SSH là gì?

SSH (Secure Shell) là giao thức giúp quản trị viên truy cập và quản lý thiết bị từ xa thông qua kết nối được mã hóa an toàn. So với Telnet, SSH bảo mật hơn rất nhiều vì toàn bộ dữ liệu đăng nhập và quá trình trao đổi đều được mã hóa.

Hiện nay SSH là phương thức quản trị từ xa phổ biến trên các thiết bị mạng Cisco như:

• Switch Cisco
• Router Cisco
• Firewall Cisco

Trong môi trường doanh nghiệp, SSH gần như là giao thức bắt buộc khi quản trị hệ thống mạng vì tính bảo mật và ổn định cao hơn Telnet truyền thống. Trong bài viết này, HOSTVN sẽ hướng dẫn bạn cấu hình SSH trên thiết bị Cisco để quản trị từ xa an toàn hơn.

Các Bước Cấu Hình SSH Trên Thiết Bị Cisco

Đổi Hostname Và Domain Name

Trước tiên cần cấu hình hostname và domain-name cho thiết bị Cisco.

Hostname giúp định danh thiết bị trên hệ thống mạng, còn domain-name được sử dụng khi tạo RSA Key cho SSH.

Switch(config)# hostname HOSTVN-Switch
HOSTVN-Switch(config)# ip domain-name hostvn.net

Bật SSH Version 2

Cisco khuyến nghị sử dụng SSH version 2 vì bảo mật tốt hơn SSH v1.

HOSTVN-Switch(config)# ip ssh version 2

Tạo RSA Key

SSH yêu cầu thiết bị phải có RSA Key.

HOSTVN-Switch(config)# crypto key generate rsa

Hệ thống sẽ yêu cầu nhập độ dài key:

How many bits in the modulus [512]: 2048

Khuyến nghị nên sử dụng:

• 1024 bits trở lên
• Tốt nhất là 2048 bits

Ví dụ:

% Generating 2048 bit RSA keys, keys will be non-exportable...[OK]

Lưu ý:

• Độ dài key càng cao thì bảo mật càng tốt
• Tuy nhiên thời gian tạo key sẽ lâu hơn trên các thiết bị đời cũ

Tạo User SSH

Tạo tài khoản dùng để đăng nhập SSH.

HOSTVN-Switch(config)# username hostvn-user privilege 15 secret cisco@123

Trong đó:

• privilege 15 là quyền quản trị cao nhất
• secret bảo mật hơn password

Khuyến nghị nên sử dụng:

• Password mạnh
• Không dùng user mặc định
• Không đặt password quá đơn giản

Cấu Hình VTY Cho SSH

Sau khi tạo user, cần bật SSH trên các line VTY để cho phép truy cập từ xa.

HOSTVN-Switch(config)# line vty 0 4
HOSTVN-Switch(config-line)# login local
HOSTVN-Switch(config-line)# transport input ssh
HOSTVN-Switch(config-line)# exit

Ý nghĩa:

• login local dùng tài khoản local trên thiết bị
• transport input ssh chỉ cho phép SSH, chặn Telnet

Điều này giúp tăng tính bảo mật vì Telnet truyền dữ liệu dưới dạng plain text và rất dễ bị sniffing.

Cấu Hình Timeout SSH

Thiết lập thời gian tự động logout nếu phiên SSH không hoạt động trong một khoảng thời gian nhất định.

HOSTVN-Switch(config)# line vty 0 4
HOSTVN-Switch(config-line)# exec-timeout 5

Ví dụ trên sẽ tự động logout sau 5 phút không hoạt động.

Điều này giúp hạn chế rủi ro khi quản trị viên quên đăng xuất khỏi thiết bị mạng.

Lưu Cấu Hình

Sau khi cấu hình xong, cần lưu lại để tránh mất cấu hình sau khi reboot thiết bị.

HOSTVN-Switch# write memory

Hoặc:

HOSTVN-Switch# copy running-config startup-config

Nếu không lưu cấu hình, toàn bộ thiết lập SSH sẽ bị mất sau khi thiết bị khởi động lại.

Kiểm Tra SSH Trên Cisco

Sau khi hoàn tất cấu hình, bạn có thể kiểm tra trạng thái SSH bằng các lệnh sau.

Kiểm tra trạng thái SSH:

show ip ssh

Kiểm tra các user đang SSH vào thiết bị:

show users

Ngoài ra bạn cũng có thể kiểm tra bằng cách SSH trực tiếp từ máy tính đến địa chỉ IP management của Switch hoặc Router Cisco.

Một Số Lưu Ý Khi Cấu Hình SSH Cisco

• Nên sử dụng SSH v2 thay cho Telnet
• Sử dụng RSA key từ 2048 bits trở lên
• Không nên dùng tài khoản mặc định
• Nên giới hạn IP được phép SSH bằng ACL
• Chỉ mở SSH trên VLAN Management
• Đặt password mạnh để tăng bảo mật
• Không nên mở SSH trực tiếp ra Internet nếu không cần thiết

Trong môi trường doanh nghiệp, quản trị viên thường kết hợp SSH với:

• ACL
• AAA
• Radius
• TACACS+
• VLAN Management riêng

để tăng mức độ bảo mật cho hệ thống mạng Cisco.

Kết Luận

SSH là phương thức quản trị từ xa an toàn và gần như bắt buộc trên các thiết bị Cisco hiện nay. Việc cấu hình SSH giúp mã hóa dữ liệu đăng nhập, tăng tính bảo mật và hạn chế rủi ro so với Telnet truyền thống. Hy vọng bài viết sẽ giúp bạn cấu hình SSH trên thiết bị Cisco dễ dàng và hiệu quả hơn trong quá trình quản trị hệ thống mạng.