[GNS3] SSH in Router

목표: 라우터 / 스위치 같은 네트워크 장비를 원격제어하기

라우터에 SSH 서버 설정: 라우터의 계정이 필요한데? + SSH 서버가 활성화 되어있어야해 + key값도 있어야해

-> 계정 생성 및 활성화 필요 + key값

구형: telnet 기본 사용 -> 보안 X

신형: ssh 활성화 시켜야함 -> 보안 O

conf t

username __id__ password __pw__ : 시스템 로컬 계정

일반 사용자(user) -> 관리자 모드(administrator)로 가기 위해서 원격접속 시 관리자 비밀번호 필요

conf t

enable password __pw__ : 관리자 패스워드 지정

근데 sh run 하면 다보임 -> 관리자 노출됨 -> 암호화 필요

conf t

enable secret __pw__ : 관리자 패스워드 지정 + 암호화 저장 (해시)

암호화 강도가 높은 쪽을 우선으로 패스워드 저장

계정 비밀번호 / 관리자 비밀번호 -> 기본적으로 평문 저장됨

no service password-encryption 이 기본 설정값인데, 암호화를 사용하지 않겠다는 뜻

conf t

service password-encryption ---> 패스워드 암호화 쓸거야.

 

# telnet은 보안성이 없다.

R1(config)#line ?
  <0-6>    First Line number
  aux      Auxiliary line
  console  Primary terminal line
  vty      Virtual terminal

line: 라우터에 접근 방법

line vty 0 4 : 0~4 까지 동시접속 가능한 가상 터미널(=pty)

password __pw__

login               :default값은 local

transport input __protocol__  :기본이 telnet 통신

이렇게 라우터에 접속하면 en(관리자모드)를 빼먹지말자!

--------> 패킷트레이서 사용해서 패킷보면 뭐 입력했는지 다 보이니까 쓰지마

보안성을 갖고 원격제어를 하려면 SSH를 사용하자!

ssh 설정

계정 필요(생성은 위랑 같음)

ssh 인증서 -> key pair (공개키 / 비밀키)

1. 도메인 정의: 내가 사용하는 임의의 도메인 등록 ( ex: gingerbon.com)

conf t

ip domain-name __domain__

2. 도메인을 기반으로 하는 인증키 생성

RSA(대칭키) 길이에 따라 ssh버전 정의됨 -> 768은 v1.5이면서 v2.0을 사용하기 위한 최저 길이값, 512는 v1.5만 사용가능, 1024는 v1.99, 2048 v2.0 == RSA 2 : 보안성 좋아야 되니까 무조건 버전 높은거 써라

conf t

crypto key generate rsa

2048

R1(config)#
*Nov  1 14:33:05.807: %SSH-5-ENABLED: SSH 1.99 has been enabled

어 왜 1.99냐 2.0 했는데... 하위 호환성 때문 -> v1.99에는 ssh 취약성이 존재 (downgrade attck 주의)

ssh -l __Username__   __IP__

다시 위랑 같이

conf t

line vty 0 4

transport input ssh ------------> ssh만 받아, 즉 telnet 접속 차단됨

login local

password __pwd__

 

ip ssh version 2 ---------> ssh version을 2로

ip ssh time-out __sec__ -------> sec(숫자)동안 암것도 안하면 종료

ip ssh authentication-retries 5 ---------> 재접속시도 5번까지(브루트포스 공격 방지)