Configurando SSHv2 em roteadores

/ / Published in Cisco, Configuração, Network

O Secure Shell – SSH, é um protocolo que permite o acesso seguro aos equipamentos.

O SSH cria um canal criptografado entre o client e server, permitindo comunicação segura, mesmo em um meio inseguro (como a Internet, por exemplo). Para isso o SSH faz a autenticação do usuário e cria uma chave para a sessão. Quando o client conecta pela primeira vez a um determinado server (servidor linux, roteador ou switch, entre outros) o SSH cria uma chave que será o “fingerprint” para aquele server e pergunta se você deseja aceitá-la. Esta chave fica armazenada na base de dados local do client.

Atualmente podemos usar a versão 1 ou 2, devendo sempre optar pela versão 2, quando possível, pois ele possui algoritmo de criptografia foi melhorado.

Exemplo de configuração: Habilitando SSH em roteadores Cisco
BrainRT01#conf t
BrainRT01(config)#aaa new model
BrainRT01(config)#username admin secret brainwork
BrainRT01(config)#ip domain-name brainwork.com.br 
BrainRT01(config)#crypto key generate rsa modulus 1024
The name for the keys will be: BrainRT01.brainwork.com.br

% The key modulus size is 1024 bits
Generating RSA keys …
[OK]
BrainRT01(config)#ip ssh time-out 60
BrainRT01(config)#ip ssh version 2
BrainRT01(config)#ip ssh authentication-retries 3
BrainRT01(config)#ip ssh version 2
BrainRT01(config)#line vty 0 15
BrainRT01(config-line)#transport input ssh
BrainRT01(config-line)#end
BrainRT01#wr

Para verificar o funcionamento do SSH podemos utilizar o comando debug ip ssh e os shows abaixo:

BrainRT01#sh ip ssh
SSH Enabled – version 2.0
Authentication timeout: 120 secs; Authentication retries: 3
Minimum expected Diffie Hellman key size : 1024 bits
BrainRT01#show ssh
Connection      Version Encryption      State                   Username
0               1.5     3DES            Keys exchanged          admin
1               1.5     3DES            Session started         andreo
Connection Version Mode Encryption  Hmac         State                 Username
3          2.0     IN   aes256-cbc  hmac-sha1    Session started       andreo
3          2.0     OUT  aes256-cbc  hmac-sha1    Session started       andreo
BrainRT01#

Desde a versão 12.1(19)E alguns IOSs já suportam a versão 2, mas para saber seu seu software suporta o SSH v2 utilize o Cisco Software Advisor (é preciso ter CCO no site da Cisco).

Até a próxima.

Tagged under: , ,
Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezenove anos de experiência com redes e segurança.

What you can read next

Upgrade Prime Infrasctructure 3.0/3.1 para 3.2
Atualizando Cisco Nexus 5k
Configurando NTP em roteadores Cisco