Статья опубликована в рамках: Научного журнала «Студенческий» № 16(16)
Рубрика журнала: Информационные технологии
Скачать книгу(-и): скачать журнал
АУТЕНТИФИКАЦИЯ ЧЕРЕЗ SECURE SHELL В МАРШРУТИЗАТОРАХ ПОД УПРАВЛЕНИЕМ ОПЕРАЦИОННОЙ СИСТЕМЫ CISCO INTERNET OPERATING SYSTEM
PKI (Public Key Authentication) метод аутентификации, который использует пару ключей для аутентификации вместо пароля. Создаются два ключа - публичный ключ и приватный ключ. Любое устройство, у которого есть публичный ключ, может шифровать данные, которые могут быть расшифрованы только приватным ключом. Владельцы публичного ключа смогут отправлять зашифрованные сообщения. А те, у кого есть приватный ключ, смогут его расшифровать. Приватный ключ должен быть защищен. Поэтому он не должен быть в открытом доступе.
Для защищенного удаленного управления сетевым оборудованием, к примеру, маршрутизатором под управлением Cisco IOS (Internet Operating System), пару публичный-приватный ключ можно создать на компьютере. Если компьютер работает под операционной системой Windows, нужно использовать дополнительные программные продукты. Затем добавить публичный ключ в маршрутизатор и использовать его для аутентификации по Secure Shell (SSH). Маршрутизатор будет отправлять компьютеру зашифрованные сообщения, которые тот сможет расшифровать только потому, что у него есть приватный ключ.
Первое, что нужно сделать, это создать пару приватный-публичный ключ RSA (протокол назван в честь ученых Ривест, Адлеман и Шамир). В Windows для этого можно использовать программу PuTTY. PuTTY - это самый распространенный выбор в качестве SSH-клиента для Windows. Сам Putty не может генерировать ключи RSA. Это можно сделать с помощью PuTTYgen (PuTTY Key Generator). Для генерации пары ключей подходят настройки по умолчанию. Это использование алгоритма RSA и длина ключа 2048 бит. Нажав на кнопку “Generate” в программе, начнется процесс генерации пары ключей. Для генерации случайного ключа генератор ключей PuTTY использует движения курсора, который нужно постоянно передвигать, пока ключи не будут готовы. После окончания отобразится окно с ключами. При закрытии приложения ключи исчезнут, поэтому их необходимо сохранить. При желании можно добавить комментарий. Следует тщательно защищать приватный ключ, он не должен покидать компьютер, на котором был создан. Рекомендуется установить ключевую фразу для его защиты, чтобы она была простой, но это опционально. Для сохранения ключей нужно нажать “save public key” для публичного для и “save private key” для приватного ключа. Будут использованы следующие имена файлов: для публичного ключа -”my_user.pub”, а для приватного - “my_user.ppk” Это все, что нужно сделать на компьютере. Далее следует настроить сетевое оборудование - маршрутизатор Cisco IOS.
Базовая конфигурация SSH выглядит следующим образом. Сначала требуется войти в привилегированный режим, потом в режиме настройки дать устройству имя хоста (пусть это будет R1) и доменное имя (SSH-RSA-AUTH). При генерации ключей указать, какую длину использовать – так как по-умолчанию оборудование предлагает 512 бит. Затем включить SSH второй версии.
Рисунок 1. Базовая конфигурация SSH
Настройка VTY (VirtualTeletYpe) для приема только SSH и локальная проверка подлинности настраивается как показано на рисунке 2.
Рисунок 2. Настройка VTY
Далее можно импортировать открытые ключи пользователей из Windows. Для этого нужно открыть файл публичного ключа (my_user.pub) в любом текстовом редакторе, скопировать его и добавить этот ключ для созданного ранее пользователя на сетевом оборудовании. Пусть это будет пользователь под именем "MY_USER". Чтобы добавить ключ построчно, нужно ввести команду “key-string”. Добавление строк будет продолжаться до тех пор, пока не будет набрано “exit”
Рисунок 3. Пример публичного ключа
Рисунок 4. Добавление публичного ключа на сетевое устройство
Маршрутизатор теперь знает публичный ключ пользователя. Можно добавить несколько открытых ключей для одного имени пользователя. Это позволяет нескольким пользователям получить доступ к маршрутизатору с тем же именем пользователя. После добавления открытого ключа к маршрутизатору Cisco IOS вычисляет хэш-функцию от ключа. Для проверки можно посмотреть конфигурацию сетевого устройства.
Рисунок 5. Проверка хэш-функции на сетевом устройстве
Можно проверить, одинаковые ли они на компьютере и сетевом устройстве. Генератор ключей PuTTY также показывает это в поле “Key fingerprint”.
Рисунок 6. Хэш-функция от ключа в программе PuTTY Key Generator
Если хэш ключа - fingerprint ( англ. отпечаток пальца) на устройствах одинаковые, тогда у маршрутизатора правильный открытый ключ. Чтобы подключиться к маршрутизатору, нужно настроить PuTTY следующим образом. В секции “Connection” выбрать “SSH”. Нажав на кнопку обзора “Browse”, выбрать файл приватного ключа (my_user.ppk). В секции “Data” добавляется имя пользователя. Перейдя на главный экран программы следует указать нужный сетевой адрес (IP address) и для типа подключения выбрать SSH. Чтобы сохранить настройки, требуется нажать кнопку “Save”. После нажатия на “Open” происходит подключение к оборудованию.
Список литературы:
- Huawei Technologies Co., Ltd. HAINA Routing and Switching Technology Student Guide Volume 1, 2015. C. 361–370.
- Курс CISCO CCNA v6: Introduction to networks // Chapter 11. Build a small network, 11.2.4.1-11.2.4.4
- PuTTY: Telnet/SSH Клиент [Электронный ресурс]. URL: http://www.putty.org/ (дата обращения: 13.10.2017).
- SSH Communications Security, SSH (SECURE SHELL) [Электронный ресурс] . 2017. https://www.ssh.com/ssh/ (дата обращения: 13.10.2017).
- Cisco 1941 Integrated Services Router [Электронный ресурс]. URL: https://www.cisco.com/c/en/us/support/routers/1941-integrated-services-router-isr/model.html (дата обращения: 13.10.2017).
- Configuring Secure Shell on Routers and Switches Running Cisco IOS [Электронный ресурс]. URL: https://www.cisco.com/c/en/us/support/docs/security-vpn/secure-shell-ssh/4145-ssh.html (дата обращения: 13.10.2017).
Оставить комментарий