воскресенье, 22 марта 2015 г.

Cisco: SSH public key auth

Я все же повторю для лучшего закрепления. :)

Есть пара ключевых пунктов.

Пункт 1. Публичный ключ должен быть в формате IETF SECSH.
Пункт 2. Выполнять надо правильную команду:

# Config
ip ssh pubkey-chain
username admin
key-string
(публичный ключ в формате IETF, не забыли?)


И вот что. Не стоит забывать про параметр ip ssh dh. Он определяет группу DH.

Его значения соответствую следующим группам:

ip ssh dh min size 2048


1024 - группа DH номер 1. Самая слабая защита.
2048 - группа DH номер 14. Приемлемая защита, но не самая крутая на данный момент.
4096 - группа DH номер 16. Все круто, но не поддерживается почти ни одним клиентом (на 03.2015).

В финале фрагмент конфигурации Cisco iOS SSH выглядит примерно так:

ip ssh maxstartups 5
ip ssh port 9922 rotary 1
ip ssh rsa keypair-name SSH-KEY
ip ssh version 2
ip ssh dh min size 2048
ip ssh pubkey-chain
username admin
key-hash ssh-rsa 82630CD14416D98B4D8B60DCE0E3053F
no ip ssh server authenticate user keyboard
no ip ssh server authenticate user password


Да, мы обосрались после откровений Эдварда. :) Поэтому хостовый ключ на цисках перегенерировали на 4096 бит:

crypto key generate rsa modulus 4096

Теперь можно включить на наши устройства максимальную security: