演示：配置安全的shell屬性

注意：整個實驗可以使用GNS3+虛擬機完成！

演示目標：

n配置思科IPS系統上的Certificates選項

n配置思科IPS系統上的SSH選項

演示環境：仍然使用如圖4.24所示的網絡環境。

演示工具：思科的IPS系統。

演示步驟：

第一步：首先來理解思科IPS上的Certificates（證書）選項，該選項下有兩個子項目，分別是Trusted Hosts（信任主機）和Server Certificate（服務器證書）。下面是理解和配置這兩個子項目的詳細描述：

Trusted Hosts：

　　如下圖4.29為信任主機配置對話框，它的應用意義產生在很多IPS設備與其它設備比如路由器、交換機、防火墻聯動防御時，通過一個非常典型的環境來說明這個問題，如下圖4.30所示，在這個環境中，***防御系統IPS1和IPS2都發生的安全違規事件，此時它們都認為需要聯動防火墻上去做安全配置，比如寫ACL或者做其它的安全加固，但是，如果IPS1和IPS2同時向防火墻寫入安全配置，這是一件不科學的事情，因為同時操作，可能會有沖突或者將后一步的配置將原有的配置覆蓋，思科的解決方案是，此時在這個種環境中選出一臺IPS作為主控（master）IPS，配置只能讓主控IPS寫入，比如將IPS1作為主控IPS，如果IPS2也需要向防火墻作配置，那么IPS2將配置申請交給IPS1，由IPS1負責將其配置完成，但是主控IPS1并不是任何的申請都可以接受，它只接受它信任的主機，那么誰是主控IPS信任的主機，這將由圖4.29的配置所決定。在這個配置中將會把信任主機的IP地址和它的證書相關聯，IP外填寫信任主機的IP地址，在Port處填寫443，該IPS會自動獲取信任主機的證書（事實上就是信任主機的公鑰）。

Server Certificate：

　　所謂的Server Certificate就是IPS系統當前自簽名的證書，如下圖4.31所示，它用來向IPS管控臺（通常是使用IDM配置設備的管理主機）證明自己的身份，一般將其保持默認不變，但是如果你改變了時間，建議您通過點擊如下圖4.31所示的Generatecertificate來重新產生一張自簽名的證書，因為時間和證書的有效性有相當重要的關聯，否則當連接IPS時可能提示證書有效期已過，證書失效等。

第二步：如果使用IDM配置設備，思科IPS默認就是使用的SSH，在SSH選項下面有三個子項目，Authorized key(授權的key)、Known Host key（已知主機的Key）、Sensor key（傳感器的Key），它下具體的意義與配置如下所述：

Authorized key(授權的key)：

它指示管理主機可以使用公鑰來SSH安全連接到IPS上，此時的IPS將作為SSH的服務端，實際做法是：主機在本地使用公私鑰產生工具產生一個公私鑰對，然后將公鑰通過某種方式復制給IPS,也就復制到下圖4.32中的public Modulus里面，私鑰由客戶主機自己保存，那么此時的IPS就具備了客戶端的公鑰，當客戶端SSH時就可以將它的公鑰提交給IPS，IPS會將客戶端提交的公鑰與public Modulus里面的公鑰作對比，完成對客戶端的驗證。ID指示公鑰的ID，它的取值范圍是1-256字符串；modulusLength指示公鑰的長度，它的取值是512-2048；PublicExponent指示公鑰的指數，事實上它是一個整數，有效的取值范圍是3到2147483647，使用RSA標準來加密數據；public Modulus指示存放著客戶端的公鑰內容。

Known Host key（已知主機的Key）：

　　該密鑰一般在IPS設備與其它網絡設備聯動時，完成Blocking會使用到，比如IPS可能需要登陸到路由器、防火墻上寫安全策略，而且IPS選擇了SSH安全連接，此時的IPS將是SSH的客戶端，它（IPS）必須獲得那些Blocking devices（比如：路由器、防火墻）的公鑰，那么這些公鑰就是所謂Known Host key（已知主機的Key）。可以通過在如圖4.33的對話框中，配置了Blockingdevices的IP后，點擊Retrieve Host Key自動向相關設備進行檢索獲得。

Sensor key(傳感器的Key)：

由思科傳感器自己所產生的公私鑰對，如果您不想使用現在的公私鑰對，你可以通過點擊Generate Key重新來產生公私鑰對，如下圖4.34所示。