Network altyapısındaki switch’lerin uzaktan yönetimi sırasında güvenlik en üst düzeyde olmalıdır. Telnet protokolü, verileri (kullanıcı adı ve şifre dahil) şifrelemeden açık metin (clear-text) olarak taşıdığı için büyük bir güvenlik riski oluşturur. Bu nedenle yönetim bağlantılarında şifrelenmiş tünel kullanan SSH (Secure Shell) protokolü tercih edilmelidir.

Bu yazımızda Huawei switch’ler üzerinde SSHv2 (Stelnet) servisini aktif etmeyi, AAA üzerinden lokal kullanıcı oluşturmayı ve Telnet’i tamamen kapatmayı adım adım gerçekleştireceğiz.

1. SSH Yapılandırma Adımları

Huawei switch’lerde SSH bağlantısını aktif hale getirmek için sırasıyla RSA anahtarlarının üretilmesi, SSH sunucu servisinin açılması, lokal kullanıcı tanımlanması ve sanal terminal hatlarının (VTY) yetkilendirilmesi gereklidir.

Adım 1: RSA Anahtar Çifti Üretme

SSH şifreleme mekanizmasında kullanılacak olan RSA şifreleme anahtarlarını oluşturuyoruz. Anahtar uzunluğu olarak 2048 bit seçilmesi önerilir:

<Huawei> system-view
[Huawei] dsa local-key-pair create
! Alternatif olarak RSA:
[Huawei] rsa local-key-pair create
The key name will be: Huawei_Host
The size of the public key ranges from 2048 to 2048.
Input the bits in the parameter: 2048
Generating keys...
..................+++
..................................+++

Adım 2: SSH (Stelnet) Sunucusunu Etkinleştirme

Switch üzerinde SSHv2 sunucu servisini aktif hale getiriyoruz:

[Huawei] stelnet server enable
[Huawei] ssh server compatible-ssh1x disable  ! Sadece SSHv2'ye izin verir, güvenliği artırır

Adım 3: AAA ile Kullanıcı Oluşturma ve Yetkilendirme

Kullanıcı adı admin_cem ve şifresi SecurePass123! olan, en üst yetki seviyesine (seviye 15) sahip bir kullanıcı oluşturalım:

[Huawei] aaa
[Huawei-aaa] local-user admin_cem password irreversible-cipher SecurePass123!
[Huawei-aaa] local-user admin_cem privilege level 15
[Huawei-aaa] local-user admin_cem service-type ssh
[Huawei-aaa] quit

Adım 4: SSH Kullanıcı Servis Tipini Tanımlama

Oluşturduğumuz kullanıcının SSH servisini kullanabilmesi için switch genelinde de bu kullanıcıya SSH yetkisi verilmesi gerekir:

[Huawei] ssh user admin_cem authentication-type password
[Huawei] ssh user admin_cem service-type stelnet

Adım 5: VTY Hatlarını Sadece SSH’a İzin Verecek Şekilde Ayarlama

Switch’in uzaktan yönetim arayüzlerini (Virtual Type Terminal - VTY) yapılandırarak sadece SSH protokolünü kabul edecek şekilde kısıtlıyoruz. Bu adım Telnet’i tamamen devre dışı bırakır:

[Huawei] user-interface vty 0 4
[Huawei-ui-vty0-4] authentication-mode aaa
[Huawei-ui-vty0-4] protocol inbound ssh
[Huawei-ui-vty0-4] quit

2. Sorun Giderme ve Doğrulama Komutları

SSH sunucusunun durumunu ve bağlı kullanıcıları kontrol etmek için aşağıdaki komutları kullanabilirsiniz:

! SSH sunucusunun aktif durumunu ve versiyonunu görme
[Huawei] display ssh server status

! Sistemdeki lokal kullanıcıları ve yetki seviyelerini listeleme
[Huawei] display local-user

! Switch'e SSH ile bağlı olan aktif kullanıcı oturumlarını görme
[Huawei] display users

SSH Bağlantı Testi (CLI Üzerinden)

Switch’in kendisinden başka bir cihaza SSH ile bağlanmak veya yapılandırmayı doğrulamak için:

<Huawei> ssh client first-time enable
<Huawei> stelnet 192.168.10.1

Bu adımlarla birlikte switch’inizi Telnet gibi güvensiz protokollerin oluşturduğu risklerden korumuş ve AAA tabanlı SSHv2 erişim altyapısını kurmuş oldunuz.