Dostęp po SSH

Wiadomość

r3solved · #1

Wpadłem na dość nietypową dla mnie konfigurację dostępu po SSH. Standardowo podczas konfiguracji SSH, określamy hostname, domene, klucz (crypto key generate rsa modu 2048).

Kod: Zaznacz cały

crypto pki trustpoint TP-self-signed-1111111111
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-1111111111
 revocation-check none
 rsakeypair TP-self-signed-111111111

Kod: Zaznacz cały

crypto pki certificate chain TP-self-signed-111111111
 certificate self-signed 01 nvram:IOS-Self-Sig#999999.cer

Wygląda to konfigurację SSH z wygenerowanym kluczem do pliku zamiast ogólnej konfiguracji (startup-config).

Dzięki za wyjaśnienia powyższej konfiguracji.

inkrementator · #2

Tak jak mówisz, ssh korzysta z kluczy RSA, generujesz je określając hostname, domene i moc klucza (np 2048).

Konfiguracja dotyczy bardziej certyfikatu, który będzie używany np. do SSL. Również generujesz parę kluczy i wysyłasz klucz publiczny do CA, żeby go podpisał (czyli wytworzył certyfikat). Poczytaj sobie o PKI.

Komendą pki trustpoint określasz parametry które użyjesz potem do wytworzenia CSR (Certificate Signing Request).

Komendą pki certificate chain możesz wytworzyć łańcuch certyfikatów.

W Twoim przypadku może to być domyślna konfiguracja, gdyż certyfikat jest podpisany przez router (selfsigned). Taki config się wytwarza automatycznie, jak np właczysz http secure-server, gdyż router musi zaprezentować jakiś certyfikat klientowi

r3solved · #3

W takim razie nie ma to nic wspólnego z SSH?
Próbuję dojść po konfigu jak działa dostęp po SSH na tym urządzeniu. Na liniach vty jest skonfigurowany dostęp tylko dla SSH (trans inpu SSH) ale bez klucza RSA, SSH nie zadziała.

inkrementator · #4

SSL a SSH to dwie różne technologie.

Jeśli chodzi o SSH, to chyba nie ma komendy, która włącza/wyłącza ssh na urządzeniu. Jeśli wygenerujesz klucz RSA, to automatycznie SSH serwer jest włączony, jeśli usuniesz wszystkie klucze RSA z urządzenia, wtedy SSH serwer jest wyłączony:

Kod: Zaznacz cały

Cairo(config)#crypto key generate rsa modulus 1024
The name for the keys will be: Cairo.ff

% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]

Cairo(config)#
*Jan  28 14:31:05.583: %SSH-5-ENABLED: SSH 1.99 has been enabled
Cairo(config)#
Cairo(config)#crypto key zeroize rsa
% All RSA keys will be removed.
% All router certs issued using these keys will also be removed.
Do you really want to remove these keys? [yes/no]: yes
Cairo(config)#
*Jan  28 14:31:21.719: %SSH-5-DISABLED: SSH 1.99 has been disabled
Cairo(config)#

Jeśli chcesz zmienić domyślny klucz rsa, wtedy jest komenda:

Kod: Zaznacz cały

ip ssh rsa keypair-name

A jeśli chcesz sprawdzić, czy serwer ssh działa, to

Kod: Zaznacz cały

show ip ssh

Co ciekawe, jeśli chcesz z lokalnego urządzenia zrobić ssh na inne urządzenie, wtedy również musisz wygenerować klucze RSA, co włączy SSH serwer, żeby być SSH klientem.

r3solved · #5

Chyba się źle zrozumieliśmy, wiem do czego służy i jak działa SSL oraz SSH. Głównie chodzi o to, że na przełączniku działa SSH ale nigdzie w konfiguracji nie mogę znaleźć wygenerowanego klucza RSA. Jedyne komendy, które mogły mieć związek z konfiguracją SSH (wygenerowaniem klucza) dodałem w pierwszym poście. SSH jest włączone na urządzeniu. Od samej komendy transport input ssh na liniach vty ssh nie zezwoli na dostęp.

inkrementator · #6

To już wystarczy poszukać w dokumentacji, co piszą o komendzie:

key generate rsa

"This command is not saved in the router configuration; however, the RSA keys generated by this command are saved in the private configuration in NVRAM (which is never displayed to the user or backed up to another device) the next time the configuration is written to NVRAM."

r3solved · #7

I wszystko jasne, klucz jest wyświetlany tylko w runnig-config (w startup-config brak):

Kod: Zaznacz cały

crypto pki certificate chain TP-self-signed-2121334233423
 certificate self-signed 01
  11111111 11111111 11111111 11111111 
  11111111 11111111 11111111 11111111

inkrementator · #8

Tylko to nie jest klucz, tylko certyfikat. Pisałem o tym w pierwszej odpowiedzi.

r3solved · #9

Podsumowując, klucz RSA generowany podczas wprowadzenia komendy "crypto key generate rsa" nie jest zapisywany w żadnej konfiguracji. Jeżeli chcemy sprawdzić czy ssh działą wystarczy skorzystać z komendy "show ip ssh"

michalw · #10

Jeżeli masz uruchomione ssh to musisz mieć już wygenerowaną parę kluczy rsa.
Jeśli chcesz wyświetlić info o kluczach rsa na swoim sprzęcie to wrzuć:

Kod: Zaznacz cały

show crypto key mypubkey rsa

Poleceniem:

Kod: Zaznacz cały

show crypto key storage

zobaczysz gdzie twoje klucze są składowane.

r3solved · #11

Pierwsze polecenie bardzo przydatne, drugie natomiast:

Kod: Zaznacz cały

rsw#show crypto key storage
Default keypair storage device has not been set

michalw · #12

A u mnie podaje:

Kod: Zaznacz cały

show crypto key storage 
Default keypair storage device has not been set
Keys will be stored in NVRAM private config

więc jest tak jak napisał wcześniej inkrementator

r3solved · #13

Dokładnie, osobiście wychodzi niedoczytanie. Utkwiło mi w głowie, że po wygenerowaniu klucza jest on zapisywany w konfiguracji a jago wynik to:

Kod: Zaznacz cały

crypto pki certificate chain TP-self-signed-2121334233423 
 certificate self-signed 01 
  11111111 11111111 11111111 11111111 
  11111111 11111111 11111111 11111111

Nie ma to nic wspólnego z kluczem RSA a certyfikatem, tak jak napisał inkrementator.