Acesso Seguro ao Roteador via SSHv2

Olá Pessoal.

A maioria de vocês deve saber que os acessos remotos aos dispositivos da Cisco (roteadores e switches) acontecem, por padrão, através do telnet. Acontece que no telnet o dados trafegam "em claro", o que quer dizer que alguém executando algum software para sniffar a rede (a exemplo do Wireshark) pode facilmente interceptar toda a informação que trafega entre o computador que iniciou a sessão remota e o roteador, inclusive as senhas... Aí é que está o problema!!!

Por causa disso as empresas sempre habilitam o SSH para esse fim, já que esse protocolo implementa a criptografia dos dados, ou seja, ele cifra (codifica) todo o conteúdo digitado no computador que iniciou a sessão remota e o roteador decifra esse conteúdo antes de interpretá-lo. Dessa forma, caso alguém venha a interceptar a sessão remota, tudo que poderá ser visualizado será uma sequência de caracteres codificados que não fazem nenhum sentido para quem não conhece a chave, conforme é ilustrado abaixo.

Uma pergunta frequente que meus alunos fazem é exatamente como proceder para habilitar o SSH no acesso remoto ao roteador, ao invés do telnet. Registrarei essa resposta para futuras dúvidas recorrentes, mostrando adiante como habilitar o SSHv2, ainda mais seguro do que o SSHv1. Para habilitar o SSHv2 no roteador ou em switches, basta executar as seguintes linhas de comando que explicarei adiante:

01. Router(config)# hostname R1
02. R1(config)# username admin privilege 15 secret SENHA

03. R1(config)# ip domain-name labcisco.com.br

04. R1(config)# crypto key generate rsa   

05. R1(config)# ip ssh version 2

06. R1(config)# ip ssh time-out 30

07. R1(config)# ip ssh authentication retries 3

08. R1(config)# line vty 0 15

09. R1(config-line)# transport input SSH
10. R1(config-line)# login local

11. R1(config-line)# end

12. R1# show ip ssh

Para configuração do SSH é necessário que o roteador não esteja utilizando o hostname padrão Router, motivo pelo qual fazemos essa alteração na linha 1. Na linha 2 criamos um usuário local no nosso roteador com privilégio nível 15 (máximo). A linha 3 informa um nome de domínio que posteriormente será utilizado para gerar a chave do SSH. Na linha 4 é gerada a chave RSA para codificação/decodificação dos dados que deve ter pelo menos 1024 bits. Nas linhas de 5 a 7 apenas setamos alguns parâmetros comumente utilizados, como por exemplo habilitar o SSHv2 (e desabilitar o SSHv1), limitar o tempo da sessão e a quantidade de tentativas de conexão. 

Por fim, entramos no sub-modo de configuração das linhas vty (acesso remoto via rede) e configuramos o roteador para utilizar o SSH no transporte dos dados e autenticar com base nos usuários localmente adicionados no roteador (o que fizemos na primeira linha). Você pode utilizar o comando "show ip ssh" (linha 12) para verificar o funcionamento do SSH no roteador e para saber qual versão está utilizando.

Pronto!!! O SSHv2 já está ativado no seu roteador. Agora lembre-se de configurar no seu cliente terminal que o acesso remoto dar-se-á via SSH na porta 22/TCP; não mais via Telnet na porta 23/TCP como era feito antes. Há outras opções que podem ser exploradas em relação ao SSH como protocolo de acesso remoto. Caso vocês queiram se aprofundar, recomendo o link abaixo da própria Cisco que detalha o assunto:

http://www.cisco.com/c/en/us/support/docs/security-vpn/secure-shell-ssh/4145-ssh.html

Abraço.

Samuel.