este artigo mostra como configurar e configurar o SSH para a gestão remota dos roteadores iOS da Cisco. Vamos mostrar-lhe como verificar se o SSH é suportado pela sua versão IOS, como activá-lo, gerar uma chave RSA para o seu router e, finalmente, configurar o SSH como o protocolo de gestão preferido nas interfaces VTY.,
Secure Shell (SSH) provides a secure and reliable mean of connecting to remote devices. É um protocolo de rede criptografado que permite aos usuários acessar o equipamento com segurança através de sessões de interface de linha de comando. O SSH faz uso do Porto tcp 22, que é designado para guardar logins, transferência de arquivos e encaminhamento de portas.,
SSH usa a chave pública para autenticar o dispositivo remoto e criptografar todos os dados entre o aparelho e a estação de trabalho que faz dele a melhor escolha para redes públicas, ao contrário de (telnet), que transmite dados em texto simples que sujeitos a ameaças de segurança, isso faz (telnet) recomendado para redes privadas apenas para manter os dados sem restrições.
verificar o Suporte de SSH no seu Router
o primeiro passo envolve examinar se o IOS do seu router da Cisco suporta SSH ou não., A maioria dos roteadores modernos da Cisco suportam o SSH, então isso não deve ser um problema.
produtos com (K9) no nome da imagem e. g c2900-universalk9-mz.TERMAS.154-3.Quadrado.bin, suporta uma encriptação forte com 3DES / AES enquanto os pacotes IOS (K8) suportam uma encriptação fraca com o DES desactualizado.
para verificar, basta introduzir o modo de privilégio e usar o comando Mostrar ip SSH:
R1# mostrar ip ssh
SSH desactivado – versão 1.99
%Por favor, crie chaves RSA para activar SSH (e de pelo menos 768 bits para SSH v2).,
tempo limite de Autenticação: 120 segundos; Autenticação de tentativas: 3
o Mínimo esperado Diffie Hellman tamanho de chave de 1024 bits
IOS Chaves SECSH formato(ssh-rsa codificado em base64): NONE
Na saída acima, o sistema está apresentando suporte SSH, mas está desativado como nenhuma chave RSA foi gerado. Também vale a pena notar que uma chave de pelo menos 768 bits deve ser gerada para permitir o SSHv2.,
Garantir o Acesso ao Router
É sempre uma boa idéia para o primeiro restringir o acesso ao roteador Cisco antes de habilitar o SSH. Isto é muito importante especialmente quando o dispositivo tem uma interface que enfrenta redes públicas, por exemplo, Internet, Hotspot público.
primeiro criamos as credenciais do usuário para o dispositivo e, em seguida, activar Athentication, Autorização & Serviços de Contabilidade (AAA)., Finalmente, certifique-se de que uma senha secreta é definida para proteger o acesso ao modo de privilégio, juntamente com o comando de senha-criptografia do serviço para garantir que todas as senhas de texto claro são criptografadas:
em seguida, é altamente recomendado restringir o acesso remoto apenas através do protocolo SSH. Isso irá garantir que Serviços inseguros como Telnet não podem ser usados para acessar o roteador. O Telnet envia toda a informação não cifrada, incluindo o nome de usuário/senha, e é, portanto, considerado um risco de segurança.,
usaremos o comando ssh de entrada de transporte sob a secção VTY para restringir o acesso remoto usando apenas SSH. Note que também podemos usar listas de Acesso para restringir as ligações SSH ao nosso router:
Nota: o comando de senha usado na secção VTY 0 4 da linha é completamente opcional e não é usado no nosso caso devido ao comando predefinido de autenticação de login que obriga o router a usar o mecanismo AAA para toda a autenticação de utilizadores.,
gerando o certificado RSA – chave Digital do nosso Router
chaves digitais servem o propósito de ajudar a manter as comunicações seguras entre dispositivos. Nosso próximo passo envolve gerar um par de chaves RSA que será usado pelo SSH para ajudar a encriptar o canal de comunicação.
Antes de gerar a nossa chave RSA, é necessário definir o domínio do nosso router usando o comando ip domain-name, seguido pelo comando crypto key generate command:
R1 (configuração)# crypto key generate rsa
O nome das chaves será: R1.firewall.cx escolha o tamanho do módulo de chave na faixa de 360 a 4096 para suas chaves de propósito geral. A escolha de um módulo de chave superior a 512 pode demorar alguns minutos. Quantos bits no módulo : 4096% gerando chaves RSA de 4096 bits, as chaves não serão exportáveis…
(O tempo decorrido foi de 183 segundos)
ao gerar os nossos pares de chaves, o roteador notifica-nos com o nome usado para as chaves, que consiste no nome do servidor do roteador (R1) + nome de domínio configurado (firewall.cx)., Finalmente, podemos selecionar a quantidade de bits usados para o módulo (chave).
Desde que selecionamos para gerar uma chave usando 4096 bits, o roteador levou um pouco mais de 3 minutos para gerar a chave! Note que o router usado em nosso exemplo foi um Cisco 877.
com o SSH habilitado nós somos capazes de ssh em nosso roteador e geri-lo de forma segura a partir de qualquer local ao redor do mundo.,
Para visualizar qualquer ativo sessão de SSH, basta utilizar o show de comando ssh:
R1# show ssh
Versão de Conexão do Modo de Encriptação Hmac Estado Username
0 2.0 EM aes256-cbc hmac-sha1 Sessão começou admin
0 2.0 OUT aes256-cbc hmac-sha1 Sessão começou admin
%Não SSHv1 conexões de servidor em execução.
R1#
este artigo explicou a importância de activar e usar o SSH para gerir e configurar remotamente o seu router da Cisco., Vimos como criar usuários para gerenciamento remoto, ativar AAA, criptografar senhas de texto claro, ativar SSHv2, gerar chaves RSA e verificar as sessões SSH para o nosso roteador.
Back to Cisco Routers Section