通过SSH方式从内外网访问PIX 防火墙
众所周知,缺省情况下Cisco PIX是不允许从外网口(outside)通过telnet方式登录并远程管理防火墙的,但是为了进行远程技术支持和设备维护通常需要开启Cisco PIX防火墙上的相关功能,在这里介绍通过SSH来管理PIX,这也是远程管理Cisco PIX的标准工作方式。
由于设计的局限性,Telnet在传输机制和实现原理上没有考虑安全机制的,本质上是不安全的,因为它在网络上用明文传送数据、用户帐号和用户口令,别有用心的人通过嗅探等网络攻击手段可以非常容易地截获这些数据。而且,这种网络服务程序的简单安全验证方式也有其弱点,那就是很容易受到攻击。“SSH”是英文Secure Shell的简写形式。从名字上看,SSH(Secure Shell)代表的是安全Shell,但它并不像Unix中的Bourne shell那样是真正的Shell。它是一种协议,定义了如何创建一个安全通道在远程计算机上运行Shell。SSH基于客户机/服务器体系结构,它在计算机之间建立网络连接,保证连接的双方真实可靠,并确保使用该连接传输的所有数据都不会被窃听者读取或修改。通过使用SSH,你可以把所要传输的数据进行加密,而且也能够防止DNS欺骗和IP欺骗。使用SSH,还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,主要是解决口令在网上明文传输的问题,它可以代替Telnet。为了系统安全和用户自身的权益,推广SSH是必要的。
SSH有两个版本,我们现在介绍的是版本1。SSH服务使用tcp 22 端口,客户端软件发起连接请求后从服务器接受公钥,协商加密方法,成功后所有的通讯都是加密的。Cisco 设备目前只支持SSH v1,不支持v2。
一、配置PIX来接受SSH连接。
pixfirewall(config)#hostname 21vianet //设置主机名
21vianet (config)#domain-name 21vianet.com //为PIX分配主机名和域名。要想产生RSA密钥集,这是必需的。
21vianet (config)#ca generate rsa key 2048 // ca zeroize rsa 清空以前配置产生一对RSA密钥,并且存到FLASH里。如用1024为非AAA Authentication方式的ssh。
(注意:如果出现如下错误,说明系统中已经存在RSA的KEY
WARNING: the 'ca' command syntax has been deprecated
Please use the 'crypto key generate' command.
Please use the 'crypto key generate' command.
可以使用crypto key generate rsa modulus 1024 noconfirm命令生成KEY)
21vianet (config)#sh crypto mypubkey rsa //查看刚刚产生的RSA公钥。
21vianet (config)#ca save all // 产生这些密钥后,我们必须要把它存到FLASH中,如果这步指定失败,那么下次重启后重新加载时,密钥会被删除。
21vianet (config)#ssh 211.99.223.50 255.255.255.255 outside //外部主机将允许使用SSH来访问PIX防火墙。
ssh 0.0.0.0 0.0.0.0 inside //内部主机将允许使用SSH来访问PIX防火墙。
21vianet (config)#ssh timeout 60 //设置超时时间。
21vianet (config)#passwd cisco //设定TELNET口令(这个口令将是我们在客户端进入PIX的口令)
以上PIX防火墙端配置完毕。
二、配制我们的SSH客户端来连接到PIX。
以下是配置SSH客户端来连接到PIX
我们拿SecureCRT 4.1为例子
选择协议:ssh1 (因为现在CISCO设备不支持SSH2)
端口号: 22
hostname:防火墙外口IP (如果选择内部访问,则用内口IP)
username:pix (一定要是pix,固定不变的)
password: 本例为cisco
以上步骤完成,那么我们开始连接到PIX。
通过这种方式,我们不用为每一个需要登陆到pix的用户配置用户名,使用SSH客户端工具登陆pix的时候,默认的用户名为pix。
如 果不希望使用pix作为ssh login的用户名,则需要下列配置
aaa authentication ssh console LOCAL
username cisco password cisco encrypted privilege 15(绿色部分也可以不使用)
这样就可以使用用户名cisco来替代默认的pix.
aaa authentication ssh console LOCAL
username cisco password cisco encrypted privilege 15(绿色部分也可以不使用)
这样就可以使用用户名cisco来替代默认的pix.
检查命令如下:
show run //查看当前运行配置,其实和启动配置相同。
show ca mypubkey rsa或sh crypto key mypubkey rsa //查看本地生成的公钥。
sh ssh session //查看SSH会话。
crypto key zeroize rsa 清除现存RSA KEY