Cisco Remote Zugang Telnet/SSH
SSH Zugang
Der Zugang per Telnet ist zwar ohne Probleme möglich, aber da bei der Telnet Anwendung der Benutzername und das Passwort im Klartext übertragen werden, kommt es heute kaum noch zum Einsatz.
Man verwendet daher lieber ssh (secureShell) in der Version 2.
Auszug aus Wikipedia
Authentifizierung
Der Server identifiziert sich dem Client gegenüber mit einem RSA-, DSA- oder ECDSA-Zertifikat, wodurch Manipulationen im Netzwerk erkannt werden können (kein anderer kann sich als ein bekannter Server ausgeben).
Der Client kann sich wahlweise per Public-Key-Authentifizierung mit einem privaten Schlüssel, dessen öffentlicher Schlüssel auf dem Server hinterlegt ist, oder einem gewöhnlichenKennwort authentifizieren. Während Letzteres immer eine Benutzerinteraktion erfordert (solange das Kennwort nicht unverschlüsselt auf dem Client-Rechner gespeichert werden soll), ermöglicht die Public-Key-Authentifizierung, dass sich Client-Computer auch ohne Benutzerinteraktion auf SSH-Servern einloggen können, ohne dass dabei ein Passwort auf dem Client im Klartext gespeichert werden muss. Zur weiteren Absicherung können die privaten SSH-Schlüssel mit einem Passwort geschützt werden. Neuere Versionen des OpenSSH-Servers unterstützen die Mehrfaktor-Authentifizierung, bei der eine Kombination unterstützter Authentifizierungsverfahren erfolgreich durchlaufen werden muss.
Wie konfiguriert man das ganze jetzt auf einem Cisco Switch ?
Es muss ein Domain Name festgelegt werden, dann muss ein ssh Key erzeugt werden und es muss natürlich ssh eingeschaltet werden.
Das ist nur die ssh Konfiguration, somit ist aber noch kein Zugriff per ssh auf den Switch möglich, das muss in der vty Konfiguration noch eingestellt werden.
Konfigurieren von ssh
Emma> en
Emma# configure terminal
Emma(config)# ip domain-name beispiel.local
Emma(config)# crypto key generate rsa
Emma(config)# ip ssh version 2
Den Fernzugriff umstellen von Telnet auf ssh
Emma>en
Emma#configure Terminal
Emma(config)#line vty 0 15
Emma(config-line)# transport input ssh
Emma(config-line)#end
Emma(config)#end
Emma#
Damit der Switch/Router Remote erreichbar ist, muss natürlich eine IP Adresse vergeben sein, die erreichbar ist
Passwörter vergeben
Der Beste Remotezugang nutzt nichts, wenn er nicht abgesichert ist.
Dazu kann man entweder ein Passwort festlegen, mit dem man sich per Telnet oder ssh anmelden kann oder man legt einen lokalen Benutzer an der sich Remote anmelden darf.
Auch eine Kombination mit externen Authentifizierungs Methoden (Radius/Tacacs+) ist möglich
Switch> –>User Mode
Switch> en –> wechsel in den enable Mode
Switch# conf t –> wechsel in den globalen Konfigurations Modus
Switch(config)# username tom privilege 15 secret Cisco$123
Switch(config)# line vty 0 15
Switch(config-line)#login local <– das System anweisen die lokalen user abzufragen
Switch(config-line)#Strg-Z
Switch#
So wurde der User Tom angelegt und darf sich remote anmelden