Configurare SSH
Pubblicato da Anonimo il 29/3/2007 (696 letture)
Collegamento in SSH tra client Linux e Pix Firewall CISCO
La gestione da remoto di un firewall cisco pix è possibile tramite tre protocolli, HTTPS, TELNET e SSH. In questo articolo verrà descritto come gestire da remoto un firewall pix della cisco tramite il protocollo SSH da una macchina linux con distribuzione fedoracore4.
Ma perché proprio l’SSH e non il TELNET?
E’ vero che l’SSH ha le stesse caratteristiche del TELNET, ma a differenza di quest’ultimo, è un protocollo crittografato. Crittografato sta a significare che i dati che vengono scambiati tra due o più host vengono resi incomprensibili a chi non possiede le giuste ‘chiavi’ per leggerli. Quindi mentre il TELNET permette a chiunque di leggere in ‘chiaro’ i dati che viaggiano tra due host, l’SSH no.
Configurazione firewall
La configurazione da fare sul Pix è molto semplice, infatti, si tratta di una sola riga di comando.
Dalla modalità CONFIGURATION il comando da dare è il seguente
ssh indirizzo-IP-client subnetmask-client nome-interfaccia
dove il nome dell’interfaccia è il nome (es. inside, outside, ecc…) sulla quale si collegherà il client.
Configurazione client
Come detto in precedenza il client ssh dal quale gestiremo il nostro firewall PIX è una macchina linux.
Come prima cosa dobbiamo accertarci che il client ssh sia correttamente installato sulla macchina. Per fare questo digitiamo da una shell il comando:
rpm –q --all | grep ssh
dovremmo ottenere un output del genere:
openssh-clients-4.0p1-3
Il protocollo SSH fino ad oggi si divide in due versioni la 1 e la 2. Il server ssh sui pix cisco lavora sulla versione 1 quindi al momento di digitare l’apposito comando sul client, dovremmo tenerne conto, come dovremo tenere conto del fatto che i pix come cipher, cioè l’algoritmo per crittografare i dati, utilizzano il DES.
Con queste considerazioni andremo a modificare il file di configurazione del client ssh che si trova nel percorso: /etc/ssh/ssh_config
Per modificare il file, che è un file di testo, usiamo un normale editor.
Quando entreremo per modificarlo noteremo che quasi tutte le righe del file sono commentate, cioè precedute da un cancelletto per evitare che il programma ssh client le legga durante la sua esecuzione.
Di base il programma utilizza la versione 2 del protocollo ssh e il blowfish con cipher. Per modificare queste due impostazioni aggiungeremo due righe:
Cipher des per impostare come chiave il des
Protocol 1 per impostare il client a lavorare con la versione 1
Una volta eseguite le modifiche nel file di configurazione, non resta che provare a collegarsi ad un apparato. La sintassi del comando è la seguente:
ssh
se tutto è ok otterremo un messaggio che ci avvisa di non utilizzare il des come algoritmo di crittografia perché è piuttosto debole (ma questo è quello che passa la CISCO quindi non abbiamo alternative), e subito sotto la richiesta della password per l’utenza inserita.
Nel caso in cui non volessimo modificare il file di configurazione del programma client, dobbiamo inserire nella riga di comando anche il tipo di algoritmo di crittografia e la versione del protocollo.
La stringa da digitare perciò sarà di questo tipo:
ssh –versione-protocollo –c tipo-di-algoritmo
Giorgio
La gestione da remoto di un firewall cisco pix è possibile tramite tre protocolli, HTTPS, TELNET e SSH. In questo articolo verrà descritto come gestire da remoto un firewall pix della cisco tramite il protocollo SSH da una macchina linux con distribuzione fedoracore4.
Ma perché proprio l’SSH e non il TELNET?
E’ vero che l’SSH ha le stesse caratteristiche del TELNET, ma a differenza di quest’ultimo, è un protocollo crittografato. Crittografato sta a significare che i dati che vengono scambiati tra due o più host vengono resi incomprensibili a chi non possiede le giuste ‘chiavi’ per leggerli. Quindi mentre il TELNET permette a chiunque di leggere in ‘chiaro’ i dati che viaggiano tra due host, l’SSH no.
Configurazione firewall
La configurazione da fare sul Pix è molto semplice, infatti, si tratta di una sola riga di comando.
Dalla modalità CONFIGURATION il comando da dare è il seguente
ssh indirizzo-IP-client subnetmask-client nome-interfaccia
dove il nome dell’interfaccia è il nome (es. inside, outside, ecc…) sulla quale si collegherà il client.
Configurazione client
Come detto in precedenza il client ssh dal quale gestiremo il nostro firewall PIX è una macchina linux.
Come prima cosa dobbiamo accertarci che il client ssh sia correttamente installato sulla macchina. Per fare questo digitiamo da una shell il comando:
rpm –q --all | grep ssh
dovremmo ottenere un output del genere:
openssh-clients-4.0p1-3
Il protocollo SSH fino ad oggi si divide in due versioni la 1 e la 2. Il server ssh sui pix cisco lavora sulla versione 1 quindi al momento di digitare l’apposito comando sul client, dovremmo tenerne conto, come dovremo tenere conto del fatto che i pix come cipher, cioè l’algoritmo per crittografare i dati, utilizzano il DES.
Con queste considerazioni andremo a modificare il file di configurazione del client ssh che si trova nel percorso: /etc/ssh/ssh_config
Per modificare il file, che è un file di testo, usiamo un normale editor.
Quando entreremo per modificarlo noteremo che quasi tutte le righe del file sono commentate, cioè precedute da un cancelletto per evitare che il programma ssh client le legga durante la sua esecuzione.
Di base il programma utilizza la versione 2 del protocollo ssh e il blowfish con cipher. Per modificare queste due impostazioni aggiungeremo due righe:
Cipher des per impostare come chiave il des
Protocol 1 per impostare il client a lavorare con la versione 1
Una volta eseguite le modifiche nel file di configurazione, non resta che provare a collegarsi ad un apparato. La sintassi del comando è la seguente:
ssh
se tutto è ok otterremo un messaggio che ci avvisa di non utilizzare il des come algoritmo di crittografia perché è piuttosto debole (ma questo è quello che passa la CISCO quindi non abbiamo alternative), e subito sotto la richiesta della password per l’utenza inserita.
Nel caso in cui non volessimo modificare il file di configurazione del programma client, dobbiamo inserire nella riga di comando anche il tipo di algoritmo di crittografia e la versione del protocollo.
La stringa da digitare perciò sarà di questo tipo:
ssh –versione-protocollo –c tipo-di-algoritmo
Giorgio
| Precedente-Successivo | |
Configurare un server syslog
|
Come usare il tftp sui router Cisco
|
Voters total: 0
Average: 0
|
I commenti sono proprietà dei rispettivi autori. Non siamo in alcun modo responsabili del loro contenuto.
|
