- Telnet과 SSH
Telnet과 SSH는 원격으로 장비에 접속하기 위한 프로토콜입니다. 이중에서 텔넷은 원격 접속을 위하여 많이 사용하는 프로토콜이기는 하지만 보안성이 없습니다. 즉, 송수신되는 내용이 암호화되지 않는 평문이므로 공격자가 내용을 모두 확인할 수 있습니다. 그러나 SSH는 메시지가 암호화되어 전송되므로 보안성이 높습니다.
R1에서 원격지 라우터인 R2로 텔넷을 이용하여 접속을 하려면 기본설정이 필요합니다.
* R2 설정
R2(config)line vty 0 15 // VTY 텔넷 설정 0~15번까지 설정
(line vty 0 4) // 0번부터 4번까지 총 5개의 텔넷이 동시에 가능하다는 뜻입니다.
R2(config-line)transport input telnet // VTY 텔넷 인증 수단을 Telnet으로 변경
R2(config-line)login local // VTY 텔넷 User로 로그인 인증 수행
login // VTY password 있어야함
no login // password 없이 바로 login
R2(config)#username cisco password cisco
R2(config)#enable password cisco
* R1에서 R2로 접속
R1#telnet 192.168.10.2
Trying 192.168.10.2 ... Open
User Access Verification
Username: cisco
Password: cisco
R2>en
Password: cisco
R2#
- SSH
SSH(secure shell)은 원격 접속 시 상대를 확인하는 인증(authentication) 기능 외에 텔넷에 없는 패킷 암호화(encryption) 기능, 패킷 변조를 방지하는 무결성 확인(integrity) 기능을 제공하여 보안성이 뛰어납니다.
SSH는 버전 1과 2가 있으며, 버전 1의 취약점을 보완한 것이 버전 2이므로 가능하면 이것을 사용하는 것이 좋습니다. 두 버전 간에는 호환성이 없습니다.
R2에서 R1으로 SSH를 이용하여 접속을 하겠습니다.
- SSH에서 사용할 암호키 만들기
R1(config)ip domain-name [domain-name] // ssh 설정을 위한 domain-name설정
R1(config)#crypto key generate rsa
The name for the keys will be: R1.cisco
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024 // RSA 키 설정 및 모듈 Bit값 Default는 512, 1024(시스코 권고값)
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
- 로컬 DB 만들기
R1(config)#username cisco privilege 15 password cisco // 원격 접속하게 되면 관리자 모드로 바로 들어가짐
R1(config)#line vty 0 4
R1(config-line)#login local
- SSH 옵션 설정하기
R1(config)#ip ssh version 2
R1(config)#line vty 0 4
R1(config-line)#transport input ssh
-SSH을 이용한 접속
R2#ssh -l cisco (-p 포트번호) 192.168.10.1 // -p 은 포트 번호가 변경이 되었을 때 입력 하면 됩니다. 기본적으로 22 입니다.
Password: cisco
R1#
-현재 텔넷 접속자 확인
R2#show user
Line User Host(s) Idle Location
* 0 con 0 idle 00:00:00
162 vty 0 cisco idle 00:00:03 192.168.10.1
- 텔넷 접속자 끊기
R2#clear line 162
[confirm]
[OK]
- ssh acl 접속옵션
Switch#3(config)#ip access-list standard 20 // acl 20 생성
Switch#3(config-std-nacl)#permit 192.168.10.2 // 192.168.10.2 허용
Switch#2(config)#ip access-list extended 100 // acl 100 생성
Switch#2(config-ext-nacl)#permit ip host 192.168.10.2 any // 192.168.10.2 허용
Switch(config)#access-list 10 permit host 10.10.10.11 // acl 10 생성 (10.10.10.11 허용)
Switch(config)#access-list 10 permit host 10.10.10.12 // acl 10 생성 (10.10.10.12 허용)
Switch(config)#line vty 0 15
Switch(config-line)#access-class 10 in // 세션 0 ~ 4 에 acl 10 적용
위 처럼 설정 시 10.10.10.11 , 10.10.10.12 만 ssh 접속을 허용합니다.
- ssh port 번호 변경
R1#(config)ip ssh port 2000 rotary 1 // ssh port 번호 설정
R1(config)#ip access-list extended denyssh // 확장형 acl ssh port 생성
R1(config-ext-nacl)#deny tcp any any eq 22
R1(config-ext-nacl)#permit tcp any any eq 2002
R1(config)#line vty 0 4
R1(config-line)#rotary 1 // ssh port 번호 적용
R1(config-line)#access-class denyssh in // ssh port acl 적용
참고 : KING-of-NET-WORKING(킹 오브 네트워킹)
잘못된 부분이 있으면 댓글 남겨주시면 감사하겠습니다.
'Network > Cisco IOS' 카테고리의 다른 글
Cisco Routing Protocol [RIP, OSPF, BGP) (0) | 2022.04.16 |
---|---|
Cisco Static Routing (2) | 2022.04.15 |
Cisco 장비 Password 설정 (0) | 2022.04.14 |
Cisco Ping (0) | 2022.04.14 |
Cisco CDP (0) | 2022.04.14 |