Páginas

quarta-feira, 1 de junho de 2011

Cisco - Habilitar SSH

Configuração de SSH em roteadores Cisco
Posted by admin on mar 21, 2011 in cisco, Segurança na Rede
Encontrei alguns erros nesse tutorial e fiz alguns reparos para funcionar corretamente a fonte do tutorial foi : http://www.pedropereira.net/ssh-roteador-cisco-suporte/ porém testando notei que faltava muitas “coisinhas” e essas coisa é que fazem a diferença para que funcione corretamente.
Segue: primeiro lugar correto para se buscar informações http://www.cisco.com/en/US/docs/ios_xr_sw/iosxr_r3.7/security/configuration/guide/sc37ssh.html#wp1044523
Outra coisa que antes de você configurar seu SSH você precisa setar um dumain-name no router senão as configurações não vão conseguir ser feitas.
Outra coisa importante é verificar a versão do IOS se ela supora o SSH.
———————————————————————————————————–
Abaixo o how too para configurar o SSH quando eu tiver tempo eu farei um mais detalhado, no momento minha indicação é entrar no link http://www.cisco.com/en/US/docs/ios_xr_sw/iosxr_r3.7/security/configuration/guide/sc37ssh.html#wp1044523 que é 100% certo e sem erros.

————————————————————————————————————————————————
fonte: http://www.pedropereira.net/ssh-roteador-cisco-suporte/
Atualmente, acredito que ninguém administraria um roteador, servidor, switch, ou o que quer que seja acessando diretamente o console fornecido pelo dispositivo: você sempre irá utilizar alguma solução de acesso remoto para poder administrar sua rede sem precisar sair do seu computador
O problema com este tipo de solução é a segurança. Nem sempre os protocolos utilizados são os mais seguros. Por exemplo, switches e roteadores Cisco até hoje utilizam por padrão acesso remoto através de Telnet, que envia todas as informações (incluindo as de login) pela rede em texto puro. Isso, obviamente, é um grande furo na segurança da sua rede pois qualquer um que consiga sniffar o tráfego será capaz de logar no roteador.
Atualmente, assim como máquinas Linux, por exemplo, os equipamentos Cisco fornecem suporte à utilização de SSH V2. Esta é uma adição e tanto à segurança destes equipamentos, já que absolutamente todos os dados trocados entre a estação cliente e o roteador serão criptografados.
Aqui vou ensinar a você o processo de configuração do SSH em equipamentos Cisco.
Mas, quais versões do IOS suportam SSH?
O IOS 12.1(3)T foi o primeiro a oferecer suporte a SSH, porém apenas para a versão 1 do protocolo (considerada insegura). O IOS deveria oferecer DES ou 3DES IPSec para que o SSH pudesse funcionar corretamente.
As primeiras versões a oferecer suporte ao SSH2 foram 12.3(4)T, 12.2(25)S e 12.3(7)JA. O IOS ainda deve oferecer suporte a 3DES para que o SSH funcione. Isto pode ser identificado pelo “k9″ no nome da imagem sendo utilizada.
Lembre-se: quando puder escolher, escolha sempre a versão 2 do SSH pois ela oferece uma segurança muito melhor que a versão 1. Quando puder escolher apenas entre Telnet e SSH1, a melhor escolha é o SSH1.
Configuração
A configuração do SSH em roteadores Cisco é extremamente simples, portanto você não vai ter desculpas para não utilizá-lo em seus roteadores.
Lembrando que você deve ter um nome de host e um nome de domínio configurado para o equipamento (isso pode ser feito no modo de configuração global utilizando os comandos “hostname” e “ip domain-name”, respectivamente).
Primeiro, acesse o seu roteador (por Telnet ou diretamente pelo Console, tanto faz) e entre no modo de configuração global:
roteador>enable
roteador#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
roteador(config)#
Ok, agora vamos gerar as chaves que serão utilizadas na autenticação do SSH. O IOS suporta gerar certificados com criptografia de no mínimo 360 bits e no máximo 2048 bits. Eu considero 360 bits muito pouco e sempre utilizo como padrão o 2048. Recomendo que você faça o mesmo, mas a escolha é sua. O comando é o seguinte:
roteador(config)#crypto key generate rsa
How many bits in the modulus [512]:2048
% Generating 2048 bit RSA keys, keys will be non-exportable…[OK]
Depois que você executar o comando, deverá informar quantos bits deseja para o módulo do certificado. O padrão é 512 mas, como dito anteriormente, recomendo fortemente que você coloque 2048 aqui. A mensagem que aparece logo após a seleção indica sucesso ou falha na geração do certificado.
Agora, vamos configurar alguns parâmetros do serviço SSH como timeout, versão, etc. Então, ainda no modo de configuração global:
roteador(config)#ip ssh version 2
Este comando irá especificar qual versão do protocolo SSH você deseja utilizar. Para verificar quais versões estão disponíveis, execute o comando “show ip ssh” no modo “enable”. Se estiver indicando versão 2.0, você pode utilizar tanto a versão 1 quanto a versão 2. Se estiver indicando 1.X, você pode utilizar apenas a versão 1 do protocolo.
Agora, vamos configurar o timeout:
roteador(config)#ip ssh time-out 50
Isso irá configurar o timeout para 50 segundos. Você pode escolher qualquer valor no intervalo de 1 a 120 segundos. Assim, quando uma sessão de cliente ficar parada por mais tempo que o especificado aqui, o cliente será desconectado automaticamente.
Agora, vamos configurar o valor de tentativas de login. Essa opção não é muito efetiva contra ataques brute-force pois, quando você exceder o número de tentativas de conexão, o seu IP não será bloqueado e você poderá voltar a tentar se conectar imediatamente.
roteador(config)#ip ssh authentication-retries 2
Com o comando acima, serão permitidas apenas 2 tentativas erradas. Você pode especificar um valor entre 0 e 5 nesta opção.
Pronto, o SSH está configurado e funcionando.
Mas quem vai poder fazer o login?
Para poder fazer o login via SSH, você deve criar alguns usuários locais (válidos apenas no roteador) e também definir qual o nível de acesso para estes. Para criar um usuário chamado “administrador”, com permissão de fazer tudo no roteador, execute o seguinte comando:
roteador(config)#username administrador priv 15 secret senha-do-usuário
Pronto, agora você já tem um usuário chamado “administrador” com permissão de realizar qualquer tipo de configuração no roteador onde ele foi criado. O que define que ele é um administrador ou não é a opção “priv 15″. O valor 15 indica que ele tem acesso total, e varia de 0 a 15: quanto menor o valor, menor o privilégio do usuário no sistema. Por exemplo:
Modo EXEC de usuário: nível de privilégio 1
Modo EXEC de superusuário: nível de privilégio 15
Agora, falta apenas você fazer com que as linhas Telnet deixem de aceitar conexões Telnet e passem a aceitar apenas conexões SSH:
roteador(config)#line vty 0 4
roteador(config-line)#login local
roteador(config-line)#transport input ssh
Pronto! SSH configurado, agora basta testar a conexão.
Testando a conexão ao roteador
Você pode utilizar qualquer cliente SSH para se conectar ao roteador, agora. O meu cliente preferido é o PuTTY, que funciona em Windows e possui uma boa quantidade de características que o ajudarão no dia-a-dia. Você também poderá utilizar o cliente disponível em roteadores Cisco.
Este cliente obviamente funciona apenas em linha de comando e não possui nem metade das opções oferecidas pelo PuTTY. Para usá-lo, faça o seguinte:
roteador>ssh -l administrador -v 2 192.168.1.1
Você não precisa estar em modo privilegiado para utilizá-lo. A opção “-l” (não é o número sim, mas sim a letra “L” minúscula) indica qual o nome de usuário será utilizado; a opção “-v” indica qual a versão do protocolo o cliente deverá utilizar (o valor pode ser 1 ou 2, como já foi dito anteriormente) e, finalmente, o IP do roteador ao qual você irá se conectar.

FONTE: http://www.gustavofranco.com/wp/?paged=4

Nenhum comentário:

Postar um comentário