O Secure Shell (SSH) é um protocolo que roda por padrão na porta 22 e fornece conexão de gerenciamento seguro (criptografia forte) a um dispositivo remoto, tanto para autenticação de login (usuário e senha) quanto para dados transmitidos entre os dispositivos de comunicação, sendo assim utilizado em substituição ao Telnet (porta 23), nas conexões de gerenciamento, pois este é um protocolo mais antigo que usa transmissão de texto não criptografado, não protegido.
Assim como na maioria das postagens, essa configuração foi realizada em um switch Cisco modelo 2960, mas em geral pode ser replicada com algumas adaptações em equipamentos de outros fabricantes.
Assim como na maioria das postagens, essa configuração foi realizada em um switch Cisco modelo 2960, mas em geral pode ser replicada com algumas adaptações em equipamentos de outros fabricantes.
Configuração do SSH
1. Verifique o suporte a SSH com o comando show ip ssh. Se o switch não estiver executando um IOS que suporte recursos criptográficos, esse comando não será reconhecido.
switch# show ip ssh
SSH Disabled - version 1.99
%Please create RSA keys (of atleast 768 bits size) to enable SSH v2.
Authentication timeout: 120 secs; Authentication retries: 3
switch#
2. Permita somente ssh versão 2 com o comando ip ssh version 2.
- OBS: por padrão, o SSH suporta ambas as versões 1 e 2, essa informação é mostrada na saída show ip ssh como suportando a versão 1.99, A versão 1 tem vulnerabilidades conhecidas, que com essa configuração, são evitadas.
3. Configure o nome de domínio com o comando ip domain-name;
4. Gere um par de chaves RSA, o que ativa automaticamente o SSH. Para tal use o comando crypto key generate rsa no modo de configuração global. Um comprimento para o módulo será solicitado, em geral utilizado 1024 ou 2048 bits.
- OBS: para excluir os pares de chaves RSA, use o comando crypto key zeroize rsa do modo de configuração global. Assim o servidor SSH será desativado automaticamente.
5. Configure o tempo limite de conexão com o comando ip ssh time-out [segundos].
6. Ative o protocolo SSH nas linhas vty com o comando do modo de configuração de linha transport input ssh, limitando o switch a aceitar conexões somente SSH, impedindo conexões como Telnet.
- OBS: quando se utiliza a configuração de autenticação aaa, referente aos usuários institucionais, está é a única configuração necessárias nas linhas console e vty.
7. Verifique a configuração e versão do ssh com o comando show ip ssh e as conexões ativas com o comando show ssh.
Nenhum comentário:
Postar um comentário
Sinta-se a vontade para comentar!
Colaborações, criticas, sugestões, dúvidas, todos os comentários são bem vindos!