セキュリティと VPN : セキュア シェル(SSH)

CatOS が稼働しているCatalyst スイッチ でのSSH の設定方法

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2008 年 4 月 23 日) | 英語版 (2015 年 10 月 6 日) | フィードバック


目次


概要

このドキュメントでは、Catalyst OS(CatOS)が稼働している Catalyst スイッチで Secure Shell(SSH)バージョン 1 を設定する手順について説明しています。 テストに使用したバージョンは cat6000-supk9.6-1-1c.bin です。

前提条件

要件

次の表に、各スイッチでの SSH のサポート状況を示します。 登録ユーザは Software Center の参照によってこれらのソフトウェア イメージにアクセスできます。

CatOS SSH
デバイス SSH サポート
Cat 4000/4500/2948G/2980G(CatOS) 6.1 時点の K9 イメージ
Cat 5000/5500(CatOS) 6.1 時点の K9 イメージ
Cat 6000/6500(CatOS) 6.1 時点の K9 イメージ
IOS SSH
デバイス SSH サポート
Cat 2950* 12.1(12c)EA1 以降
Cat 3550* 12.1(11)EA1 以降
Cat 4000/4500(統合 Cisco IOS ソフトウェア)* 12.1(13)EW 以降 **
Cat 6000/5500(統合 Cisco IOS ソフトウェア)* 12.1(11b)E 以降
Cat 8540/8510 12.1(12c)EY 以降、12.1(14)E1 以降
SSH なし
デバイス SSH サポート
Cat 1900 いいえ
Cat 2800 いいえ
Cat 2948G-L3 いいえ
Cat 2900XL いいえ
Cat 3500XL いいえ
Cat 4840G-L3 いいえ
Cat 4908G-L3 いいえ

*設定は Cisco IOS を実行するルータおよびスイッチのセキュア シェル設定でカバーされます。

** 統合 Cisco IOS ソフトウェアが稼働する Catalyst 4000 の 12.1E トレインでは SSH はサポートされません。

3DES の申し込みについては、『Encryption Software Export Distribution Authorization Form』を参照してください。

このドキュメントでは、(Telnet パスワード TACACS+ を介して)SSH または RADIUS を実装する前に、認証が機能していることを前提としています。 SSH を実装するまでは、SSH with Kerberos はサポートされません。

使用するコンポーネント

このドキュメントでは、CatOS K9 イメージが稼働する Catalyst 2948G、Catalyst 2980G、Catalyst 4000/4500 シリーズ、Catalyst 5000/5500 シリーズ、および Catalyst 6000/6500 シリーズのみを対象としています。 詳細については、このドキュメントの「要件」のセクションを参照してください。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメントの表記法の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ネットワーク構成図

http://www.cisco.com/c/dam/en/us/support/docs/security-vpn/secure-shell-ssh/13881-ssh-cat-switches.gif

スイッチの設定


!--- Generate and verify RSA key.

sec-cat6000> (enable) set crypto key rsa 1024
Generating RSA keys..... [OK]
sec-cat6000> (enable) ssh_key_process: host/server key size: 1024/768 

!--- Display the RSA key.

sec-cat6000> (enable) show crypto key
RSA keys were generated at: Mon Jul 23 2001, 15:03:30 1024 65537 1514414695360
577332853671704785709850606634768746869716963940352440620678575338701550888525
699691478330537840066956987610207810959498648179965330018010844785863472773067
697185256418386243001881008830561241137381692820078674376058275573133448529332
1996682019301329470978268059063378215479385405498193061651 

!--- Restrict which host/subnets are allowed to use SSH to the switch.
!--- Note: If you do not do this, the switch will display the message
!--- "WARNING!! IP permit list has no entries!"


sec-cat6000> set ip permit 172.18.124.0 255.255.255.0
172.18.124.0 with mask 255.255.255.0 added to IP permit list. 

!--- Turn on SSH.

sec-cat6000> (enable) set ip permit enable ssh
SSH permit list enabled. 

!--- Verity SSH permit list.

sec-cat6000> (enable) show ip permit
Telnet permit list disabled.
Ssh permit list enabled.
Snmp permit list disabled.
Permit List Mask Access-Type 
---------------- ---------------- -------------
172.18.124.0 255.255.255.0 telnet ssh snmp 

Denied IP Address Last Accessed Time Type
----------------- ------------------ ------

SSH の無効化

状況によっては、スイッチで SSH を無効にすることが必要になる場合があります。 スイッチで SSH が設定されているかどうかを確認し、設定されている場合は無効にします。

スイッチで SSH が設定されているかどうかを確認するには、show crypto key コマンドを発行します。 出力に RSA キーが表示される場合は、スイッチで SSH が設定され、有効になっています。 次に例を示します。

sec-cat6000> (enable) show crypto key
RSA keys were generated at: Mon Jul 23 2001, 15:03:30 1024 65537 1514414695360
577332853671704785709850606634768746869716963940352440620678575338701550888525
699691478330537840066956987610207810959498648179965330018010844785863472773067
697185256418386243001881008830561241137381692820078674376058275573133448529332
1996682019301329470978268059063378215479385405498193061651 

暗号キーを削除するには、clear crypto key rsa コマンドを発行して、スイッチで SSH を無効にします。 次に例を示します。

sec-cat6000> (enable) clear crypto key rsa 
Do you really want to clear RSA keys (y/n) [n]? y 
RSA keys has been cleared. 
sec-cat6000> (enable) 

Catalyst 内のデバッグ

デバッグをオンにするには、set trace ssh 4 コマンドを発行します。

デバッグをオフにするには、set trace ssh 0 コマンドを発行します。

接続が良好な場合の debug コマンドの例

Solaris から Catalyst への Triple Data Encryption Standard(3DES)Telnet パスワード

Solaris

rtp-evergreen# ssh -c 3des -v 10.31.1.6
SSH Version 1.2.26 [sparc-sun-solaris2.5.1], protocol version 1.5.
Compiled with RSAREF.
rtp-evergreen: Reading configuration data /opt/CISssh/etc/ssh_config
rtp-evergreen: ssh_connect: getuid 0 geteuid 0 anon 0
rtp-evergreen: Allocated local port 1023.
rtp-evergreen: Connecting to 10.31.1.6 port 22.
rtp-evergreen: Connection established.
rtp-evergreen: Remote protocol version 1.5, remote software version 1.2.26
rtp-evergreen: Waiting for server public key.
rtp-evergreen: Received server public key (768 bits) and host key (1024 bits).
Host key not found from the list of known hosts.
Are you sure you want to continue connecting (yes/no)? yes
Host '10.31.1.6' added to the list of known hosts.
rtp-evergreen: Initializing random; seed file //.ssh/random_seed
rtp-evergreen: Encryption type: 3des
rtp-evergreen: Sent encrypted session key.
rtp-evergreen: Installing crc compensation attack detector.
rtp-evergreen: Received encrypted confirmation.
rtp-evergreen: Doing password authentication.
root@10.31.1.6's password: 
rtp-evergreen: Requesting pty.
rtp-evergreen: Failed to get local xauth data.
rtp-evergreen: Requesting X11 forwarding with authentication spoofing.
Warning: Remote host denied X11 forwarding, perhaps xauth program 
   could not be run on the server side. 
rtp-evergreen: Requesting shell.
rtp-evergreen: Entering interactive session.

Cisco Systems Console

sec-cat6000>

Catalyst

sec-cat6000> (enable) debug: _proc->tty = 0x8298a494, socket_index = 3
debug: version: SSH-1.5-1.2.26

debug: Client protocol version 1.5; client software version 1.2.26
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: root
debug: Trying Local Login
Password authentication for root accepted.
debug: ssh received packet type: 10
debug: ssh received packet type: 34
Unknown packet type received after authentication: 34
debug: ssh received packet type: 12
debug: ssh88: starting exec shell
debug: Entering interactive session.

PC から Catalyst への 3DES Telnet パスワード

Catalyst

debug: Client protocol version 1.5; client software version W1.0
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: des
debug: Received session key; encryption turned on.
debug: ssh login by user: 
debug: Trying Local Login
Password authentication for accepted.
debug: ssh received packet type: 10
debug: ssh received packet type: 37
Unknown packet type received after authentication: 37
debug: ssh received packet type: 12
debug: ssh89: starting exec shell
debug: Entering interactive session.

Solaris から Catalyst への 3DES Authentication, Authorization, and Accounting(AAA; 認証、認可、アカウンティング)認証

Solaris

Solaris with aaa on:
rtp-evergreen# ssh -c 3des -l abcde123 -v 10.31.1.6
SSH Version 1.2.26 [sparc-sun-solaris2.5.1], protocol version 1.5.
Compiled with RSAREF.
rtp-evergreen: Reading configuration data /opt/CISssh/etc/ssh_config
rtp-evergreen: ssh_connect: getuid 0 geteuid 0 anon 0
rtp-evergreen: Allocated local port 1023.
rtp-evergreen: Connecting to 10.31.1.6 port 22.
rtp-evergreen: Connection established.
rtp-evergreen: Remote protocol version 1.5, remote software version 1.2.26
rtp-evergreen: Waiting for server public key.
rtp-evergreen: Received server public key (768 bits) and host key (1024 bits).
rtp-evergreen: Host '10.31.1.6' is known and matches the host key.
rtp-evergreen: Initializing random; seed file //.ssh/random_seed
rtp-evergreen: Encryption type: 3des
rtp-evergreen: Sent encrypted session key.
rtp-evergreen: Installing crc compensation attack detector.
rtp-evergreen: Received encrypted confirmation.
rtp-evergreen: Doing password authentication.
abcde123@10.31.1.6's password: 
rtp-evergreen: Requesting pty.
rtp-evergreen: Failed to get local xauth data.
rtp-evergreen: Requesting X11 forwarding with authentication spoofing.
Warning: Remote host denied X11 forwarding, perhaps xauth program
   could not be run on the server side.
rtp-evergreen: Requesting shell.
rtp-evergreen: Entering interactive session.

Cisco Systems Console

sec-cat6000>

Catalyst

sec-cat6000> (enable) debug: _proc->tty = 0x82a07714, socket_index = 3
debug: version: SSH-1.5-1.2.26

debug: Client protocol version 1.5; client software version 1.2.26
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: abcde123
debug: Trying TACACS+ Login
Password authentication for abcde123 accepted.
debug: ssh received packet type: 10
debug: ssh received packet type: 34
Unknown packet type received after authentication: 34
debug: ssh received packet type: 12
debug: ssh88: starting exec shell
debug: Entering interactive session.

設定が正しくない場合の debug コマンドの例

Blowfish 暗号(未サポート)を試みるクライアントの Catalyst デバッグ

debug: Client protocol version 1.5; client software version W1.0
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: blowfish
cipher_set_key: unknown cipher: 6
debug: Calling cleanup

不正な Telnet パスワードによる Catalyst のデバッグ

debug: _proc->tty = 0x82897414, socket_index = 4
debug: version: SSH-1.5-1.2.26
debug: Client protocol version 1.5; client software version W1.0
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: 
debug: Trying Local Login
debug: Password authentication for failed.

AAA 認証が正しくない場合の Catalyst デバッグ

cat6000> (enable) debug: _proc->tty = 0x829abd94, socket_index = 3
debug: version: SSH-1.5-1.2.26

debug: Client protocol version 1.5; client software version 1.2.26
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: junkuser
debug: Trying TACACS+ Login
debug: Password authentication for junkuser failed.
SSH connection closed by remote host.
debug: Calling cleanup

トラブルシューティング

このセクションは Ciscoスイッチの SSH 設定に関する異なるトラブルシューティンングのシナリオを取扱います。

SSH によって切り替えるために接続できません

問題:

SSH を使用してスイッチに接続できません。

debug ip ssh コマンドはこの出力を示したものです:

Jun 15 20:29:26.207: SSH2 1: RSA_sign: private key not found
Jun 15 20:29:26.207: SSH2 1: signature creation failed, status -1

解決策:

この問題はこれらの原因のどちらかが理由で発生します:

  • 新しい SSH 接続はホスト名を変更した後失敗します。

  • 非分類されたキーで設定される SSH (ルータ FQDN を持っています)。

この問題のための回避策は次のとおりです:

  • ホスト名は-変更され、SSH はもはやはたらかなくて、New 鍵をゼロ化しましたり適切なラベルで New 鍵別のものを作成します。

    crypto key zeroize rsa
    crypto key generate rsa general-keys label (label) mod (modulus) [exportable]
  • 匿名 RSA キーを使用しないで下さい(スイッチの FQDN の名にちなんで名付けられる)。 分類されたキーを代りに使用して下さい。

    crypto key generate rsa general-keys label (label) mod (modulus) [exportable]

この問題を永久に解決するために、この問題が固定であるバージョンの何れかに IOS software をアップグレードして下さい。

不具合はこの問題についてファイルされました。 詳細については、Cisco バグ ID CSCtc41114登録ユーザのみ)を参照して下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 13881