Aktifkan SSH
Telnet menyederhanakan akses perangkat jarak jauh, tetapi tidak aman. Data yang terdapat dalam paket Telnet dikirimkan tanpa enkripsi. Karena alasan ini, sangat disarankan untuk mengaktifkan Secure Shell (SSH) pada perangkat untuk akses jarak jauh yang aman.
Anda dapat mengonfigurasi perangkat Cisco untuk mendukung SSH menggunakan enam langkah berikut:
Langkah 1. Konfigurasikan nama host perangkat yang unik. Perangkat harus memiliki nama host yang unik selain nama host default.
Langkah 2. Konfigurasikan nama domain IP. Konfigurasikan nama domain IP jaringan dengan menggunakan perintah mode konfigurasi global ip domain name name. Dalam contoh ini, router R1 dikonfigurasikan dalam domain span.com. Informasi ini digunakan bersama dengan nilai bit yang ditentukan dalam perintah crypto key generate rsa general-keys modulus untuk membuat kunci enkripsi.
Langkah 3. Hasilkan kunci untuk mengenkripsi lalu lintas SSH. SSH mengenkripsi lalu lintas antara sumber dan tujuan. Namun, untuk melakukannya, kunci autentikasi unik harus dibuat dengan menggunakan perintah konfigurasi global crypto key generate rsa general-keys modulus bits. Bit modulus menentukan ukuran kunci dan dapat dikonfigurasi dari 360 bit hingga 2048 bit. Semakin besar nilai bit, semakin aman kuncinya. Namun, nilai bit yang lebih besar juga memerlukan waktu lebih lama untuk mengenkripsi dan mendekripsi informasi. Panjang modulus minimum yang direkomendasikan adalah 1024 bit.
Langkah 4. Verifikasi atau buat entri basis data lokal. Buat entri nama pengguna basis data lokal menggunakan perintah konfigurasi global nama pengguna. Dalam contoh ini, parameter rahasia digunakan agar kata sandi dienkripsi menggunakan MD5.
Langkah 5. Autentikasi terhadap basis data lokal. Gunakan perintah konfigurasi baris login lokal untuk mengautentikasi baris vty terhadap basis data lokal.
Langkah 6. Aktifkan sesi SSH masuk vty. Secara default, tidak ada sesi input yang diizinkan pada jalur vty. Anda dapat menentukan beberapa protokol input termasuk Telnet dan SSH menggunakan perintah transport input {ssh | telnet}.
Untuk memverifikasi SSH dan menampilkan kunci yang dihasilkan, gunakan perintah show crypto key mypubkey rsa dalam mode EXEC istimewa. Jika ada pasangan kunci yang ada, sebaiknya pasangan kunci tersebut ditimpa menggunakan perintah crypto key zeroize rsa. Jika ada pasangan kunci yang ada, sebaiknya pasangan kunci tersebut dihapus menggunakan perintah crypto key zeroize rsa. Gambar 2 memberikan contoh verifikasi kunci kripto SSH dan penghapusan kunci lama.
Meningkatkan Keamanan Login SSH
Untuk memverifikasi pengaturan perintah SSH opsional, gunakan perintah show ip ssh, seperti yang ditunjukkan pada gambar. Anda juga dapat mengubah interval batas waktu SSH default dan jumlah percobaan autentikasi. Gunakan perintah mode konfigurasi global ip ssh time-out seconds untuk mengubah interval batas waktu default 120 detik. Ini mengonfigurasi jumlah detik yang dapat digunakan SSH untuk mengautentikasi pengguna. Setelah diautentikasi, sesi EXEC dimulai dan exec-timeout standar yang dikonfigurasi untuk vty berlaku.
Secara default, pengguna yang masuk memiliki tiga kali percobaan untuk memasukkan kata sandi yang benar sebelum koneksi terputus. Untuk mengonfigurasi sejumlah percobaan ulang SSH berturut-turut yang berbeda, gunakan perintah mode konfigurasi global ip ssh authentication-retries integer.
Hubungkan Router ke Router yang Mendukung SSH
Untuk memverifikasi status koneksi klien, gunakan perintah show ssh. Ada dua cara berbeda untuk terhubung ke router yang mendukung SSH.
Secara default, saat SSH diaktifkan, router Cisco dapat bertindak sebagai server SSH atau klien SSH. Sebagai server, router dapat menerima koneksi klien SSH. Sebagai klien, router dapat terhubung melalui SSH ke router lain yang mendukung SSH seperti yang ditunjukkan dalam tiga langkah berikut.
Dalam contoh berikut, administrator di R1 menggunakan perintah show ssh untuk memeriksa koneksi SSH saat ini. Kemudian administrator lain masuk ke R1 dari R2. Administrator di R1 memeriksa lagi koneksi SSH saat ini.
Hubungkan Host ke Router yang Mendukung SSH
Hubungkan menggunakan klien SSH yang berjalan pada host seperti yang ditunjukkan pada empat gambar berikut. Contoh klien ini meliputi PuTTY, OpenSSH, dan TeraTerm.
Prosedur untuk menghubungkan ke router Cisco bervariasi tergantung pada aplikasi klien SSH yang digunakan. Umumnya, klien SSH memulai koneksi SSH ke router. Layanan SSH router meminta kombinasi nama pengguna dan kata sandi yang benar. Setelah login diverifikasi, router dapat dikelola seolah-olah administrator menggunakan sesi Telnet standar.
No comments:
Post a Comment