演示：配置安全的shell屬性

演示目標：

n配置思科IPS系統上的Certificates選項

n配置思科IPS系統上的SSH選項

演示環境：仍然使用如圖4.24所示的網路環境。

演示工具：思科的IPS系統。

演示步驟：

第一步：首先來理解思科IPS上的Certificates（證書）選項，該選項下有兩個子專案，分別是Trusted Hosts（信任主機）和Server Certificate（伺服器證書）。下面是理解和配置這兩個子專案的詳細描述：

Trusted Hosts：

　　如下圖4.29為信任主機配置對話方塊，它的應用意義產生在很多IPS裝置與其它裝置比如路由器、交換機、防火牆聯動防禦時，通過一個非常典型的環境來說明這個問題，如下圖4.30所示，在這個環境中，入侵防禦系統IPS1和IPS2都發生的安全違規事件，此時它們都認為需要聯動防火牆上去做安全配置，比如寫ACL或者做其它的安全加固，但是，如果IPS1和IPS2同時向防火牆寫入安全配置，這是一件不科學的事情，因為同時操作，可能會有衝突或者將後一步的配置將原有的配置覆蓋，思科的解決方案是，此時在這個種環境中選出一臺IPS作為主控（master）IPS，配置只能讓主控IPS寫入，比如將IPS1作為主控IPS，如果IPS2也需要向防火牆作配置，那麼IPS2將配置申請交給IPS1，由IPS1負責將其配置完成，但是主控IPS1並不是任何的申請都可以接受，它只接受它信任的主機，那麼誰是主控IPS信任的主機，這將由圖4.29的配置所決定。在這個配置中將會把信任主機的IP地址和它的證書相關聯，IP外填寫信任主機的IP地址，在Port處填寫443，該IPS會自動獲取信任主機的證書（事實上就是信任主機的公鑰）。

Server Certificate：

　　所謂的Server Certificate就是IPS系統當前自簽名的證書，如下圖4.31所示，它用來向IPS管控臺（通常是使用IDM配置裝置的管理主機）證明自己的身份，一般將其保持預設不變，但是如果你改變了時間，建議您通過點選如下圖4.31所示的Generatecertificate來重新產生一張自簽名的證書，因為時間和證書的有效性有相當重要的關聯，否則當連線IPS時可能提示證書有效期已過，證書失效等。

第二步：如果使用IDM配置裝置，思科IPS預設就是使用的SSH，在SSH選項下面有三個子專案，Authorized key(授權的key)、Known Host key（已知主機的Key）、Sensor key（感測器的Key），它下具體的意義與配置如下所述：

Authorized key(授權的key)：

它指示管理主機可以使用公鑰來SSH安全連線到IPS上，此時的IPS將作為SSH的服務端，實際做法是：主機在本地使用公私鑰產生工具產生一個公私鑰對，然後將公鑰通過某種方式複製給IPS,也就複製到下圖4.32中的public Modulus裡面，私鑰由客戶主機自己儲存，那麼此時的IPS就具備了客戶端的公鑰，當客戶端SSH時就可以將它的公鑰提交給IPS，IPS會將客戶端提交的公鑰與public Modulus裡面的公鑰作對比，完成對客戶端的驗證。ID指示公鑰的ID，它的取值範圍是1-256字串；modulusLength指示公鑰的長度，它的取值是512-2048；PublicExponent指示公鑰的指數，事實上它是一個整數，有效的取值範圍是3到2147483647，使用RSA標準來加密資料；public Modulus指示存放著客戶端的公鑰內容。

Known Host key（已知主機的Key）：

　　該金鑰一般在IPS裝置與其它網路裝置聯動時，完成Blocking會使用到，比如IPS可能需要登陸到路由器、防火牆上寫安全策略，而且IPS選擇了SSH安全連線，此時的IPS將是SSH的客戶端，它（IPS）必須獲得那些Blocking devices（比如：路由器、防火牆）的公鑰，那麼這些公鑰就是所謂Known Host key（已知主機的Key）。可以通過在如圖4.33的對話方塊中，配置了Blockingdevices的IP後，點選Retrieve Host Key自動向相關裝置進行檢索獲得。

Sensor key(感測器的Key)：

由思科感測器自己所產生的公私鑰對，如果您不想使用現在的公私鑰對，你可以通過點選Generate Key重新來產生公私鑰對，如下圖4.34所示。

本文轉自 kingsir827 51CTO部落格，原文連結：http://blog.51cto.com/7658423/1285414，如需轉載請自行聯絡原作者