segunda-feira, 12 de novembro de 2012

Acesso Seguro ao Roteador via SSHv2

Olá Pessoal.

A maioria de vocês deve saber que os acessos remotos aos dispositivos da Cisco (roteadores e switches) acontecem, por padrão, através do telnet. Acontece que no telnet o dados trafegam "em claro", o que quer dizer que alguém executando algum software para sniffar a rede (a exemplo do Wireshark) pode facilmente interceptar toda a informação que trafega entre o computador que iniciou a sessão remota e o roteador, inclusive as senhas... Aí é que está o problema!!!

Por causa disso as empresas sempre habilitam o SSH para esse fim, já que esse protocolo implementa a criptografia dos dados, ou seja, ele cifra (codifica) todo o conteúdo digitado no computador que iniciou a sessão remota e o roteador decifra esse conteúdo antes de interpretá-lo. Dessa forma, caso alguém venha a interceptar a sessão remota, tudo que poderá ser visualizado será uma sequência de caracteres codificados que não fazem nenhum sentido para quem não conhece a chave, conforme é ilustrado abaixo.




Uma pergunta frequente que meus alunos fazem é exatamente como proceder para habilitar o SSH no acesso remoto ao roteador, ao invés do telnet. Registrarei essa resposta para futuras dúvidas recorrentes, mostrando adiante como habilitar o SSHv2, ainda mais seguro do que o SSHv1. Para habilitar o SSHv2 no roteador ou em switches, basta executar as seguintes linhas de comando que explicarei adiante:

01. Router(config)# username admin privilege 15 secret SENHA
02. Router(config)# ip domain-name nome.com.br
03. Router(config)# aaa new model
04. Router(config)# crypto key generate rsa
05. Router(config)# ip ssh version 2
06. Router(config)# no ip ssh version 1
07. Router(config)# ip ssh time-out 30
08. Router(config)# ip ssh authentication retries 3
09. Router(config)# line vty 0 4
10. Router(config-line)# transport input SSH
11. Router(config-line)# login local
12. Router(config-line)# end
13. Router# show ip ssh

Na linha 1 criamos um usuário local no nosso roteador com privigio nível 15 (máximo). A linha 2 informa um nome de domínio que posteriormente será utilizado para gerar a chave do SSH. Na linha 3 informamos para o roteador utilizar o novo método de autenticação e na linha 4 é gerada a chave RSA para codificação/decodificação dos dados. Nas linhas de 5 a 8 apenas estamos setando alguns parâmetros comumente utilizados, como por exemplo habilitar o SSHv2 (e desabilitar o SSHv1), limitar o tempo da sessão e a quantidade de tentativas de conexão

Por fim, entramos no sub-modo de configuração das linhas vty (acesso remoto via rede) e configuramos o roteador para utilizar o SSH no transporte dos dados e autenticar com base nos usuários localmente adicionados no roteador (o que fizemos na primeira linha). Você pode utilizar o comando "show ip ssh" (linha 13) para verificar o funcionamento do SSH no roteador e para saber qual versão está utilizando.

Pronto!!! O SSHv2 já está ativado no seu roteador. Agora lembre-se de configurar no seu cliente terminal que o acesso remoto dar-se-á via SSH na porta 22; não mais via Telnet na porta 23 como era feito antes.

Há outras opções que podem ser exploradas em relação ao SSH como protocolo de acesso remoto. Caso vocês queiram se aprofundar, recomendo o link abaixo da própria Cisco que detalha o assunto:

http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gt_ssh2.html

Abraço.

Samuel.

Nenhum comentário:

Postar um comentário