Cisco Packet Tracer Üzerinde SSH Bağlantısı Yapılandırma

Hızlı Bakış

SSH, ağ cihazlarına güvenli uzak erişim sağlayan bir protokoldür. Bu yöntem, tüm veriyi şifreleyerek Telnet’e kıyasla çok daha güvenli bir bağlantı sunuyor. Cisco Packet Tracer üzerinde bir yönlendiriciye SSH bağlantısı kurmak için öncelikle cihazın ana bilgisayar adını ve alan adını belirlemeniz gerekiyor. Ardından RSA şifreleme anahtarlarını oluşturup SSH sürüm 2’yi etkinleştirmelisiniz. Ayrıca sanal terminal hatlarında giriş olarak yalnızca SSH’a izin vermeniz ve yerel bir kullanıcı hesabı tanımlamanız şart. Bu adımları tamamladıktan sonra bir bilgisayardan ssh -l kullanıcıadı 192.168.1.1 komutuyla yönlendiriciye bağlanabilirsiniz. Bu sayede hem cihaz yönetimini hem de veri aktarımını üst düzeyde koruma altına almış olursunuz.

Son Güncelleme:
Yazar:
Kategori:Packet Tracer Router
Okuma Süresi:12 dakika

SSH (Secure Shell – Güvenli Kabuk), ağ cihazlarının güvenli bir şekilde yönetilmesini sağlar. SSH kullanarak erişim sağladığınız bir ağ cihazına güvenli bir bağlantı kurmuş olursunuz ve ayrıca verileriniz şifreli olarak gönderilir.

Packet Tracer ile SSH Bağlantısı Yapılandırma

Packet Tracer ile Cisco Router Üzerinde SSH Etkinleştirme

SSH, Telnet protokolüne göre çok daha güvenli bir protokoldür ve varsayılan olarak TCP 22 portunu kullanır. Bağlantı noktası numarası isteğe göre değişebilir.

SSH protokolünün 2 adet sürümü vardır. Bunlar; Version 1 ve Version 2’dir.

SSH V1, birkaç patentli şifreleme algoritmasından yararlanır ve bir saldırganın iletişim akışına veri girmesine olanak tanıyan iyi bilinen bir güvenlik açığına açıktır.

SSH V2, bu sürüm aynı istismara açık olmayan gelişmiş bir anahtar değişim algoritmasına sahiptir ve daha güçlü ve kapsamlı özellikler içerir:

• 3DES ve AES gibi şifreleme.
• Bütünlük kontrolü için ses şifreleme Mesaj Doğrulama Kodu (MAC) algoritmalarının kullanılması.
• Açık anahtar sertifikaları desteği.

Ağ aygıtlarını uzaktan yönetmek için mümkün olduğunca SSH V2 sürümünü kullanmanızı öneririz.

Gerçek senaryoda SSH’ı etkinleştirmek için, Cisco IOS yazılımınızın dosya adında k9(crypto) ifadesinin yer aldığından emin olunuz.

İşin aslı şu ki Telnet hala birçok eski sistemde karşımıza çıkıyor. Simülatörde güvenlik farkını bizzat görmek isterseniz önce Telnet bağlantısını adım adım yapılandırmayı denemelisiniz.

Wireshark ile iki protokolün trafiğini kıyaslamak size net bir fikir verecektir. Aradaki farkı gözlerinizle gördükten sonra SSH’in değerini çok daha iyi kavrıyorsunuz.

1. Topolojiyi Oluşturun ve Router’a Bağlanın

Adım 1

Öncelikle Packet Tracer programını çalıştırınız ve ardından aşağıdaki görüntüdeki gibi bir ağ topolojisi oluşturunuz.

Çalışma alanına ek olarak bir adet daha Router ekleyiniz. Çünkü yapılandırma sonrasında Router’dan Router’a SSH ile bağlantı sağlayacağız.

PC1’in IP ayarlarını manuel girdikten sonra aklınıza bir soru takılabilir. Bunu otomatik yapmanın bir yolu var mı? Elbette var.

Aynı topoloji üzerinde DHCP sunucusunu devreye almayı öğrendiğinizde işiniz çok kolaylaşacaktır. Özellikle çok cihazlı senaryolarda bu yöntem size ciddi zaman kazandırır. Şahsen ben her simülasyonda ilk iş DHCP’yi ayağa kaldırırım.

Router'dan Router'a SSH

Adım 2

SYSNETTECH Router’ının üzerine tıklayarak CLI komut istemini açınız. Sonrasında ilk yapılandırmayı atlamak için No yazarak Enter’a basınız.

CLI komut istemini açmak için router üzerine tıklamak simülatörde işinizi görür. Fakat gerçek dünyada bir cihazla ilk temasınız farklıdır.

Yani, devreye konsol kablosuyla doğrudan bağlanmak girer. Sistem odasında dizüstünüzle router’ın konsol portuna takıldığınız o anı yaşamak paha biçilmez bir deneyimdir. Bu temel adımı simülatörde de olsa görmek isteyebilirsiniz.

IOS Command Line Interface

2. Cisco Router Üzerinde SSH Etkinleştirin

Router üzerinde SSH etkinleştirmek için aşağıdaki komutları sırasıyla uygulayınız.

Router>enable
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname SYSNETTECH
SYSNETTECH(config)#interface gigabitethernet 0/0
SYSNETTECH(config-if)#ip address 192.168.1.1 255.255.255.0
SYSNETTECH(config-if)#no shutdown
%LINK-5-CHANGED: Interface GigabitEthernet0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to up
SYSNETTECH(config-if)#exit
SYSNETTECH(config)#ip domain name sysnettechsolutions.com
SYSNETTECH(config)#crypto key generate rsa
The name for the keys will be: SYSNETTECH.sysnettechsolutions.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
SYSNETTECH(config)#ip ssh version 2
*Mar 1 0:6:12.698: %SSH-5-ENABLED: SSH 1.99 has been enabled
SYSNETTECH(config)#ip ssh time-out 10
SYSNETTECH(config)#ip ssh authentication-retries 3
SYSNETTECH(config)#line vty 0 4
SYSNETTECH(config-line)#login local
SYSNETTECH(config-line)#privilege level 15
SYSNETTECH(config-line)#transport input ssh
SYSNETTECH(config-line)#exit
SYSNETTECH(config)#username cisco privilege 15 password cisco123
SYSNETTECH(config)#end
SYSNETTECH#wr
Building configuration...
[OK]
SYSNETTECH#

Yönlendiricide SSH Etkinleştirme

3. PC’lere IP Adresi Atayın

Adım 1

PC1’in IP ayarlarını aşağıdaki gibi yapılandırınız.

PC1'in TCP/IP Ayarlarını Yapılandırma

Adım 2

R1’in arayüzünü hızlıca yapılandırmak için üzerine çift tıklayınız ve açılan pencerede Config sekmesine tıklayınız ve ardından GigabitEthernet0/0 arayüzünün Port Status (Port Durumu) seçeneğini On (Açık) olarak yapılandırdıktan sonra IP adresi atayınız.

Router'ın Arayüzüne IP Adresi Atama

4. Router’a SSH Bağlantısı Yapın

Adım 1

SSH’ın çalışıp çalışmadığını test etmek için PC1 komut istemini açınız ve aşağıdaki komutu uygulayarak bağlantı sağlayınız.

ssh -l cisco 192.168.1.1
-l : Login anlamına gelmektedir.
cisco : Router'a bağlantı yapmak için kullanılacak kullanıcı adı.
192.168.1.1 : Router'ın IP adresi.

ssh -l cisco 192.168.1.1

Adım 2

Oluşturduğunuz kullanıcı adını, parolayı yazınız ve Enter’a basar basmaz aşağıdaki görüntüdeki gibi bağlantı gerçekleşmiş olacaktır.

PC'den Router'a SSH ile Bağlanıldı

Adım 3

PC1 Command Prompt üzerinde show ssh komutunu uygulayınız. Ardından bağlantı yapılan SSH protokolünün sürümünü kontrol edebilirsiniz.

Router'da show ssh komutu kullanımı

5. Router’dan Router’a SSH ile Bağlanın

Adım 1

Bu adımda, yönlendiriciden yönlendiriciye SSH yapmak için aşağıdaki komutu uygulayınız.

ssh -l cisco 192.168.1.1

Router Komut Arayüzü

Adım 2

Aynı şekilde, Cisco Router üzerinde oluşturduğunuz kullanıcı hesap bilgilerini giriniz ve Enter’a basınız.

Router'da SSH Komutunu Kullanma

Adım 3

Aşağıdaki görüntüde gördüğünüz gibi başarılı bir şekilde SSH bağlantısı gerçekleştirildi.

Router'a Bağlantı Başarılı

SSH Bağlantısının Show Komutları

  • Running Config
  • SSH Connections
  • IP SSH Info

SYSNETTECH#show running-config
Building configuration...

Current configuration : 799 bytes
!
version 15.1
no service timestamps log datetime msec
no service timestamps debug datetime msec
no service password-encryption
!
hostname SYSNETTECH
!
no ip cef
no ipv6 cef
!
username cisco privilege 15 password 0 cisco123
!
license udi pid CISCO1941/K9 sn FTX152488GK
!
ip ssh version 2
ip ssh time-out 10
ip domain-name sysnettechsolutions.com
!
spanning-tree mode pvst
!
interface GigabitEthernet0/0
ip address 192.168.1.1 255.255.255.0
duplex auto
speed auto
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
shutdown
!
interface Vlan1
no ip address
shutdown
!
ip classless
!
ip flow-export version 9
!
line con 0
!
line aux 0
!
line vty 0 4
login local
transport input ssh
privilege level 15
!
end
SYSNETTECH#


SYSNETTECH#show ssh
Connection Version Mode Encryption Hmac State Username
133 1.99 IN aes128-cbc hmac-sha1 Session Started cisco
133 1.99 OUT aes128-cbc hmac-sha1 Session Started cisco
133 1.99 IN aes128-cbc hmac-sha1 Session Started cisco
133 1.99 OUT aes128-cbc hmac-sha1 Session Started cisco
%No SSHv1 server connections running.
SYSNETTECH#


SYSNETTECH#show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 10 secs; Authentication retries: 3
SYSNETTECH#

Video

Simülatör ile yönlendirici üzerinde SSH etkinleştirmek ve PC’den bağlantı sağlamak için aşağıdaki videoyu izleyebilir ve ayrıca bize destek olmak için YouTube kanalımıza abone olabilirsiniz!

Video Önizleme Görseli
YouTube'da İzle

Cisco Router’da SSH Hakkında SSS

Telnet varken neden SSH bağlantı yöntemiyle uğraşayım ki?

Telnet trafiği dümdüz metin olarak ağda dolaşır. Bir paket yakalayıcı ile kullanıcı adınızı ve şifrenizi saniyeler içinde görebilirsiniz. Bu yöntem ise veriyi karmakarışık bir bulmacaya çevirir. Araya giren biri sadece anlamsız karakterler görür.
Hele ki günümüzde sızma testleri bu kadar yaygınken bu şifreleme lüks değil zorunluluktur. Sürüm 1’in bazı zafiyetleri olsa da makalede anlatılan Sürüm 2 AES ve 3DES gibi askeri düzeyde algoritmalar kullanır.
Ayrıca veri bütünlüğünü de garanti eder. Yani gönderdiğiniz ‘router’ı kapat’ komutu yolda bir saldırgan tarafından ‘format at’ komutuna dönüştürülemez. Bu yüzden laboratuvar ortamında dahi olsa hep güvenli kabuk alışkanlığı edinmelisiniz.

Packet Tracer’da anahtar üretirken ‘crypto key generate rsa’ komutu takılıyor, neyi atlıyorum?

Bu hata benim danışanlarımın da en sık düştüğü tuzaklardan biridir. Router anahtar üretmek için bir kimliğe ihtiyaç duyar. Siz ona bir isim vermezseniz ayak direyip durur.
Komut satırına mutlaka önce ‘ip domain-name’ girerek bir alan adı tanımlamalısınız. Makaledeki ‘sysnettechsolutions.com’ gibi uydurma bir adres de işinizi görür. Gerçek ağda olmasa bile simülatör bu kurala harfiyen uyar.
Bir diğer pürüz de modül boyutudur. 512 bit günümüz için artık çok zayıf kalır. Ben size hep en az 1024 bit seçmenizi salık veririm. Biraz daha bekletir ama ileride başınızı ağrıtmaz. Anahtarı bir kere ürettiniz mi cihaz artık güvenli el sıkışmaya hazırdır.

Yönlendiriciye güvenli kabuk erişimi açtım ama PC’den bağlanamıyorum, sebebi ne olabilir?

Önce fiziksel katmanı bir yoklayalım. PC’nin IP’si ile router’ın arayüz IP’si aynı ağ bloğunda mı? Arada bir anahtar varsa portlar ‘up’ durumda mı? Bunlar tamamsa işin püf noktası ‘line vty’ ayarlarına bakmaktır.
‘Transport input ssh’ komutunu girmeyi unutan çok kişi gördüm. Bu komut olmazsa sanal terminal hatları hala sadece Telnet’i dinler. Ayrıca ‘login local’ diyerek yerel kullanıcı veritabanını işaret etmeniz şarttır.
Son bir not olarak, simülatörde ‘ip ssh version 2’ komutundan sonra servislerin yerine oturması için birkaç saniye beklemek gerekebilir. Bağlantı hatası alırsanız ‘show ip ssh’ komutuyla servisin çalışır durumda olduğundan emin olun.

Yetki seviyesini 15 yapmazsam ne olur? Acemiler için bu numara gerekli mi?

Privilege level 15 olmazsa bağlantı kurduktan sonra ‘enable’ yazıp bir de özel parola girmeniz gerekir. Bu da caba ve zaman kaybıdır. Eğitim simülasyonlarında işleri hızlandırmak için kullanıcıyı doğrudan yetkili kipine atarız.
Fakat şirket ağı kuruyor olsaydık size asla böyle bir şey tavsiye etmezdim. Gerçek senaryoda yetki seviyelerini katmanlara ayırmak kritik önemdedir. Stajyere 15 verirseniz bir anda tüm yapılandırmayı silebilir.
Bütün mesele ‘kullanıcı adı ve şifreyi bilen kişi direkt olarak yönetici olsun’ mantığına dayanır. Laboratuvar ortamında pratik yaparken bu ayar konfor sağlar. Zaten ‘conf t’ yazdığınızda hazırsınız demektir.

SSH V1 ve V2 arasında pratikte ne fark eder? Packet Tracer’da V1 kullanmak sorun yaratır mı?

Packet Tracer simülasyonu hata kabul etmez ama V1 kullanırsanız yine de bağlanırsınız. Ne var ki bu sizi yanıltmasın. Version 1’in anahtar değişim mekanizması delik deşiktir. Ortadaki adam saldırılarına karşı neredeyse savunmasızdır.
Halbuki V2’de Diffie-Hellman anahtar değişimi çok daha sağlamdır. Üstelik MAC adresi doğrulaması sayesinde paketin yolda bozulup bozulmadığını anlarsınız. Simülatörde ‘ip ssh version 2’ yazdığınız an cihaz loglarına dikkat edin.
Orada ‘SSH 1.99 has been enabled’ yazısını göreceksiniz. Bu telaşlanacak bir şey değildir. 1.99 demek cihazın her iki sürümü de dinlediği ama V2’yi tercih ettiği anlamına gelir. Gözünüz arkada kalmasın diye söylüyorum, V2 desteği tamdır.

Router’dan router’a bu şifreli atlamayı yaparken neden kendime tekrar bağlanıyormuşum gibi hissettim?

Gözünüz yanıltmamış, aynen öyle oluyor. Makaledeki topolojide ikinci bir router yoksa komut satırından yine kendi IP’nize istek atarsınız. Bu durum sistemin kendine dönüp ‘Merhaba ben geldim’ demesi gibidir. Aslında protokolün çalıştığını test etmenin en pratik yoludur.
Şöyle düşünün, bu komutla TCP 22 portu üzerinden bir oturum açıyorsunuz. Aynı cihaz üzerinde yeni bir sanal terminal hattı meşgul edersiniz. ‘Show ssh’ çıktısında hem gelen hem giden bağlantıyı ayrı ayrı görmeniz de bu yüzdendir.
Böylece harici bir cihaz aramadan konfigürasyonun başarısını onaylamış olursunuz. Buna halk arasında ‘loopback’ üzerinden güvenli kabuk testi denir. Gerçek bir uzak cihaza gitmeden önce bu testi yapmak akıllıca bir harekettir.

Sonuç

Bu yazımızda, SSH nasıl etkinleştirilir ve nasıl bağlantı yapılır inceledikten sonra, bağlantıyı doğrulamak için PC’den Router’a ve Router’dan Router’a SSH nasıl yapılır adım adım inceledik.

Gerçek senaryoda Router’lar üzerinde SSH yapılandırmak için IOS yazımının k9(crypto) özelliğinin olduğundan emin olunuz.

Ek olarak, topolojiyi sıfırdan kurmak bazen zorlayıcı olabilir. Özellikle programın arayüzüne yeni alışıyorsanız. Açıkçası, ilk başladığımda ben de birkaç kez yanlış kablo seçmiştim.

Size öncelikle Packet Tracer ile temel bir ağ topolojisi oluşturmayı adım adım gösteren rehberimize bakmanızı öneririm. Cihaz ekleme ve kablolama püf noktalarıyla işler çok daha hızlı yürüyor.

Bu Rehberi Keşfettikleri İçin Sana Teşekkür Edecekler!

Sadece bir tıkla sevdiklerine dev bir iyilik yapmaya hazır mısın? Bilgi paylaştıkça devleşir.

Tolga Bagci

PRO

Bilgisayar Uzmanı Sistem Sanallaştırma

Merhaba, ben Tolga, 20 yıllık tecrübeye sahip bilgisayar uzmanıyım. Donanım, sistemler, ağlar, sanallaştırma, sunucular ve işletim sistemleri gibi bilgisayar sorunlarının giderilmesine yardımcı oluyorum. Yararlı bilgiler için web siteme göz atın ve bana herhangi bir şey sormaya çekinmeyin. En yeni teknolojilerden haberdar olun!

1240 Makale

14 Kişi Deneyimini Paylaştı

  1. Teşekkürler

    1. Rica ederim, yorumunuz için teşekkürler.

Görüşünü Paylaş