Безопасность и VPN : Secure Shell (SSH)

Настройка SSH на коммутаторах Catalyst с операционной системой CatOS

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (21 мая 2008) | Английский (20 октября 2015) | Отзыв


Содержание


Введение

Этот документ содержит пошаговые инструкции по настройке Secure Shell (SSH) версии 1 на коммутаторах Catalyst под управлением Catalyst OS (CatOS). Тестировалась версия cat6000-supk9.6-1-1c.bin.

Предварительные условия

Требования

Эта таблица показывает статус поддержки SSH в коммутаторах. Зарегистрированные пользователи могут обратиться к этим образам программного обеспечения путем посещения Центра программного обеспечения.

SSH CatOS
Устройство Поддержка SSH
CAT 4000/4500/2948G/2980G (CatOS) K9 отображает с 6.1
CAT 5000/5500 (CatOS) K9 отображает с 6.1
CAT 6000/6500 (CatOS) K9 отображает с 6.1
SSH IOS
Устройство Поддержка SSH
CAT 2950* 12.1 (12c) EA1 и позже
Cat 3550* 12.1 (11) EA1 и позже
CAT 4000/4500 (программное обеспечение Интегрированного Cisco IOS) * 12.1 (13) EW и позже **
CAT 6000/5500 (программное обеспечение Интегрированного Cisco IOS) * 12.1 (11b) E и позже
CAT 8540/8510 12.1 (12c) EY и позже, 12.1 (14) E1 и позже
Никакой SSH
Устройство Поддержка SSH
CAT 1900 нет
CAT 2800 нет
2948G-L3 CAT нет
CAT 2900XL нет
CAT 3500XL нет
4840G-L3 CAT нет
4908G-L3 CAT нет

* Конфигурация покрыта Configuring Secure Shell на маршрутизаторах и Коммутаторах Рабочая Cisco IOS.

** Поддержка SSH отсутствует в релизе 12.1E для Catalyst 4000 под управлением программного обеспечения интегрированной Cisco IOS.

См. Разрешение Распределения Экспорта Программного обеспечения для шифрования для просьбы 3DES.

В этом документе предполагается, что аутентификация производится до реализации SSH (через пароль Telnet, TACACS+) или RADIUS. SSH с Kerberos не поддерживается до реализации SSH.

Используемые компоненты

Этот документ обращается только к Catalyst 2948G, Catalyst 2980G, Catalyst 4000/4500 серия, серия Catalyst 5000/5500 и серия Catalyst 6000/6500, выполняющая образ K9 CatOS. Дополнительные сведения см. в разделе Требования данного документа.

Сведения, содержащиеся в данном документе, были получены с устройств в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе с реальной сетью необходимо полностью осознавать возможные результаты использования всех команд.

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. Cisco Technical Tips Conventions.

Схема сети

http://www.cisco.com/c/dam/en/us/support/docs/security-vpn/secure-shell-ssh/13881-ssh-cat-switches.gif

Конфигурация коммутатора


!--- Generate and verify RSA key.

sec-cat6000> (enable) set crypto key rsa 1024
Generating RSA keys..... [OK]
sec-cat6000> (enable) ssh_key_process: host/server key size: 1024/768 

!--- Display the RSA key.

sec-cat6000> (enable) show crypto key
RSA keys were generated at: Mon Jul 23 2001, 15:03:30 1024 65537 1514414695360
577332853671704785709850606634768746869716963940352440620678575338701550888525
699691478330537840066956987610207810959498648179965330018010844785863472773067
697185256418386243001881008830561241137381692820078674376058275573133448529332
1996682019301329470978268059063378215479385405498193061651 

!--- Restrict which host/subnets are allowed to use SSH to the switch.
!--- Note: If you do not do this, the switch will display the message
!--- "WARNING!! IP permit list has no entries!"


sec-cat6000> set ip permit 172.18.124.0 255.255.255.0
172.18.124.0 with mask 255.255.255.0 added to IP permit list. 

!--- Turn on SSH.

sec-cat6000> (enable) set ip permit enable ssh
SSH permit list enabled. 

!--- Verity SSH permit list.

sec-cat6000> (enable) show ip permit
Telnet permit list disabled.
Ssh permit list enabled.
Snmp permit list disabled.
Permit List Mask Access-Type 
---------------- ---------------- -------------
172.18.124.0 255.255.255.0 telnet ssh snmp 

Denied IP Address Last Accessed Time Type
----------------- ------------------ ------

Отключение SSH

В некоторых ситуациях может возникнуть необходимость в отключении SSH на коммутаторе. Необходимо проверить, настроен ли SSH на коммутаторе, и если да, отключить его.

Чтобы проверить, был ли SSH настроен на коммутаторе, введите команду show crypto key. Если выводится ключ RSA, SSH настроен и включен на коммутаторе. Пример выходных данных команды приводится ниже.

sec-cat6000> (enable) show crypto key
RSA keys were generated at: Mon Jul 23 2001, 15:03:30 1024 65537 1514414695360
577332853671704785709850606634768746869716963940352440620678575338701550888525
699691478330537840066956987610207810959498648179965330018010844785863472773067
697185256418386243001881008830561241137381692820078674376058275573133448529332
1996682019301329470978268059063378215479385405498193061651 

Чтобы удалить ключ шифрования, введите команду clear crypto key rsa для отключения SSH на коммутаторе. Пример выходных данных команды приводится ниже.

sec-cat6000> (enable) clear crypto key rsa 
Do you really want to clear RSA keys (y/n) [n]? y 
RSA keys has been cleared. 
sec-cat6000> (enable) 

отладка в Catalyst

Чтобы включить отладку, введите команду set trace ssh 4.

Чтобы выключить отладку, введите команду set trace ssh 0.

команда debug, примеры хорошего подключения

Solaris для Catalyst, стандарт тройного шифрования данных (3DES), пароль Telnet

Solaris

rtp-evergreen# ssh -c 3des -v 10.31.1.6
SSH Version 1.2.26 [sparc-sun-solaris2.5.1], protocol version 1.5.
Compiled with RSAREF.
rtp-evergreen: Reading configuration data /opt/CISssh/etc/ssh_config
rtp-evergreen: ssh_connect: getuid 0 geteuid 0 anon 0
rtp-evergreen: Allocated local port 1023.
rtp-evergreen: Connecting to 10.31.1.6 port 22.
rtp-evergreen: Connection established.
rtp-evergreen: Remote protocol version 1.5, remote software version 1.2.26
rtp-evergreen: Waiting for server public key.
rtp-evergreen: Received server public key (768 bits) and host key (1024 bits).
Host key not found from the list of known hosts.
Are you sure you want to continue connecting (yes/no)? yes
Host '10.31.1.6' added to the list of known hosts.
rtp-evergreen: Initializing random; seed file //.ssh/random_seed
rtp-evergreen: Encryption type: 3des
rtp-evergreen: Sent encrypted session key.
rtp-evergreen: Installing crc compensation attack detector.
rtp-evergreen: Received encrypted confirmation.
rtp-evergreen: Doing password authentication.
root@10.31.1.6's password: 
rtp-evergreen: Requesting pty.
rtp-evergreen: Failed to get local xauth data.
rtp-evergreen: Requesting X11 forwarding with authentication spoofing.
Warning: Remote host denied X11 forwarding, perhaps xauth program 
   could not be run on the server side. 
rtp-evergreen: Requesting shell.
rtp-evergreen: Entering interactive session.

Cisco Systems Console

sec-cat6000>

Catalyst

sec-cat6000> (enable) debug: _proc->tty = 0x8298a494, socket_index = 3
debug: version: SSH-1.5-1.2.26

debug: Client protocol version 1.5; client software version 1.2.26
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: root
debug: Trying Local Login
Password authentication for root accepted.
debug: ssh received packet type: 10
debug: ssh received packet type: 34
Unknown packet type received after authentication: 34
debug: ssh received packet type: 12
debug: ssh88: starting exec shell
debug: Entering interactive session.

Пароль Telnet, 3DES, ПК к Catalyst

Catalyst

debug: Client protocol version 1.5; client software version W1.0
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: des
debug: Received session key; encryption turned on.
debug: ssh login by user: 
debug: Trying Local Login
Password authentication for accepted.
debug: ssh received packet type: 10
debug: ssh received packet type: 37
Unknown packet type received after authentication: 37
debug: ssh received packet type: 12
debug: ssh89: starting exec shell
debug: Entering interactive session.

Solaris до Catalyst, 3DES, аутентификация, авторизация и учет (AAA) аутентфикации

Solaris

Solaris with aaa on:
rtp-evergreen# ssh -c 3des -l abcde123 -v 10.31.1.6
SSH Version 1.2.26 [sparc-sun-solaris2.5.1], protocol version 1.5.
Compiled with RSAREF.
rtp-evergreen: Reading configuration data /opt/CISssh/etc/ssh_config
rtp-evergreen: ssh_connect: getuid 0 geteuid 0 anon 0
rtp-evergreen: Allocated local port 1023.
rtp-evergreen: Connecting to 10.31.1.6 port 22.
rtp-evergreen: Connection established.
rtp-evergreen: Remote protocol version 1.5, remote software version 1.2.26
rtp-evergreen: Waiting for server public key.
rtp-evergreen: Received server public key (768 bits) and host key (1024 bits).
rtp-evergreen: Host '10.31.1.6' is known and matches the host key.
rtp-evergreen: Initializing random; seed file //.ssh/random_seed
rtp-evergreen: Encryption type: 3des
rtp-evergreen: Sent encrypted session key.
rtp-evergreen: Installing crc compensation attack detector.
rtp-evergreen: Received encrypted confirmation.
rtp-evergreen: Doing password authentication.
abcde123@10.31.1.6's password: 
rtp-evergreen: Requesting pty.
rtp-evergreen: Failed to get local xauth data.
rtp-evergreen: Requesting X11 forwarding with authentication spoofing.
Warning: Remote host denied X11 forwarding, perhaps xauth program
   could not be run on the server side.
rtp-evergreen: Requesting shell.
rtp-evergreen: Entering interactive session.

Cisco Systems Console

sec-cat6000>

Catalyst

sec-cat6000> (enable) debug: _proc->tty = 0x82a07714, socket_index = 3
debug: version: SSH-1.5-1.2.26

debug: Client protocol version 1.5; client software version 1.2.26
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: abcde123
debug: Trying TACACS+ Login
Password authentication for abcde123 accepted.
debug: ssh received packet type: 10
debug: ssh received packet type: 34
Unknown packet type received after authentication: 34
debug: ssh received packet type: 12
debug: ssh88: starting exec shell
debug: Entering interactive session.

примеры команды "debug" и возможные проблемы

Отладка Catalyst, когда клиент делает [неподдерживаемую] попытку шифрования по алгоритму Blowfish

debug: Client protocol version 1.5; client software version W1.0
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: blowfish
cipher_set_key: unknown cipher: 6
debug: Calling cleanup

Отладка ускорителя процесса с неверным паролем протокола сети связи

debug: _proc->tty = 0x82897414, socket_index = 4
debug: version: SSH-1.5-1.2.26
debug: Client protocol version 1.5; client software version W1.0
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: 
debug: Trying Local Login
debug: Password authentication for failed.

Отладка Catalyst с недействительной проверкой подлинности AAA

cat6000> (enable) debug: _proc->tty = 0x829abd94, socket_index = 3
debug: version: SSH-1.5-1.2.26

debug: Client protocol version 1.5; client software version 1.2.26
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: junkuser
debug: Trying TACACS+ Login
debug: Password authentication for junkuser failed.
SSH connection closed by remote host.
debug: Calling cleanup

Устранение неполадок

Этот раздел имеет дело с другими сценариями устранения проблем, отнесенными к конфигурации SSH на коммутаторах Cisco.

Не может соединиться с коммутатором через SSH

Проблема:

Не может соединиться с коммутатором с помощью SSH.

Команда debug ip ssh показывает эти выходные данные:

Jun 15 20:29:26.207: SSH2 1: RSA_sign: private key not found
Jun 15 20:29:26.207: SSH2 1: signature creation failed, status -1

Решение:

Эта проблема происходит из-за любой из этих причин:

  • Новый сбой SSH - подключений после изменения имени хоста.

  • SSH, настроенный с немаркированными ключами (имеющий маршрутизатор FQDN).

Обходные пути для этой проблемы:

  • Если имя хоста было изменено, и SSH больше не работает, то обнулите новый ключ и создайте другой новый ключ с надлежащей меткой.

    crypto key zeroize rsa
    crypto key generate rsa general-keys label (label) mod (modulus) [exportable]
  • Не используйте анонимные ключи RSA (названный в честь FQDN коммутатора). Используйте маркированные ключи вместо этого.

    crypto key generate rsa general-keys label (label) mod (modulus) [exportable]

Для решения этой проблемы навсегда, обновите программное обеспечение IOS к любой из версий, в которых решена эта проблема.

Дефект был подан об этой проблеме. Для получения дополнительной информации обратитесь к идентификатору ошибки Cisco CSCtc41114 (только зарегистрированные клиенты).


Дополнительные сведения


Document ID: 13881