注意:整个实验可以使用GNS3+虚拟机完成!


演示目标:

n配置思科IPS系统上的Certificates选项

n配置思科IPS系统上的SSH选项

演示环境:仍然使用如图4.24所示的网络环境。

演示:配置安全的shell属性_第1张图片

演示工具:思科的IPS系统。

演示步骤:


第一步:首先来理解思科IPS上的Certificates(证书)选项,该选项下有两个子项目,分别是Trusted Hosts(信任主机)和Server Certificate(服务器证书)。下面是理解和配置这两个子项目的详细描述:



Trusted Hosts

  如下图4.29为信任主机配置对话框,它的应用意义产生在很多IPS设备与其它设备比如路由器、交换机、防火墙联动防御时,通过一个非常典型的环境来说明这个问题,如下图4.30所示,在这个环境中,***防御系统IPS1和IPS2都发生的安全违规事件,此时它们都认为需要联动防火墙上去做安全配置,比如写ACL或者做其它的安全加固,但是,如果IPS1和IPS2同时向防火墙写入安全配置,这是一件不科学的事情,因为同时操作,可能会有冲突或者将后一步的配置将原有的配置覆盖,思科的解决方案是,此时在这个种环境中选出一台IPS作为主控(master)IPS,配置只能让主控IPS写入,比如将IPS1作为主控IPS,如果IPS2也需要向防火墙作配置,那么IPS2将配置申请交给IPS1,由IPS1负责将其配置完成,但是主控IPS1并不是任何的申请都可以接受,它只接受它信任的主机,那么谁是主控IPS信任的主机,这将由图4.29的配置所决定。在这个配置中将会把信任主机的IP地址和它的证书相关联,IP外填写信任主机的IP地址,在Port处填写443,该IPS会自动获取信任主机的证书(事实上就是信任主机的公钥)。

演示:配置安全的shell属性_第2张图片

Server Certificate

  所谓的Server Certificate就是IPS系统当前自签名的证书,如下图4.31所示,它用来向IPS管控台(通常是使用IDM配置设备的管理主机)证明自己的身份,一般将其保持默认不变,但是如果你改变了时间,建议您通过点击如下图4.31所示的Generatecertificate来重新产生一张自签名的证书,因为时间和证书的有效性有相当重要的关联,否则当连接IPS时可能提示证书有效期已过,证书失效等。

演示:配置安全的shell属性_第3张图片

第二步:如果使用IDM配置设备,思科IPS默认就是使用的SSH,在SSH选项下面有三个子项目,Authorized key(授权的key)、Known Host key(已知主机的Key)、Sensor key(传感器的Key),它下具体的意义与配置如下所述:


Authorized key(授权的key):

它指示管理主机可以使用公钥来SSH安全连接到IPS上,此时的IPS将作为SSH的服务端,实际做法是:主机在本地使用公私钥产生工具产生一个公私钥对,然后将公钥通过某种方式复制给IPS,也就复制到下图4.32的public Modulus里面,私钥由客户主机自己保存,那么此时的IPS就具备了客户端的公钥,当客户端SSH时就可以将它的公钥提交给IPS,IPS会将客户端提交的公钥与public Modulus里面的公钥作对比,完成对客户端的验证。ID指示公钥的ID,它的取值范围是1-256字符串;modulusLength指示公钥的长度,它的取值是512-2048;PublicExponent指示公钥的指数,事实上它是一个整数,有效的取值范围是3到2147483647,使用RSA标准来加密数据;public Modulus指示存放着客户端的公钥内容。

演示:配置安全的shell属性_第4张图片


Known Host key(已知主机的Key):

  该密钥一般在IPS设备与其它网络设备联动时,完成Blocking会使用到,比如IPS可能需要登陆到路由器、防火墙上写安全策略,而且IPS选择了SSH安全连接,此时的IPS将是SSH的客户端,它(IPS)必须获得那些Blocking devices(比如:路由器、防火墙)的公钥,那么这些公钥就是所谓Known Host key(已知主机的Key)。可以通过在如图4.33的对话框中,配置了Blockingdevices的IP后,点击Retrieve Host Key自动向相关设备进行检索获得。


演示:配置安全的shell属性_第5张图片

Sensor key(传感器的Key):

由思科传感器自己所产生的公私钥对,如果您不想使用现在的公私钥对,你可以通过点击Generate Key重新来产生公私钥对,如下图4.34所示

演示:配置安全的shell属性_第6张图片