Paid-by-themewiki.top
EnglishFrenchGermanItalianJapanesePortugueseRussianSpanishTurkish
Ana Sayfa  ›  CCNA  ›  Network

CCNA Gün 35 - SSH (Secure Shell)

Yorum Gönder
networkous ccna ssh

Bu Yazıda Console Line / VTY Line Yapılandırması, Console Port Güvenliği, Layer 2 Switch Management IP Adres, Telnet / SSH ve Telnet / SSH Yapılandırması Hakkında Bilgi Edineceğiz.

SSH, Yapılandırmak Üzere Ağ Üzerinden Bir Cihazın CLI'sine Bağlanmak için Kullanılan Protokoldür. Cihaza Bağlanmak ve Yapılandırmak için Diğer Bir Seçenek ise Console Porttur. SSH, Doğrudan Cihazın Console Portuna Bağlanmadan Ağ Üzerinden Cihaza Bağlanmanıza olanak Tanır.

Console Port Security - Login

Console Port Aracılığıyla Cisco IOS CLI'ya Erişmek için Varsayılan olarak Parola (Password) Gerekmez. Kutudan Yeni Cihazı Çıkarabilir, Bilgisayarınıza Bağlamak için Konsol Kablosu (Rollover Cable) Kullanabilir ve Ardından CLI'de Cihazı Yapılandırmaya Başlayabilirsiniz.

Console Line, Console Port Bağlantısı ile İlgili Tüm Ayarları Yapılandırdığımız Yerdir.

Console Line'da Bir Parola Yapılandırabilirsiniz. Bunu Yaptığınızda Kullanıcı Console Port Aracılığıyla CLI Eriştiğinde Parola Girmesi Gerekir.

Console Line Yapılandırma Komutu: line console 0

cisco line console configuration

Yalnızca Tek Bir Console Port / Console Line Vardır, Dolayısıyla Sayı Her Zaman 0'dır.

Console Line Password Yapılandırma Komutu (config-line): password password

cisco line console password configuration

Console Port CLI Password Etkinleştirme Komutu (config-line): login

cisco line console login configuration

cisco line console configuration


Console Port Security - Login Local

Alternatif olarak Console Line, Cihazda Yapılandırılan Kullanıcı Adı / Parolalardan (Username / Password) Birini Kullanarak Oturum Açmasını Gerektirecek Şekilde Yapılandırabilir.

Cisco IOS Username / Password Yapılandırma Komutu (config): username username secret password

cisco ios username password configuration

Console Port CLI Username / Password Etkinleştirme Komutu (config-line): login local

cisco line console login local configuration

cisco ios line console login local configuration security

R1 - show running config

show running config line console configuration

Daha Önce Console Line Yapılandırma Modunda Yapılandırdığımız password Komutu Hala Duruyor. Fakat Oturum Açma Modunu login local olarak Değiştirdik, Bu Nedenle Artık Console Line'da Yapılandırılan Parola Kullanılamaz. Kullanıcı, Cihazda Yapılandırılan Kullanıcı Adı / Parolalardan Biriyle Giriş Yapmalıdır.

cisco console line user access verification username password

Console Line Zaman Aşımı (Timeout) Yapılandırma Komutu (config-line): exec-timeout minute second

Bu Komut, Masadan Ayrılmanıza Rağmen Console Bağlantısından Çıkış Yapmayı Unutmanız Durumunda İyi Bir Güvenlik Önlemidir.


Layer 2 Switch Management IP Adres

Router ve Layer 3 Switch, Uzaktan Yönetmek için Kullanabileceğimiz IP Adreslere Sahiptir.

Layer 2 Switch, IP Yönlendirme (IP Routing) Gerçekleştirmez ve Route Tablosu Oluşturmaz. Layer 2 Switch'in Görevi LAN'daki Frameleri İletmektir.

Telnet / SSH Kullanarak Layer 2 Switch CLI'ya Uzaktan Bağlanmak için SVI (Switch Virtual Interface) Kullanabilirsiniz.

Topoloji

layer2 switch management ip address topology

VLAN Konusunda Eksiğiniz Varsa veya Tekrar Etmek İsterseniz VLAN Yazısını okuyabilirsiniz.

Ağ Yöneticisi PC2'yi Kullanıyor ve Farklı Ofislere Gitmek Zorunda Kalmadan Ağdaki Tüm Cihazlara Bağlanabilmesi Gerekiyor. Buna İzin Vermek için Layer 2 Switch'lerde IP Adresine İhtiyaç Vardır.

Layer 2 / 3 Switch SVI Yapılandırma Komutu: interface vlan vlan-id

Layer 2 Switch'in Yerel LAN Dışındaki Cihazlarla İletişim Kurmasına İzin Vermek için Yapılandırmanız Gereken Bir Komut Daha Vardır.

Layer 2 / 3 Switch Default Gateway Yapılandırma Komutu: ip default-gateway ip-address

SW1, PC2 ile aynı LAN'da olmadığı için Ağ Trafiğini Doğrudan PC2'ye Gönderemez. Trafiği, Paketleri Hedeflere Yönlendirecek olan Router'a Göndermesi Gerekir. Bu, Statik Rota Yapılandırmaya Benzer, Ancak Layer 2 Switch'de Route Tablosu olmadığından Default Gateway Belirtmek için Bu Komutu Kullanmanız Gerekir.

cisco switch svi and default gateway configuration


Telnet

  • Telnet, SSH ile Aynı Amaç Doğrultusunda Kullanılır. Fakat Güvenlik Eksikliği Nedeniyle Günümüzde Yaygın olarak Kullanılmamaktadır.
  • Telnet, Verileri Şifreleme (Encryption) olmadan Plaintext olarak Gönderir. Saldırgan Trafiği Yakalamak için Wireshark gibi Bir Program Kullanıyorsa Verileri Tam olarak Okuyabilir.

cisco telnet server message wireshark

    • PC2'nin Telnet Kullanarak R1 CLI Erişmeye Çalıştığını Düşünelim. Üstteki Resimde R1'in PC2'ye Gönderdiği Bir Telnet Paketi Var, İçinde 'Password:' Yazıyor. Bu, PC2'de Giriş Yapmaya Çalışırken CLI'da Görüntülenen Password Prompt'dur.

cisco telnet client message wireshark

    • PC2'de Parolayı Girdim ve Üstteki Resimde Görüldüğü gibi Bir Paket İçinde R1'e Gönderildi. Ancak Parola, Plaintext olarak Görüntülenir ve Şifreleme (Encryption) Yok. Bu Nedenle Telnet Yerine SSH Kullanılır.

    • Telnet Client (PC2), Bağlanan Cihazdır. Telnet Server (R1), Bağlanılan Cihazdır. Bu Durumda R1, TCP 23 Telnet Trafiğini Dinler. PC2, Şifreyi R1'e Gönderdiğinde Destination Port Numarası TCP 23'dür.


Telnet Yapılandırması

  • Telnet Üzerinden Bağlanırken enable secret password Komutu Kullanılmamışsa Enable Moduna (Privileged Exec Mode) Erişemezsiniz.

enable secret command telnet

Örnek

telnet no password set


  • login local Komutu ile Cihaza Giriş Yapılacağından Dolayı username username secret password Komutu ile Cihazda Kullanıcı Adı / Parola Yapılandırdım.

username password configuration cisco


  • VTY Line'a Hangi Cihazların Bağlanabileceğini Sınırlamak için ACL Yapılandırabilirsiniz. Fakat Bu Zorunlu Değildir.

telnet standard numbered acl configuration

Yukarıdaki Resimde Standard Numbered ACL Yapılandırmasını görüyorsunuz. 

ACE 10 -> permit host 192.168.2.1

ACE 20 -> Implicit Deny (deny any)


  • VTY Line Yapılandırma Komutu: line vty 0 15

cisco line vty configuration

Telnet/SSH, VTY Line ile Yapılandırılır. Kullanılabilir 16 adet Line Vardır, Böylece 16 adet Kullanıcı Aynı Anda Cihaza Bağlanabilir.


    • login local ve exec-timeout 5 0 Komutları:

telnet configuration login local exec timeout


    • VTY Line İzin Verilen Bağlantı Türünü Yapılandırma Komutu (config-line): transport input {telnet | ssh | telnet ssh | all | none}

cisco transport input command


    • VTY Line'a ACL Uygulama Komutu (config-line): access-class acl-number/name {in | out}

telnet vty line access class command

Bu ACL, Sadece PC2'nin Telnet Kullanarak SW1'e Bağlanabileceği Anlamına Gelir. Ayrıca Bu ACL, Sadece VTY Line için Geçerlidir. Diğer Cihazlar SW1'e Ping, vb. ile İletişim Kurabilirler.


cisco telnet configuration


Topolojiyi Hatırlayalım.

telnet topology

Yapılandırmayı Doğrulamak için R2'den SW1'e Ping Atmayı Denedim. Ping Başarılı oldu.

Ancak R2'den SW1'e Telnet Yapmaya Çalıştığımda 'Connection refused by remote host' Şeklinde Bir Mesaj Aldım. Bunun Nedeni SW1 VTY Line'a uyguladığımız ACL. Yalnızca PC2, SW1'e Telnet Yapmalıdır..

Telnet'i PC2'den denedim ve İşe Yaradı.

cisco telnet connection


SSH (Secure Shell)

  • SSH, Telnet gibi Daha Az Güvenli Protokollerin Yerini Almak Üzere 1995 Yılında Geliştirilmiştir.

  • Shell = CLI (Command Line Interface).

  • SSHv1'in Büyük Bir Revizyonu olan SSHv2, 2006'da Yayınlandı. SSHv2 Daha Güvenlidir, Bu Nedenle Mümkün olduğunca Kullanılmalıdır.

  • Bir Cihaz Hem SSHv1 Hem de SSHv2 Destekliyorsa 1.99 Sürümünü Çalıştırdığı Söylenir.

  • SSH, Şifreleme (Encryption) ve Kimlik Doğrulama (Authentication) gibi Güvenlik Özellikleri Sağlar. Örneğin Aşağıdaki Resimde Wireshark Programında Yakaladığım Örnek Bir SSH Paketi Var.

ssh packet wireshark

    • Encrypted Packet Bölümüne Bakın, Bu Görünüşte Rastgele Bir Karakter Dizisidir.  Bu Paketin Şifresini Çözmek (Decryption) için Yalnızca SSH Server ve SSH Client Anahtara (Key) Sahiptir, Bu Nedenle Paketi Hedefine Giderken Yakalamış olsam da İçeriğinin Ne olduğunu Bilmiyorum.

  • SSH, TCP Port 22 Kullanır.

SSH Yapılandırması

Topolojiyi Hatırlayalım.

ssh topology

Cihaz SSH Destekliyor mu?

SSH Yapılandırmadan Önce Cihazdaki IOS Sürümünün Bunu Desteklediğinden Emin olmalısınız.

Cisco IOS Versiyonu ve Cihaz Donanımı Hakkında Bilgi Görüntüleme Komutu: show version

cisco show version

SSH Destekleyen Cisco IOS Adlarında K9 olacaktır.

Ara Not: Cisco NPE IOS, SSH gibi Kriptografik Özellikleri Desteklemez.

SSH Hakkında Bilgi Görüntüleme Komutu: show ip ssh

Cihazınız SSH Desteklemiyorsa Size Burada Bildirecektir.

show ip ssh

Bu Durumda SSH Destekleniyor, Fakat Devre Dışı.

version 1.99 -> Hem SSHv1 Hem de SSHv2 Destekleniyor.

SSH Yapılandırmasının İlk Adımı ile İlgili Bir İpucu: %Please create RSA keys to enable SSH.


RSA Key

SSH Etkinleştirmek ve Kullanmak için RSA Public Key ve RSA Private Key oluşturmalısınız.

Anahtar (Key), Encryption / Decryption, Authentication gibi İşlemlerde Kullanılır.

ip domain name domain-name Komutu ile Alan Adı (Domain Name) Yapılandırın.

cisco ios domain name configuration

Bunu Yapmamızın Nedeni; RSA Anahtarının Adlandırılması için Cihazın FQDN Bilgisinin Kullanılmasıdır.

FQDN (Full Qualified Domain Name): Host Name + DNS Domain Name.

RSA Key Oluşturma Komutu: crypto key generate rsa

crypto key generate rsa

SW1 FQDN = SW1.jeremysitlab.com = RSA Anahtarının Adı.

Ardından RSA Key Size (Modulus Size - Bit) Belirtmeniz Gerekir.

Yukarıdaki Resimde Vurguladığım gibi 2048 Bit Yapılandırdım.

İsterseniz RSA Key Oluşturma Komutu ile birlikte RSA Key Size Bilgisini de Verebilirsiniz.

Belirli Boyutta RSA Key Oluşturma Komutu: crytpto key generate rsa modulus size

SSHv2 RSA Key Size, 768 Bit veya Daha Büyük Olmalıdır.

Daha Büyük Anahtar Boyutu Daha Güvenlidir, Ancak oluşturulması ve Kullanılması Daha Uzun Sürer.

RSA Key oluşturulduktan Sonra SSH Etkinleştirildiğini Belirten Syslog Mesajı Görüntülenir.

cisco ios ssh enabled syslog

show ip ssh Komutu ile SSH'ın Etkinleştirilip Etkinleştirilmediğini Kontrol Edelim.

show ip ssh enabled


VTY Line

Artık SSH Etkinleştirdiğimize göre SSH'ı Yapılandıralım. SW1'de Telnet Yapılandırmaları Kaldırılmıştır, Bu Nedenle Temiz Bir Yapılandırma Yapalım.

Genel Yapılandırmalar (Bu Komutları Telnet Konusunda Zaten Anlatmıştık).


SSHv2 Etkinleştirme Komutu: ip ssh version 2

ip ssh version 2

Bu İsteğe Bağlıdır, Ancak SSHv2 Daha Güvenli olduğundan Önerilir.


SSH VTY Line Yapılandırması

cisco ssh vty line configuration

Telnet VTY Line Yapılandırmasından Farklı olarak VTY Line İzin Verilen Bağlantı Türünü Yalnızca SSH olarak Yapılandırmak için transport input ssh Komutunu Kullandım.

Not: SSH'da VTY Line Yapılandırma Modunda login Komutunu Kullanamazsınız, login local Komutunu Kullanmanız Gerekir. Bir Başka Seçenek ise Kimlik Doğrulama Sunucusunda (Authentication Server) Kimlik Doğrulama Yapabilirsiniz.

cisco ssh configuration


SSH Yapılandırması Özet

RSA Anahtar Çifti (RSA Public / Private Key) oluşturmadan önce Host Name ve Domain Name Yapılandırmanız Gerekir.

ssh crypto key generate rsa

cisco ssh configuration steps


Bir Cihaza SSH ile Bağlanma Komutu:

ssh connection command


Telnet & SSH Komutları Özet

cisco ssh telnet commands

Bu Konu Önemli olduğundan Öğrendiğimiz Bilgilerin Özetini Geçelim. İlk olarak Console Port Güvenliğine Değindik. Varsayılan olarak Console Portuna Fiziksel Erişimi olan Herkes Cihazın CLI'sine Erişebilir. Bu Nedenle Bir Parola Yapılandırmak İyi Bir Fikirdir.

Ardından Layer 2 Switch Management IP Kavramını Öğrendik. Layer 2 Switch Paketleri Yönlendiremez, Ancak SVI Kullanarak Layer 3 Trafiği Gönderip Alabilir. Bu da Telnet, SSH, Ping, vb. Trafiklere Yanıt Vermelerine olanak Tanır.

Ardından Cihazın CLI'sine Bağlanmanıza olanak Tanıyan Bir Protokol olan Telnet'i Tanıttım. Ancak Telnet Eskidir ve Güvenli Değildir, Bu Nedenle Günümüzde Cihazları Uzaktan Yapılandırırken Telnet Yerine Genellikle SSH, Secure Shell Kullanıyoruz.


Quizs

ssh quiz


Cevaplar (Sırası ile):

  • a, e
  • c, d
  • b
  • b, f
  • b

LAB - ANKI

LAB Çözümü sonradan bu yazıya eklenecektir.

Okuduğunuz için teşekkürler.

CCNA Network
Paylaş WhatsApp

Bu İçerikleri de Beğenebilirsiniz

Yorum Gönder

Yorum Gönder