Cisco CCENT/CCNA R&S – ICND1 100-105 v3.0 Teil 3 – Routing Fundamentals

Eine verschlüsselte Routerverbindung (SSH) aufbauen

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Lernen Sie in diesem Video die erforderlichen Schritte kennen, um über SSH (Secure Shell) eine verschlüsselte Verbindung zu einem Router aufzubauen.
09:25

Transkript

SSh bietet die Möglichkeit, eine verschlüsselte Verbindung mit dem Router aufzubauen. Zurzeit arbeite ich über die Konsole, um den Router zu konfigurieren. SSh ist noch nicht konfiguriert. Wir können das testen mit einem weiteren Tool, zum Beispiel mit PuTTY. Ich setze die IP-Adresse des Routers ein, "192.168.1.222", über den Port 22 möchte ich eine SSH-Verbindung aufbauen, ich wähle die Schaltfläche "Open" und die Verbindung wird zurückgesetzt. "Network error:Connection refused". Warum? Ganz einfach, SSH ist auf dem Router noch nicht konfiguriert. Nun wechsle ich wieder in die Konsole. Mit dem Tool "Tera Term" kann ich die Konfiguration weiterführen. Zuerst einmal muss ich den Router anders benennen. Das ist der Standard-Name "Router". Damit ich mit SSH arbeiten kann, muss ich einen neuen Hostnamen erstellen, dann eine Domäne konfigurieren und dann schlussendlich noch SSH als solches konfigurieren. Starten wir die Konfigurationsschritte jetzt gemeinsam. Zuerst einmal wechsle ich in den globalen Konfigurationsmodus mit "conf t", ist abgekürzt, steht für "configure terminal". Nun möchte ich den Hostnamen ändern, zum Beispiel in "R1". Nun ist der Hostname geändert. Als Nächstes brauche ich einen Domänennamen, weil ich werde später einen Schlüssel erstellen, einen sogenannten Crypto-Key und in diesem Crypto Key muss der FQDN des Routers abgelegt werden. Das bedeutet also, "R1" ist der Name und dann mit der Domäne zusammen ergibt es den FQDN. In meinem Fall verwende ich IP, dann Domain-Name und der Name ist ganz einfach, zum Beispiel "corp.pri". Nun würde sich der FQDN wie folgt zusammensetzen: "R1.corp.pri". Das ist ein FQDN. Nun ist die Domäne konfiguriert. Als Nächstes brauche ich einen Benutzernamen und ein Passwort, den ich dann später einsetzen kann, um die SSH-Verbindung aufzubauen. Ich werde dann nach einem Benutzernamen abgefragt und nach einem Passwort. Verwenden wir den Befehl "username", dann zum Beispiel kann das Admin sein, dieser soll die Rechte "privilige", Rechte 15 erhalten, also die höchsten Rechte, um dann den Router über SSH auch konfigurieren zu können, ich setze "Secret" ein, damit das Passwort nicht im Klartext abgelegt wird und das Passwort heißt "sshadmin". Ist ein Beispiel. Die Konfiguration wurde getätigt. Nun muss ich in den Line-Modus wechseln. Ich möchte ja die "vty", also die Virtual Teletype Lines bearbeiten. Und ich möchte direkt alle bearbeiten, mir stehen fünf zur Verfügung. Darum verwende ich den Befehl "Line vty" und dann "0", Abstand "4", Das sind diese fünf Verbindungen, die gleichzeitig aufgebaut werden können. Nun bin ich im Line-Konfigurationsmodus. Ich wechsle zuerst einmal den Transport-Input. Das bedeutet, jetzt könnte ich theoretisch mit Telnet und SSH eine Verbindung aufbauen. Wenn ich jetzt die Konfiguration tätige, "Transport Input", setze das Fragezeichen ein, damit Sie das sehen können, wähle ich nun nur noch SSH aus, damit kann nur noch über SSH mit dem Router eine Verbindung aufgebaut werden. Telnet steht dann nicht mehr zur Verfügung, weil jetzt im Moment ist der Wert "all" gesetzt. "Transport Input? all" bedeutet also Telnet und SSH ist erlaubt. Und nun ist mit diesem Befehl "Transport Input ssh" nur noch SSH erlaubt. Nun muss ich diese Funktion aktivieren, mit "Login local" verwende ich den Befehl, dass wenn ich eine SSH-Verbindung aufbaue, wird ein Login abgefragt und weil ich noch "local" einsetze, wird in der lokalen Datenbank nach einem Benutzer und einem Passwort gesucht. Und den Benutzer haben wir hier konfiguriert und das Passwort haben wir ebenfalls gesetzt. Darum verwende ich den Befehl "Login local". Die Konfiguration ist gesetzt und mit "Exit" verlasse ich den Line-Konfigurationsmodus. Jetzt muss ich einen Crypto-Key erstellen. Diesen Crypto-Key erstelle ich mit dem Befehl "crypto", dann verwende ich das Kommando "Key". Wenn Sie übrigens nicht wissen, wie Sie da vorgehen müssen mit der Konfiguration, setzen Sie Ihren guten Freund ein, das Fragezeichen. Hier erhalten Sie immer die Informationen, die Sie brauchen. Den nächste Befehl, den ich brauche, ist "generate", ich möchte ja einen solchen Crypto-Key generieren: "crypto Key generate". Wie geht es nun weiter? Mit dem Fragezeichen, aha, "crypto Key generate rsa", dann kann ich wieder das Fragezeichen einsetzen und nun verwende ich die Option "General-Keys", nun muss ich den Modulus angeben, wenn Sie das nicht wissen, wieder das Fragezeichen einsetzen, und Sie sehen direkt hier Modulus, geben wir "modulus" ein und nun kann ich den Bit-Wert bestimmen. Da wird zum Beispiel aufgelistet, dass ich einen Wert setzen kann zwischen 360 bis 2048. Je höher der Bitschlüssel ist, umso sicherer ist es dann auch, wenn dieses Zertifikat in die falschen Hände geraten sollte. Ich wähle einfach mal einen Mittelwert aus 1024. Nun wird dieser Key erstellt und ist nun auch verfügbar. Ich sehe auch direkt in der Konsole, in der Ausgabe, "SSH 1.99 has been anabled". Es ist also die SSH-Version 2.0 aktiviert worden. Und nun kann ich mit "End" den Konfigurationsmodus wieder verlassen. Ich kann die Konfiguration prüfen mit "Show", mein Kommando ist in der Konsole-Ausgabe hinten angefügt worden, Sie sehen das vielleicht, ich lösche diesen Befehl, navigiere zur nächsten Linie, damit Sie das besser sehen können. Also mit "Sh ip ssh" kann ich nun die Konfiguration kurz prüfen. In der Tat SSh ist enabled in der Version 1.99, das wäre die Version 2.0. Und nun prüfen wir, ob es auch tatsächlich funktioniert hat. Bevor ich aber eine Verbindung aufbaue, möchte ich Ihnen zeigen, dass es auch tatsächlich eine verschlüsselte Verbindung ist. Dazu starte ich Wireshark im Hintergrund. Ich zeichne also den Datenverkehr auf, ich setze da einen Filter ein, damit die RTP-Kommunikation nicht aufgezeichnet wird beziehungsweise ausgeblendet wird, da ich mit RTP auf dieses System zugreife. Ich minimiere die Wireshark-Instanz, ich minimiere ebenfalls Tera Term und nun starte ich mit PuTTY eine neue Verbindung. Ich verwende dazu die IP-Adresse des Routers, "192.168" dann die "1" und "222" am Schluss, ich möchte eine SSH-Verbindung aufbauen über den Port 22, mit der Schaltfläche "Open" kann ich diese Verbindung starten. Nun werde ich aufgefordert, dass ich den Key akzeptieren soll, den ich eben erstellt habe. Ja, das möchte ich, darum wende ich die Schaltfläche "Ja" an. Und jetzt sehen Sie, jetzt werden wir abgefragt nach Benutzernamen und Passwort. Der Benutzer war "Admin" und das Passwort war "sshadmin". Und jetzt habe ich eine Verbindung aufgebaut zu meinem Router und Sie sehen auch hier den Hostnamen "R1", den wir eben vorhin konfiguriert haben. Ich wechsle nun zurück zum Wireshark, ich stoppe diese Aufzeichnung, ich suche das Protokoll SSH, um zu verifizieren, dass diese auch tatsächlich funktioniert hat, navigiere da ein wenig nach unten, hier sehen wir das Protokoll SSH, ich setze nun einen spezifischen Filter ein, nämlich den TCP-Stream, um zu verifizieren, dass auch tatsächlich die Kommunikation verschlüsselt wurde. Und wir sehen in der Tat, das ist wirklich nicht lesbar. Die Kommunikation wurde also erfolgreich verschlüsselt. Ich habe Ihnen in diesem Video gezeigt, wie Sie die SSH-Konfiguration auf einem Router durchführen, wie Sie sich dann mit PuTTY beispielsweise zum Router verbinden können, mittels SSH und in Wireshark haben wir gesehen, dass diese Verbindung auch tatsächlich verschlüsselt wurde.

Cisco CCENT/CCNA R&S – ICND1 100-105 v3.0 Teil 3 – Routing Fundamentals

Bereiten Sie sich mit diesem und vier weiteren Trainings auf die Cisco-Zertifizierungsprüfung 100-105 v3.0 vor und erlernen Sie umfassende Kenntnisse zur Einrichtung und Administration von Netzwerken.

2 Std. 54 min (30 Videos)
Derzeit sind keine Feedbacks vorhanden...
Exklusiv für Abo-Kunden
Erscheinungsdatum:01.06.2017

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!