溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

演示:配置安全的shell屬性

發(fā)布時間:2020-04-11 13:15:03 來源:網(wǎng)絡 閱讀:814 作者:kingsir827 欄目:安全技術

注意:整個實驗可以使用GNS3+虛擬機完成!


演示目標:

n配置思科IPS系統(tǒng)上的Certificates選項

n配置思科IPS系統(tǒng)上的SSH選項

演示環(huán)境:仍然使用如圖4.24所示的網(wǎng)絡環(huán)境。

演示:配置安全的shell屬性

演示工具:思科的IPS系統(tǒng)。

演示步驟:


第一步:首先來理解思科IPS上的Certificates(證書)選項,該選項下有兩個子項目,分別是Trusted Hosts(信任主機)和Server Certificate(服務器證書)。下面是理解和配置這兩個子項目的詳細描述:



Trusted Hosts

  如下圖4.29為信任主機配置對話框,它的應用意義產(chǎn)生在很多IPS設備與其它設備比如路由器、交換機、防火墻聯(lián)動防御時,通過一個非常典型的環(huán)境來說明這個問題,如下圖4.30所示,在這個環(huán)境中,***防御系統(tǒng)IPS1和IPS2都發(fā)生的安全違規(guī)事件,此時它們都認為需要聯(lián)動防火墻上去做安全配置,比如寫ACL或者做其它的安全加固,但是,如果IPS1和IPS2同時向防火墻寫入安全配置,這是一件不科學的事情,因為同時操作,可能會有沖突或者將后一步的配置將原有的配置覆蓋,思科的解決方案是,此時在這個種環(huán)境中選出一臺IPS作為主控(master)IPS,配置只能讓主控IPS寫入,比如將IPS1作為主控IPS,如果IPS2也需要向防火墻作配置,那么IPS2將配置申請交給IPS1,由IPS1負責將其配置完成,但是主控IPS1并不是任何的申請都可以接受,它只接受它信任的主機,那么誰是主控IPS信任的主機,這將由圖4.29的配置所決定。在這個配置中將會把信任主機的IP地址和它的證書相關聯(lián),IP外填寫信任主機的IP地址,在Port處填寫443,該IPS會自動獲取信任主機的證書(事實上就是信任主機的公鑰)。

演示:配置安全的shell屬性

Server Certificate

  所謂的Server Certificate就是IPS系統(tǒng)當前自簽名的證書,如下圖4.31所示,它用來向IPS管控臺(通常是使用IDM配置設備的管理主機)證明自己的身份,一般將其保持默認不變,但是如果你改變了時間,建議您通過點擊如下圖4.31所示的Generatecertificate來重新產(chǎn)生一張自簽名的證書,因為時間和證書的有效性有相當重要的關聯(lián),否則當連接IPS時可能提示證書有效期已過,證書失效等。

演示:配置安全的shell屬性

第二步:如果使用IDM配置設備,思科IPS默認就是使用的SSH,在SSH選項下面有三個子項目,Authorized key(授權的key)、Known Host key(已知主機的Key)、Sensor key(傳感器的Key),它下具體的意義與配置如下所述:


Authorized key(授權的key):

它指示管理主機可以使用公鑰來SSH安全連接到IPS上,此時的IPS將作為SSH的服務端,實際做法是:主機在本地使用公私鑰產(chǎn)生工具產(chǎn)生一個公私鑰對,然后將公鑰通過某種方式復制給IPS,也就復制到下圖4.32的public Modulus里面,私鑰由客戶主機自己保存,那么此時的IPS就具備了客戶端的公鑰,當客戶端SSH時就可以將它的公鑰提交給IPS,IPS會將客戶端提交的公鑰與public Modulus里面的公鑰作對比,完成對客戶端的驗證。ID指示公鑰的ID,它的取值范圍是1-256字符串;modulusLength指示公鑰的長度,它的取值是512-2048;PublicExponent指示公鑰的指數(shù),事實上它是一個整數(shù),有效的取值范圍是3到2147483647,使用RSA標準來加密數(shù)據(jù);public Modulus指示存放著客戶端的公鑰內(nèi)容。

演示:配置安全的shell屬性


Known Host key(已知主機的Key):

  該密鑰一般在IPS設備與其它網(wǎng)絡設備聯(lián)動時,完成Blocking會使用到,比如IPS可能需要登陸到路由器、防火墻上寫安全策略,而且IPS選擇了SSH安全連接,此時的IPS將是SSH的客戶端,它(IPS)必須獲得那些Blocking devices(比如:路由器、防火墻)的公鑰,那么這些公鑰就是所謂Known Host key(已知主機的Key)??梢酝ㄟ^在如圖4.33的對話框中,配置了Blockingdevices的IP后,點擊Retrieve Host Key自動向相關設備進行檢索獲得。


演示:配置安全的shell屬性

Sensor key(傳感器的Key):

由思科傳感器自己所產(chǎn)生的公私鑰對,如果您不想使用現(xiàn)在的公私鑰對,你可以通過點擊Generate Key重新來產(chǎn)生公私鑰對,如下圖4.34所示

演示:配置安全的shell屬性


向AI問一下細節(jié)

免責聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權內(nèi)容。

AI