본문으로 바로가기

Cisco ROUTER & SWITCH - telnet, SSH

category 네트워크/Cisco 2018. 10. 20. 20:54
반응형

TEST Network[각주:1]


기본 설정, 및 IP 설정은 생략.


Telnet

원격으로 장비에 접속하기 위한 프로토콜이다. 많이 사용하는 프로토콜이지만 송수신되는 내용이 '평문'이므로 공격자가 내용을 모두 확인할 수 있는, '보안성'이 없는 프로토콜이다.


1. 텔넷(telnet) 접속 방법 : telnet + 목적지 주소

R1#telnet 1.1.23.3
Trying 1.1.23.3 ... Open


User Access Verification

Password:
R3#

2. 텔넷(telnet) 접속 끝내기 : exit

R1#telnet 1.1.23.3
Trying 1.1.23.3 ... Open


User Access Verification

Password:
R3>
R3>exit

[Connection to 1.1.23.3 closed by foreign host]
R1#

3. 원격지 텔넷(telnet) 암호를 제거한 후에 텔넷(telnet) 접속을 시도하면 'Password Required, but none set'이 나오면서 접속할 수 없다.

R3(config)#line vty 0 4
R3(config-line)#no password
R3(config-line)#exit

R1#telnet 1.1.23.3
Trying 1.1.23.3 ... Open

Password required, but none set

[Connection to 1.1.23.3 closed by foreign host]

4. 원격지 텔넷(telnet)의 관리자 암호가 없으면 관리자 모드로 들어갈 수 없다.

R3(config)#no enable secret
R3(config)#exit

R1#telnet 1.1.23.3
Trying 1.1.23.3 ... Open


User Access Verification

Password: 
R3>en
% No password set

5. 원격지 텔넷(telnet)에 no login 명령어를 사용 시 암호룰 묻지 않는다.

절대 실무에서는 사용하지 않는다.
R3(config)#line vty 0 4
R3(config-line)#no login
R3(config-line)#
R3(config-line)#exit

R1#telnet 1.1.23.3
Trying 1.1.23.3 ... Open
R3>  

6. 원격지 텔넷(telnet)에 privilege level 15 명령어를 사용 시 로그인 없이(암호를 묻지 않고) 바로 관리자모드로 로그인 된다.

절대 실무에서는 사용하지 않는다.
R3(config)#line vty 0 4
R3(config-line)#privilege level 15
R3(config-line)#exit

R1#telnet 1.1.23.3
Trying 1.1.23.3 ... Open
R3#

7. 원격지 장비에서 show users 명령어를 사용하면 현재 텔넷에 접속해있는 접속자를 확인할 수 있으며, clear line [Line] 명령어를 사용하여 접속을 끊을 수 있다.

R3#show users
    Line       User       Host(s)              Idle       Location
*  0 con 0                idle                 00:00:00   
   2 vty 0                idle                 00:03:47   1.1.12.1

R3#clear line 2
[confirm]
 [OK]
R3#

R3#
[Connection to 1.1.23.3 closed by foreign host]
R1#


SSH (Secure SHell)

텔넷(telnet)과 같이 원격으로 장비에 접속하기 위한 프로토콜이며 원격 접속시 필요한 '인증(Authentication)', '패킷 암호화(Encryption)', '무결성(Integrity)' 기능을 제공하여, 보안성이 뛰어난 접속 방법이다. 버전 1과 2가 있으며, 1의 취약점을 보안한 2를 사용하는 것이 좋다.


1. SSH에서 사용하기 위해서는 사용할 장비의 원격지에 암호키와 Local DB를 만들어야한다. ip domain-name [domain]crypto key generate rsa modules 768~ 의 명령어를 통해서 암호키를 만들어준다. username [name] password [pw]를 사용하여 원격지에서 로그인에 필요한 Local DB를 만들어준다.

암호키와 Local DB가 만들어지면 %SSH-5-ENABLED: SSH 1.99 has been enabled 로그와 함께 SSH가 활성화 되는 것을 확인할 수 있다.

R3(config)#ip domain-name net-study.club 
R3(config)#crypto key generate rsa modulus 1024
The name for the keys will be: R3.net-study.club

% The key modulus size is 1024 bits
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 1 seconds)

R3(config)#
*Oct 21 15:08:55.063: %SSH-5-ENABLED: SSH 1.99 has been enabled

R3(config)#username netstudy password cisco
R3(config)#line vty 0 4
R3(config-line)#login local
R3(config-line)#exit
R3(config)#
                                      // 아래부터는 SSH 버전 2만 접속할 수 있도록, telnet 접속은 차단하는 명령어이다.
R3(config)#ip ssh version 2
R3(config)#line vty 0 4
R3(config-line)#transport input ssh
R3(config-line)

2. 접속할 장비에서 ssh -v [Version] -l [ID] [Host]를 명령어를 이용하여 비밀번호를 입력 후 원격지에 접속할 수 있다.

R1#ssh -v 2 -l netstudy 1.1.23.3  
Password: 

R3>

3. 원격지의 장비에서 show ssh 명령어를 통하여 현재 접속된 SSH 버전, 암호화 방식, 무결성 확인 방식, 이용자명을 확인할 수 있다.

R3#show ssh
Connection Version Mode Encryption  Hmac         State                 Username
0          2.0     IN   aes128-cbc  hmac-sha1    Session started       netstudy
0          2.0     OUT  aes128-cbc  hmac-sha1    Session started       netstudy
%No SSHv1 server connections running.
R3#


  1. 맨 끝의 1.1.10.1/24와 1.1.30.3/24는 ethernet 또는 fastethernet으로 Switch를 연결하여 설정을 진행하면 된다. [본문으로]
반응형