Formazione \ Tutorial \ Tutorial Cisco \ Abilitare Secure Shell (SSH) su un Access Point (AP)

Abilitare Secure Shell (SSH) su un Access Point (AP)

ACCEDERE ALL'INTERFACCIA COMMAND-LINE (CLI) SU AIRONET AP

Puoi usare uno qualsiasi dei seguenti metodi per accedere alla CLI:

  • Porta console
  • Telnet
  • SSH

Il protocollo Telnet utilizza la porta 23 per le comunicazioni. Telnet trasmette e riceve dati in chiaro, quindi un hacker può facilmente compromettere la password e accedere all'AP.

SSH è un protocollo che fornisce connessioni remote sicure a dispositivi di livello 2 e 3 grazie alla crittazione quando ci si autentica su un dispositivo. Esistono due versioni di SSH: SSH versione1 e SSH versione 2. La release di questo software le supporta entrambe. Se non viene specificato il numero della versione, l'AP userà di default la versione 2.

Nota: SSH nella release di questo software non supporta IPSec.

Puoi configurare SSH sull'AP sia tramite la CLI sia tramite la GUI. In questo articolo sono spiegati entrambi i metodi di configurazione.

CONFIGURAZIONE TRAMITE CLI

Per abilitare l'accesso all'AP tramite SSH è necessario configurare l'AP come server SSH. Segui le seguenti istruzioni:

1. Configura un host name e un domain name per l'AP:

AP#configure terminal

!--- Enter global configuration mode on the AP.

AP<config>#hostname Test

!--- This example uses "Test" as the AP host name.

Test<config>#ip domain name abc.com

!--- This command configures the AP with the domain name "abc.com".

2. Genera una chiave Rivest, Shamir, e Adelman (RSA) per il tuo AP.

La generazione di una chiave RSA abilita SSh sul tuo AP. Inserisci questi comandi in global configuration mode:

 

Test<config>#crypto key generate rsa rsa_key_size


!--- This generates an RSA key and enables the SSH server.

 

Nota: la grandezza minima raccomandata per una chiave RSA è 1024.

3. Configura l'autenticazione utente sull'AP.

Sull'AP puoi configurare l'autenticazione utente sia usando la lista locale sie usando un server AAA (authentication, authorization, and accounting) esterno. Questo esempio usa una lista generata in locale per autenticare gli utenti:

 

 Test<config>#aaa new-model

!--- Enable AAA authentication.

Test<config>#aaa authentication login default local none

!--- Use the local database in order to authenticate users.

Test<config>#username Test password Test123

!--- Configure a user with the name "Test".

Test<config>#username ABC password xyz123

!--- Configure a second user with the name "ABC".

Questa configurazione configura l'AP per compiere un'autenticazione user-based tramite un database locale configurato sull'AP. L'esempio configura due utenti nel database locale: "Test" e "ABC".

4. Configura i parametri di SSH:

Test<config>#ip ssh {[timeout seconds] | [authentication-retries integer]}

!--- Configure the SSH control variables on the AP.

Nota: Puoi specificare il timeout in secondi ma non eccedere i 120 secondi. 120 è il valore di default. Questa impostazione è usata nella fase di negoziazione di SSH. Puoi anche specificare il numero di tentativi di autenticazione, ma non eccedere i 5 tentativi. Il valore di default è 3.

CONFIGURAZIONE TRAMITE GUI

Segui le seguenti istruzioni per abilitare l'accesso all'AP tramite SSH:

1. Loggati sull'AP tramite il browser

Sarà visualizzata la finestra Summary Status

2. Clicca Services nel menu sulla sinistra

Sarà visualizzata la finestra Services Summary

3. Clicca Telnet/SSH per configurare i parametri Telnet/SSH.

Verra visualizzata la finestra The Services: Telnet/SSH. Scendi fino all'area Secure Shell Configuration. Clicca Enable di fianco a Secure Shell, e inserisci i parametri SSH come mostrato in questo esempio:

  • System Name: Test

  • Domain Name: abc.com

  • RSA Key Size: 1024

  • Authentication Timeout: 120

  • Authentication Retries: 3

ssh_enable_ap3.gif

4. Clicca Apply per salvare i cambiamenti.

VERIFICA

Questa sezione spiega come verificare se la tua configurazione funziona correttamente.

Il Output Iterpreter Tool (OTI) supporta alcuni comandi show. Usa OTI per vedere un'analisi dell'output del comando show.

  • show ip ssh Verifica se SSH è abilitato sull'AP e ti abilita a vedere quale versione di SSH sta girando sull'AP. Questo output sarà simile a questo esempio:

  • show ssh — Ti permette di vedere lo stato delle connessioni del tuo server SSH. Questo output sarà simile all'esempio:

Ora inizia una connessione da un PC sul quale gira un software SSH di terze parti e prova afare un tentativo di log in sull'AP. Questa verifica utilizzal'indirizzo IP dell'AP 10.0.0.2. Visto che prima abbiamo configurato come username Test, usa questo per accedere all'AP tramite SSH.

 

TROUBLESHOOTING

Se i tuoi comandi di configurazione SSH sono rifiutati come comandi illegali, non sei riuscito a generare una coppia di chiavi RSA per il tuo AP.

DISABILITARE SSH

Per disabilitare SSH su un AP, è necessario eliminare la coppia di chiavi RSA generata sull'AP. Per eliminare questa coppia di chiavi inserisci il comando crypto key zeroize rsa in global configuration mode. Quando cancelli la coppia di chiavi RSA, disabiliti automaticamente il server SSH. L'output sarà simile all'esempio:

 

 

 

 

Bookmark and Share