_1751V(config)#line vty 0 4
r_1751V(config-line)#transport input ssh
r_1751V(config-line)#end
r_1751V#
Se volessimo vedere la nostra chiave pubblica RSA, il comando seguente ce la mostra:
r_1751V#show crypto key mypubkey rsa
% Key pair was generated at: 03:32:04 UTC Mar 1 2002
Key name: r_1751V.v3-labs.info
Usage: General Purpose Key
Key is not exportable.
Key Data:
30819F30 0D06092A 864886F7 0D010101 05000381 8D003081 89028181 00D9FF08
3CAE8A83 2921B563 88533E12 5D79D9A5 B769BF74 34DA0639 01E754C1 8A1BAA0B
163143F0 394DE1CE C4BD0645 422C4B12 CA00F111 91B6A6D6 DD032996 3B2FF765
B44710E4 45F99D1B 68521B57 FA6AC8EB 7B9E7C28 AF1A1BFD 12E7E352 EF223940
01367A7E FB5B1C3E 55BCC32D 20720D85 8BAB6A3A C366EE6D D9594D6E CF020301 0001
% Key pair was generated at: 03:32:09 UTC Mar 1 2002
Key name: r_1751V.v3-labs.info.server
Usage: Encryption Key
Key is not exportable.
Key Data:
307C300D 06092A86 4886F70D 01010105 00036B00 30680261 00B7BE8C 2DA910C7
DA5388E4 DB1DDCC3 5BDB4D4A 2844EC73 BC4C1169 CAAB0E6F 6C3A40FC 37464B4C
98FBAA7D AEC49A33 E278D64C 91500D57 96007553 D554A30F 0C48127E 0C15DC73
AF3956EC 163F31FB 783E7475 9A24DF97 8FD2FC6E 8B459816 F1020301 0001
con questo comando invece possiamo visualizzare la versione del protocollo ssh installata sul nostro router:
r_1751V#show ip ssh
SSH Enabled - version 1.99
Authentication timeout: 120 secs; Authentication retries: 4
Non ci resta che abilitare aaa e creare un utente…
r_1751V(config)#aaa new-model
r_1751V(config)#username gaetano password bresci
ed accedere con queste credenziali:
v3@linux-desktop:~$ ssh gaetano@10.1.0.1
The authenticity of host '10.1.0.1 (10.1.0.1)' can't be established.
RSA key fingerprint is 7d:de:4a:d1:dc:5a:ae:d3:39:9b:3f:49:9e:de:63:d2.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.1.0.1' (RSA) to the list of known hosts.
Password:
Router R 1751 CISCO
r_1751V>
GPG Key