پروتکل های FTP و TFTP و قابلیت های آنها برای افرادی که در حرفه networking فعالیت دارند ، کاملا آشکار است. Cisco IOS نیز مانند سایر OS ها از این پشتیبانی دو کرده و برخی امور Management در IOS بر پایه این دو بنا پروتکل شده است. اما متاسفانه ، هر دو پروتکل دارای ضعف امنیتی می باشند و در محیط هایی که امنیت یک عنصر قابل توجه محسوب می شود جایگاه مناسبی ندارند. پروتکل TFTP از هیچ گونه مکانیزم Authentication و Authorization پشتیبانی نمی کند. از آن سو ، پروتکل FTP دارای یک مزیت امنیتی است و آنهم اینکه از مکانیزم های Authentication و Password Protection استفاده می کند ، اما ضعف بزرگ آن در ارسال username ، Password و دیتا به صورت Clear Text می باشد. بنا به آنچه گفته شد ، سیسکو از IOS نسخه 12.2 پشتیبانی از پروتکل SCP (Secure Copy Protocol)  در IOS قرار داده شده است.  پروتکل SCP همانند FTP از مکانیزم های Authentication و Password Protection بهره می برد. اما تفاوت این دو در encrypt شدن Username ، password و دیتا در هنگام انتقال است. این امر اطلاعات را کاملا محرمانه نگاه داشته و از sniff شدن packet های ارسالی و استخراج (extraction) اطلاعات قابل استفاده جلوگیری می کند. نکته مهم در آن است که SCP تنها File Transfer را انجام می دهد و به تنهایی هیچ گونه قابلیت امنیتی و یا authentication نمی باشد. تمامی feature های امنیتی این پروتکل بر پایه استفاده از پروتکل ssh بنا شده است. تا حتی SCP همانند ssh از پورت 22 استفاده می کند. برای upload کردن در SCP ، علاوه بر ارسال فایل ، permission  و time-stamp نیز ارسال می شود. این امر یکی دیگر از مزیت های SCP در مقایسه با FTP محسوب می شود. البته لازم به تذکر است ، هم اکنون این پروتکل به SFTP(secure FTP) جایگزین شده است اما متاسفانه هنوز IOS از آن پشتیبانی نمی کند. استفاده از این پروتکل به شکل server-based بر پایه OpenSSH بنا شده است که در ویندوز و لینوکس قابل راه اندازی می باشد. معروف ترین OpenSSH Client در ویندوز برای نرم افزار WinSCP و در لینوکس OpenSSH می باشد. یک نکته مهم که باید به آن توجه کرد ، SCP در برخی نسحه های IOS 12.2  دارای یک ضعف امنیتی است که امکان Bypass شدن Authorization را داراست. این مشکل در IOS نسخه های 12.3 و 12.4 برطرف شده است. برای استفاده از SCP در IOS می بایست که  SSH ، Authentication و Authorization انجام شده و  RSA Key تعریف شده باشد. مراحل configuration جهت استفاده از SCP در زیر قرار داده شده است:

Router(config)#aaa new-model

Router(config)#aaa authentication [default | WORD] login default  [local | group tacacs+]

Router(config)#aaa authorization [default | WORD] exec [default | WORD] [none | if-authenticated | local | group tacacs+]

Router(config)#username username password password privilege 15

Router(config)#ip host-name My-router

My-router(config)#ip domain-name cisco-net.com

My-router(config)#crypto key generate rsa module 1024

The name for the keys will be: My-router.cisco-net.com

    Choose the size of the key modulus in the range of 360 to 2048 for your

      General Purpose Keys. Choosing a key modulus greater than 512 may take

      a few minutes.

    How many bits in the modulus [1024]:

    Generating RSA keys ...

    [OK]

My-router(config)#ip ssh version [1 | 2 (preferd)]

My-router(config)#ip ssh authentication-retries 2

My-router(config)#ip ssh logging event

My-router(config)#ip scp enable server

گام بعدی استفاده از SCP جهت copy کردن به / از IOS و یا configuration file به SCP Server می باشد. اولین فرمان در آغاز شروع کردن کپی ، فرمان copy می باشد. به طور مثال ، در صورت upload کردن running-config به سرور از فرمان copy run scp استفاده می کنیم. آنچه برای تکمیل فرمان SCP مورد نیاز است، آدرس IP مربوط به OpenSSH Server ، username ، password و آدرس مسیر مورد نظر جهت کپی بر روی سرور می باشد. در صورت عدم مشخص کردن فولدر خاصی بر روی سرور ، فایل در مکان پیش فرض و تعریف شده کپی می شود. اما پروتکل SCP امکان مشخص کردن مسیر مورد دلخواه را بر روی سرور به کاربر می دهد. بر روی سرور linux این مسیر همان مسیر shell است. در ویندوز ، در صورت استفاده ازOpenSSH Server ، این آدرس برابر /cygdrive/drive-letter/folder-path می باشد. نکته مهم دیگر نحوه  تعریف کردن پارامتر ها می باشد. روش اول  وارد کردن دستور copy run scp به تنهایی و دادن سایر پارامتر ها را بر اساس prompt می باشد.

My-router#copy run scp

Address or name of remote host []?192.168.1.2

Destination username []? iman

Destination filename [router-config]?

Writing router-config

Password

!sink

4256 bytes copied in 85.12 secs (50 bytes/sec)

My-router#

 راهکار دوم تعریف تمامی پارامتر ها در یک خط است.

Copy run scp://username:password@hostname//path-folder-or-file-name

در IOS ، بدلیل اینکه SCP بر پایه SSH بنا شده و SSH نیز خود در زیر مجموعه VTY Line ها قرار دارد ، لذا برای مشاهده session های SCP می بایست از دستور show line استفاده کرد.  جهت debug کردن پروسه scp نیز دستور debug ip scp استفاده می شود. 

نظرات (1)

نوشتن نظر
نام:
ايميل:
صفحه اصلي:
عنوان:
BBCode:
نظر:
كد:*
	من اين نظر را دوستانه جهت تماس ارسال ميكنم