segunda-feira, 12 de novembro de 2012

Acesso Seguro ao Roteador via SSHv2

Olá Pessoal.

A maioria de vocês deve saber que os acessos remotos aos dispositivos da Cisco (roteadores e switches) acontecem, por padrão, através do telnet. Acontece que no telnet o dados trafegam "em claro", o que quer dizer que alguém executando algum software para sniffar a rede (a exemplo do Wireshark) pode facilmente interceptar toda a informação que trafega entre o computador que iniciou a sessão remota e o roteador, inclusive as senhas... Aí é que está o problema!!!

Por causa disso as empresas sempre habilitam o SSH para esse fim, já que esse protocolo implementa a criptografia dos dados, ou seja, ele cifra (codifica) todo o conteúdo digitado no computador que iniciou a sessão remota e o roteador decifra esse conteúdo antes de interpretá-lo. Dessa forma, caso alguém venha a interceptar a sessão remota, tudo que poderá ser visualizado será uma sequência de caracteres codificados que não fazem nenhum sentido para quem não conhece a chave, conforme é ilustrado abaixo.




Uma pergunta frequente que meus alunos fazem é exatamente como proceder para habilitar o SSH no acesso remoto ao roteador, ao invés do telnet. Registrarei essa resposta para futuras dúvidas recorrentes, mostrando adiante como habilitar o SSHv2, ainda mais seguro do que o SSHv1. Para habilitar o SSHv2 no roteador ou em switches, basta executar as seguintes linhas de comando que explicarei adiante:

01. Router(config)# hostname R1
02. R1(config)# username admin privilege 15 secret SENHA
03. R1(config)# ip domain-name labcisco.com.br
04. R1(config)# crypto key generate rsa   
05. R1(config)# ip ssh version 2
06. R1(config)# ip ssh time-out 30
07. R1(config)# ip ssh authentication retries 3
08. R1(config)# line vty 0 15
09. R1(config-line)# transport input SSH
10. R1(config-line)# login local
11. R1(config-line)# end
12. R1# show ip ssh

Para configuração do SSH é necessário que o roteador não esteja utilizando o hostname padrão Router, motivo pelo qual fazemos essa alteração na linha 1. Na linha 2 criamos um usuário local no nosso roteador com privigio nível 15 (máximo). A linha 3 informa um nome de domínio que posteriormente será utilizado para gerar a chave do SSH. Na linha 4 é gerada a chave RSA para codificação/decodificação dos dados que deve ter pelo menos 1024 bits. Nas linhas de 5 a 7 apenas setamos alguns parâmetros comumente utilizados, como por exemplo habilitar o SSHv2 (e desabilitar o SSHv1), limitar o tempo da sessão e a quantidade de tentativas de conexão

Por fim, entramos no sub-modo de configuração das linhas vty (acesso remoto via rede) e configuramos o roteador para utilizar o SSH no transporte dos dados e autenticar com base nos usuários localmente adicionados no roteador (o que fizemos na primeira linha). Você pode utilizar o comando "show ip ssh" (linha 12) para verificar o funcionamento do SSH no roteador e para saber qual versão está utilizando.

Pronto!!! O SSHv2 já está ativado no seu roteador. Agora lembre-se de configurar no seu cliente terminal que o acesso remoto dar-se-á via SSH na porta 22/TCP; não mais via Telnet na porta 23/TCP como era feito antes. Há outras opções que podem ser exploradas em relação ao SSH como protocolo de acesso remoto. Caso vocês queiram se aprofundar, recomendo o link abaixo da própria Cisco que detalha o assunto:

http://www.cisco.com/c/en/us/support/docs/security-vpn/secure-shell-ssh/4145-ssh.html

Abraço.

Samuel.

4 comentários:

  1. Como faço para acessar o switch ou roteador via ssh depois dessa configuração feita no simulador da CISCO ?

    ResponderExcluir
  2. me ajudou na hora de escolher os materiais de informática sp, obrigada pelo post de qualidade, top

    ResponderExcluir
  3. Raildson Felipe da Silva31 de janeiro de 2024 às 17:24

    Muito bom artigo.

    ResponderExcluir