Telnet, SSH, Secure?..

[linhnhd]

Telnet, SSH, Secure ?​

1. Telnet​

​

TELNET là một giao thức để giao tiếp giữa client và server, dựa trên nền TCP/IP, và phần người dùng thường kết nối vào cổng 23 với một máy chủ, nơi cung cấp chương trình ứng dụng thi hành các dịch vụ.

Dữ liệu ở dạng clear-text không được mã hóa, nghĩa là chúng ta hoàn toàn có thể đọc được nội dung dữ liệu truyền qua client và server. Do vậy Telnet là một giao thức không bảo mật.

Trong Bài Lab: Tầm quan trọng việc bảo mật trong môi trường WAN (trong kết nối site to site giữa các văn phòng.) Nội dung bản tin Telnet hoàn toàn có thể bắt được bằng Wireshark.​

​

2. SSH​

​

SSH (Secure Shell) là một giao thức mạng dùng để thiết lập kết nối mạng một cách bảo mật. SSH hoạt động ở lớp trên trong mô hình phân lớp TCP/IP. Các công cụ SSH (như là SecureCRT, PuTTy,…) cung cấp cho người dùng cách thức để thiết lập kết nối mạng được mã hoá để tạo một kênh kết nối riêng tư. Hơn nữa tính năng tunneling (hoặc còn gọi là port forwarding) của các công cụ này cho phép chuyển tải các giao vận theo các giao thức khác. Do vậy có thể thấy khi xây dựng một hệ thống mạng dựa trên SSH, chúng ta sẽ có một hệ thống mạng riêng ảo VPN đơn giản.

Mỗi khi dữ liệu được gửi bởi một máy tính vào mạng, SSH tự động mã hoá nó. Khi dữ liệu được nhận vào, SSH tự động giải mã nó. Kết quả là việc mã hoá được thực hiện trong suốt: người dùng có thể làm việc bình thường, không biết rằng việc truyền thông của họ đã được mã hoá an toàn trên mạng.

SSH là giao thức an toàn dùng để quản trị từ xa, để thay thế cho giao thức không an toàn Telnet.​

​

3. Hướng dẫn cầu hình SSHv2 trên Router Cisco 2600.​

​

a) Mô hình.​

​

Sử dụng Interface Loopback của PC để thực hiện kết nối đến Router qua Cloud: C1
Bản IOS image hỗ trợ SSH là bản K9 (Crypto). Trong ví dụ này tôi sử dụng IOS: Software (C2691-ADVENTERPRISEK9-M), Version 12.3(17a), RELEASE SOFTWARE (fc2)​

b) Cấu hình.​

• Đặt địa chỉ IP loopback trên PC có địa chỉ 192.168.1.2/24 cùng dải với địa chỉ IP của Router R1.​

​

• Cấu hình Interface fastethernet 0/0 trên Router R1.​

Router[I](config)# interface FastEthernet0/0[/I]
Router(config-if)# [I]interface FastEthernet0/0[/I]
Router(config-if)# [I]ip address 192.168.1.1 255.255.255.0[/I]
Router(config-if)# [I]no shutdown[/I]

• Cấu hình hostname và domain-name​

 Router(config)# hostname Router
 Router(config)# ip domain-name bkav.com

• Tạo khóa RSA . Router sẽ sử dụng RSA trong tiến trình SSH, độ dài của khóa nên để 1024.​

Router(config)#crypto key generate rsa
The name for the keys will be: R1.bkav.com
Choose the size of the key modulus in the range of 360 to 2048 for your
  General Purpose Keys. Choosing a key modulus greater than 512 may take
  a few minutes.

How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys ...[OK]

• Cấu hình username, password.​

 Router(config)# username bkav password bkav@123

• Mã hóa password. Mục đích khi thực hiện show file cấu hình password sẽ được mã hóa mà không ở dạng clear-text

SWCORE(config)#service password-encryption

• Đặt Password enable.

 Router(config)# enable secret bkav@123

• Cấu hình SSHv2.​

 Router(config)# ip ssh version 2

• Cấu hình vty password và chuyển sang sử dụng SSH.​

 Router(config)# Line vty 0 4
 Router(config-line)#Password bkav@123
 Router(config-line)#Transport input ssh

• Thực hiện SSH bằng phần mềm SecureCRT, Putty..​

Chúc các bạn thành công!​

 

Bài viết của Mod khá chi tiết, tuy nhiên nếu show thêm kết quả cuối cùng để người dùng so sánh, hiểu được sự cần thiết khi dùng ssh thay cho telnet thì người đọc sẽ dễ dàng hiểu được.

 

Mình muốn hỏi là khi cấu hình SSH:
1. Tại sao phải khai báo domain name bkav.com?
2. Khóa RSA có tác dụng gì?

 

Mình muốn hỏi là khi cấu hình SSH:
1. Tại sao phải khai báo domain name bkav.com?
2. Khóa RSA có tác dụng gì?

1-> domain-name bkav.com là một phần trong khóa RSA. Nếu bạn không thực hiện thì khóa RSA sẽ không thể tạo

% Please define a domain-name first.

2-> Khóa RSA sử dụng để xác thực(Authentication) giữa client và server.(PC, Router)

 

1-> domain-name bkav.com là một phần trong khóa RSA. Nếu bạn không thực hiện thì khóa RSA sẽ không thể tạo

% Please define a domain-name first.

2-> Khóa RSA sử dụng để xác thực(Authentication) giữa client và server.(PC, Router)

Nhưng mình thấy có khai báo cả username và password, để xác thực nữa, vậy việc dùng khóa RSA để xác thực có gì khác vậy bạn?

 

Nhưng mình thấy có khai báo cả username và password, để xác thực nữa, vậy việc dùng khóa RSA để xác thực có gì khác vậy bạn?

Khóa RSA tăng cường mức an ninh của hệ thống hơn so với chỉ dùng user và password đặc biệt trước các công cụ tấn công bruteforce mật khẩu từ xa.

 

Khóa RSA tăng cường mức an ninh của hệ thống hơn so với chỉ dùng user và password đặc biệt trước các công cụ tấn công bruteforce mật khẩu từ xa.

Thực ra theo mình hiểu thì khi sử dụng hệ mã hóa RSA (hệ mã hóa bất đối xứng sử dụng cặp khóa Public - Private) là như sau:

1. Client---kết nối lần đầu---->Router
2. Router----gửi Public key--->Client
Client nhận public key và cài đặt
3. Router ---gửi bản tin xác thực được mã hóa bằng Private key-->Client
4. Client dùng Public key ở bước 2 để giải mã

Vì chỉ có (Public key) của Router mới giải mã được (Private key) của Router, cho nên điều này đảm bảo việc xác thực, rằng Client đang kết nối tới đúng Router, chứ không phải là một máy tính của Hacker.
Về sau khi Client kết nối tới Router thông qua SSH thì việc xác thực THIẾT BỊ sẽ tự động diễn ra mà không cần cài đặt lại Public key như ở bước 2.
Còn username và password, là để xác thực NGƯỜI DÙNG. Người dùng khi nhập username/password, client sẽ dùng Public key để mã hóa và gửi lên cho Router. Router dùng Private key để giải mã (và chỉ có Private Key mới giải mã được) để xác thực người dùng.
Đó là lý do tại sao trong các tài liệu khuyến nghị về cấu hình an ninh mạng, đều khuyến nghị SSH thay cho TELNET!