SSH “in depth”

Posted by Karsten on Februar 14, 2010 · Kommentar schreiben 

Im aktuellen IPJ (Internet Protocol Journal) gibt es einen guten und auch detailierten Artikel zu SSH, geschrieben von William Stallings:

Protocol Basics: Secure Shell Protocol

Sehr lesenswert!

Filed under Networking, Security · Tagged with , , ,

Cisco IOS: Public-Key-basierte SSH-Logins

Posted by Karsten on Oktober 5, 2009 · Kommentar schreiben 

routerEin lang gehegter Wunsch ist mit IOS 15.0 in Erfüllung gegangen. SSH-Logins mit Public-Key-Authentifizierung:

http://www.cisco.com/en/US/docs/ios/sec_user_services/configuration/guide/sec_secure_shell_v2.html#wp1063190

Leider klappt es bei mir noch nicht … :-(

Update 06.10.09: Nach anfänglichen Schwierigkeiten läuft es jetzt. Es hat nicht funktioniert, solange ich den Befehl

aaa authorization exec default local

in der Konfiguration hatte, um beim Login direkt im Enable-Mode zu landen. Ohne Exec-Authorization hat man aber leider nicht die Möglichkeit, verschiedene User in unterschiedliche Level einloggen zu lassen. Der Wechsel in den Level15 klappt aber mit der direkten Konfiguration auf der vty-Line:

line vty 0 4
 privilege level 15

Filed under Cisco · Tagged with , ,

Generieren von Crypto-Keys

Posted by Karsten on März 8, 2009 · 2 Kommentare 

routerEin Artikel in Cisco IOS Hints and Tricks beschreibt einen Fehler, den vermutlich viele Leute schon begangen haben (ja, ich natürlich auch): Bei Problemen mit der SSH-Verbindung wurde zu schnell ein “crypto key generate rsa” eingegeben, um neue RSA-Keys zu erzeugen. Leider hat man vergessen, daran zu denken, daß die zertifikatbasierten VPNs von den Schlüsseln abhängen.

Glücklicherweise kennt das IOS seit Version 12.2(8)T die Möglichkeit, jedem Key-Paar ein Label mitzugeben und diese damit für verschiedene Einsatzzwecke zu unterscheiden.
Dabei wird der Befehl crypto key generate rsa mit dem Parameter label versehen:

crypto key generate rsa modulus 2048 label MYLABEL

Dieses Key-Paar kann dann in einem PKI-Trustpoint benutzt werden:

crypto pki trustpoint MYCA
 enrollment ...
 rsakeypair MYLABEL

Wenn später ein unvorsichtiges “crypto key generate” eingegeben wird, kann das den für die VPN-Zertifikate verwendeten Keys nichts anhaben.

Ein weiterer Vorteil ist, daß beim nächsten Wechsel der Zertifikate auch die Keys neu generiert werden können, ohne daß sich der SSH-Fingerprint ändert.

Update: Mit ISRs hat das bisher immer gut funktioniert. Heute ging die Methode mit 1700er Routern und einem 12.4(15)T8 allerdings schief. Also aufpassen!

Filed under Cisco, Cisco - Security · Tagged with , , , ,