Cách tắt Telnet (Disable) và bật SSH (Enable) trên thiết bị Cisco

Thảo luận trong 'Basic Network' bắt đầu bởi chu6cua, 25/5/18.

Tags:
  1. chu6cua

    chu6cua New Member

    Internet đã trở thành công cụ tìm kiếm và làm việc không thể thiếu trong cuộc sống hiện đại ngày nay. Song song với sự phát triển không ngừng của Internet vấn đề bảo mật cũng làm đau đầu các nhà quản lý mạng cũng như các tổ chức.
    Vì lẽ đó nếu bạn đang quản lý các thiết bị mạng cho cơ quan và tổ chức của mình thì ngay từ bây giờ bạn nên tắt tất cả tính năng Telnet (không bảo mật) sang sử dụng tính năng SSH (bảo mật) để đảm bảo độ an toàn cho thiết bị cũng như tổ chức của bạn trong môi trường Internet. Dây là một trong những bước cấu hình bảo mật cơ bản nhất để quản lý thiết bị mạng Cisco (bộ định tuyến, bộ chuyển mạch, tường lửa, v.v.).

    [​IMG]

    Vô hiệu hóa Telnet và kích hoạt SSH trên thiết bị mạng cũng là một bước tiến trong việc tăng cường bảo mật trong toàn mạng. Ngày nay, giao tiếp được mã hóa là điều bắt buộc, điều mà hầu hết các chuyên gia ít chú ý nhiều cách đây vài năm.

    Có một số cách để quản lý thiết bị Cisco. Dưới đây là những cái phổ biến nhất:
    [​IMG]
    • Truy cập bảng điều khiển trực tiếp (Direct Console Access): Sử dụng cáp nối tiếp đặc biệt để kết nối trực tiếp với cổng bảng điều khiển và nhận Giao diện dòng lệnh (CLI) cho thiết bị.
    • Telnet Access: Quản lý thiết bị từ xa qua mạng. Cung cấp quyền truy cập Dòng lệnh đã được xác thực vào thiết bị nhưng toàn bộ giao tiếp không được mã hóa (không bảo mật).
    • SSH Access: Quản lý thiết bị từ xa từ mạng (giống như Telnet) nhưng toàn bộ lưu lượng được mã hóa bởi giao thức SSH (bảo mật).
    Có một số cách quản lý khác (tùy thuộc vào thiết bị) chẳng hạn như truy cập Web HTTP, quản lý thông qua một ứng dụng, v.v., nhưng 3 cách trên là những tùy chọn phổ biến nhất.

    Tắt Telnet(Disable)bật SSH(Enable) là một trong những phương pháp hay nhất được đề xuất bởi Cisco dành cho thiết bị IOS để bảo mật thiết bị. Để có hướng dẫn thiết thực hơn nhằm tăng cường sức mạnh cho bộ định tuyến và bộ chuyển mạch của Cisco, hãy cùng nhau phân tích và làm theo các bước dưới đây.

    Vô hiệu hóa Telnet trên Bộ định tuyến/Bộ chuyển mạch của Cisco
    [​IMG]
    Trước tiên, hãy xem cách tắt Telnet trên thiết bị Cisco IOS bao gồm cả Bộ định tuyến và Bộ chuyển mạch.

    Mỗi quyền truy cập Telnet vào thiết bị (cũng áp dụng tương tự với SSH) sử dụng một trong các dòng VTY (dòng Terminal ảo).

    Bạn cần lưu ý rằng các phiên bản iOS cũ hơn (trước 12.2) có 5 dòng VTY (được đánh số từ 0 đến 4), trong khi các phiên bản iOS mới hơn (sau 12.2) có 16 dòng VTY (được đánh số từ 0 đến 15).

    Do đó, để tắt Telnet, bạn cần thực hiện hành động này trên tất cả các dòng VTY.

    Cấu hình sau sẽ vô hiệu hóa Telnet và tất cả các truy cập mạng từ xa khác:

    CiscoTGM(config)# line vty 0 15 <–cấu hình tất cả 16 dòng VTY
    CiscoTGM(config-line)# transport input none <– vô hiệu hóa Telnet và mọi thứ khác

    Nếu bạn thực hiện cấu hình trên, cách duy nhất để kết nối với bộ định tuyến hoặc bộ chuyển mạch là truy cập bảng điều khiển trực tiếp.

    Kiểm soát truy cập vào Telnet

    Một cách khác để kiểm soát quyền truy cập Telnet vào bộ định tuyến và bộ chuyển mạch là áp dụng Danh sách kiểm soát truy cập (ACL) trên các đường VTY và chỉ cho phép các IP quản lý cụ thể kết nối.

    Với phương pháp này, bạn không vô hiệu hóa hoàn toàn Telnet mà chỉ kiểm soát quyền truy cập vào nó từ các trạm quản lý.

    CiscoTGM(config)# enable secret strongenablepass <– đầu tiên cấu hình kích hoạt mật khẩu
    CiscoTGM(config)# access-list 10 permit 192.168.1.0 0.0.0.255 <– tạo ACL cho subnet 192.168.1.0/24
    CiscoTGM(config)# line vty 0 15
    CiscoTGM    (config-line)# access-class 10 in <– chỉ cho phép mạng con ở trên truy cập thiết bị qua Telnet
    CiscoTGM(config-line)# password strongtelnetpass <– cấu hình mật khẩu trên đường Telnet
    CiscoTGM(config-line)# login <– hỏi mật khẩu Telnet

    Kích hoạt SSH trên Bộ định tuyến/Bộ chuyển mạch của Cisco
    [​IMG]
    Bằng cách bật SSH và cấu hình giao thức vận chuyển này trên các đường VTY của thiết bị IOS, nó cũng sẽ tự động tắt Telnet.

    Giờ hãy xem cách kích hoạt SSH. Trước tiên, bạn cần tạo các khóa SSH và sau đó kích hoạt vận chuyển SSH trên các đường VTY.

    CiscoTGM# config terminal
    CiscoTGM    (config)# enable secret strongenablepass <– đầu tiên cấu hình kích hoạt mật khẩu
    CiscoTGM(config)# username admin password adminpass <– bạn nên tạo người dùng quản trị cục bộ (nếu bạn không có máy chủ AAA ngoài)
    CiscoTGM(config)# hostname TGM <-- cấu hình tên host
    TGM(config)# ip domain-name mycompany.com <– cấu hình tên tên miền là cần thiết để tạo khóa SSH
    TGM(config)# ip ssh version 2 <– sử dụng SSH v2 an toàn hơn
    TGM(config)# crypto key generate rsa modulus 2048 <– tạo khóa SSH 2048
    TGM(config)# ip ssh time-out 60 <– thời gian tối đa
    TGM(config)# ip ssh authentication-retries 3 <– số lần tối đa
    TGM(config)# line vty 0 15
    TGM    (config-line)# transport input ssh <– bật SSH và tắt Telnet trên tất cả các dòng VTY
    TGM(config-line)# login local <– sử dụng local user để xác thực.

    SSH yêu cầu phải cấu hình tên máy chủ và tên miền để tạo khóa SSH. Ngoài ra, trên các dòng VTY chỉ cho phép giao thức SSH, điều đó có nghĩa là Telnet sẽ tự động bị tắt.

    Chúc các bạn thành công!

    Bài viết liên quan:
    - Cấu hình password trên thiết bị Cisco
    - Cấu hình SSH trên thiết bị mạng Cisco
     
    chu6cua, 25/5/18
    #1
  2. Sơn Tùng MTP

    Sơn Tùng MTP New Member

    rất hưu ích, thanks
     
    Sơn Tùng MTP, 14/6/23
    #2

trang này