AAA server
AAA=authentication, authorization and accounting
موسسات و شرکتهایی که از از دیوایز های ccna/">سیسکو در شبکه خود استفاده میکنند معمولا از RADIUSسرور ها برای احراز هویت کاربران خود استفاده میکنند.البته میتوان از احراز هویت به صورت محلی هم استفاده کرد “داخل خود دیوایس” اما این کار زمانی اتفاق می افتد که ارتبات با سروری که احراز هویت را انجام میدهد برقرار نباشد یا به هردلیلی قطع باشد.
AAA server ها یا radiusیک نقطه مرکزی برای مدیریت و احراز هویت کاربران را در دیوایس های ccna/">سیسکو یا سایر محصولات شبکه ارائه میدهند.
توجه کنید که این بخش از سرفصلهای ccnaنمی باشد و جزئی از ccna securityمیباشد.
برای فعال سازی AAA در مد global configuration قرار بگیرید .
سپس دستورات زیر را اجرا کنید:
Router>enable
Router#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#aaa new-model
در مرحله دوم یک لیست در ست میکنیم و میگوییم که به صورت محلی احراز هویت را انجام بده.
قالب کلی دستور به صورت زیر است:
aaa authentication login LISTNAME AUTHTYPE
مثلا در اینجا ما یک لیست برای کسانی که با پورت کنسول به روتر وصل میشوند میسازیم.
Router(config)#aaa authentication login CONSOLE_AUTH local
Router(config)#line con 0
Router(config-line)#login authentication CONSOLE_AUTH
Router(config)#line con 0
Router(config-line)#login authentication CONSOLE_AUTH
در قسمت قبل با نحوه ساخت user ,passآشنا شدید.
در مرحله بعد یم user ,passبسازید و بعد با همین user,passاز طریق پورت کنسول به روتر وارد بشید.
Secure shell (SSH)
“telnet does not encrypt the encapsulated payload so with that being said; anyone on the wire can sniff the traffic and reconstruct the telnet communications which opens a major vulnerability that passwords can be sniffed as well as other types of confidential sensitive information that traverses a network via the telnet protocol.”
در telnet اطلاعات به صورت clear textبین شما و مقصد رد و بدل می شود و در واقع هیچ گونهencryptionبر روی داده ها انجام نمی شود.هر کسی می تواند با sniffکردن ترافیک شبکه شما اطلاعاتی ارسالی و دریافتی را ببیند .مثلا پسوردی که شما برای مقصد ارسال می کنید.
به ایــــــن فیـــلـــم آمــــوزشـــــی دقت کنید .
“SSH can use different types of encryption algorithms from Data Encryption Standard (DES) all the way up to AES 256Bit CBC.“
برای راه اندازی sshدر دیوایسهای سیسکو به صورت زیر عمل میکنیم.
1-تغییر hostname
2-معرفی domain nameبه روتر
- Change the hostname from its default hostname Router to something specific to the device. ie; R1
- To generate an RSA key, you’re required to have a domain name set. Set the domain name executing the ip domain-name domainname.net command in global configuration.
- Create an RSA Genera-Usage certification that is self-signed by the Cisco device.
- Configure the transport input protocol on the VTY lines to only accept SSH (this disables telnet and permits only ssh)
· Router>enable
· Password:
· Router#configure terminal
· Enter configuration commands, one per line. End with CNTL/Z.
· Router(config)#hostname R1
· R1(config)#
R1(config)#ip domain-name 20learn.ir
R1(config)#crypto key generate rsa general-keys modulus 1024
The name for the keys will be: R1.freeccnaworkbook.com
% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable…[OK]
R1(config)#
%SSH-5-ENABLED: SSH 1.99 has been enabled
R1(config)#line vty 0 4
R1(config-line)#transport input ssh
R1(config-line)#end
R1#ssh -l 20learn 10.1.1.1
Password:
R1#show ssh
Connection Version Mode Encryption Hmac State Username
0 1.99 IN aes128-cbc hmac-sha1 Session started john
0 1.99 OUT aes128-cbc hmac-sha1 Session started john
%No SSHv1 server connections running.
R1#
فیلم آموزشی پیاده سازی ssh در روتر