Cấu hình SSH trên Cisco Router
Cisco đã triển khai SSH vào trong các thiết bị của mình và như một biện pháp để thay thế Telnet. Việc sử dụng Telnet để truy cập và quản trị các thiết bị là không an toàn, và nhiều thông tin có thể bị đánh cắp và dẫn đến một số nguy hiểm có thể xảy ra đối với hệ thống. Cisco đã bắt đầu quan tâm và triển khai vào các thiết bị với SSH-2. Nhà sản xuất cũng cung cấp SSH-1 bởi IPSec sẽ được triển khai trên phiên bản này và cho phép người quản trị truy cập vào các thiết bị một cách an toàn.
Thiết lập SSH tương tự như quá trình cho phép Router sử dụng “digital certificates” (xác thực số) trong IPSec. Trước khi bắt đầu chúng ta phải được xác thực bởi Router. Nó không mất quá 30 phút để chúng ta có thể xử lý được những sự cố liên quan đến việc cấu hình này. Một việc đầu tiên là chúng ta phải tạo ra cặp khoá public/private. Trước khi thực hiện thì chúng ta phải cấu hình Router với domain bằng lệnh sau:
(config)#ip domain-name abccompany.com (config)#crypto key generate rsa
Dòng đầu tiên để Router sẽ là thành viên trong domain abccompany.com trong khi dòng thứ hai sẽ bắt đầu tạo ra một cặp khoá public/private. Khi thực hiện, chúng ta sẽ phải khai báo độ dài của cặp khoá mà chúng ta sử dụng. Và buộc chúng phải có cùng độ lớn trên client và trên Router. Độ lớn của các khoá nó sẽ tự động tạo ví dụ như trên Router 2500, một khoá 512 bit sẽ được tạo ra trong khoảng 45 giây một lần.
Dưới đây là các câu lệnh để quản trị SSH (config)#ip time-out 30
(config)#ip ssh authentication-retires 2 (config-line)#transport input ssh
Dòng đầu tiên giới hạn thời gian khi không được thực hiện trong bao nhiêu phút sẽ bị ngắt kết nối. Chúng ta có thể thiết lập thời gian đó ngắn hơn. Nhưng thiết lập phần này để yên tâm kết nối sẽ vẫn được đảm bảo trong thời gian đủ để giải lao. Dòng lệnh thứ hai giới hạn số lần cố gắng xác thực của người dùng. Dòng lệnh thứ ba sẽ làm việc với mode VTY, giới hạn các dạng kết nối và cổng VTY nào để nhận các thông tin. Và trong dòng lệnh này ý nhĩa là chỉ cho phép cổng VTY chỉ cho phép các phiên làm việc với SSH. Lưu ý chỉ sử dụng được SSH khi IOS của Router có khả năng mã hoá “encryption capable”. Router phải có khả năng về các quá trình truyền tin mã hoá dạng DES hay 3DES. Rất nhiều SSH client có khả năng mã hoá dữ liệu sử dụng các thuật toán mã hoá khác nhau. Nhưng Router của Cisco chỉ có thể mã hoá các phiên làm việc SSH sử dụng DES và 3DES.
KẾT LUẬN
Các ứng dụng sử dụng giao thức SSH hoạt động tốt và có tính bảo mật cao. Một ưu điểm khác nữa là hầu hết chúng đều miễn phí nên rất thuận tiện để có được một hệ thống bảo mật với SSH. Có rất nhiều các phần mềm client và server khác nhau đều hỗ trợ tốt cho các hệ điều hành hiện đang được sử dụng rộng rãi như Window, Linux, Macintosh. Tuy nhiên, SSH cũng còn khá mới mẻ đối với các hệ thống mạng ở Việt Nam, một phần là do vấn đề ngôn ngữ. Hơn nữa, tuy các ứng dụng SSH phần lớn là miễn phí nhưng chỉ là miễn phí với các bản client và một số bản server chạy trên nền Linux, còn các bản server chạy trên Window thì thường là bản thương mại nên cũng khó khăn khi muốn có một hệ thống mạng có ứng dụng bảo mật SSH trên nền Window vốn rất quen thuộc với mọi người từ lâu nay. Từ nhận xét đó, Tôi có ý tưởng sẽ nghiên cứu xây dựng một phần mềm Remote Login dựa trên giao thức SSH có giao diện bằng tiếng Việt và có thể chạy trên Window cả bản client lẫn bản server.