Já há muitos anos que a recomendação é trabalharmos com SSH ao invés de Telnet (e ainda assim encontro muitos equipamentos configurados com Telnet…), mas além de ativar o SSH podemos adicionar alguns parâmetros para melhorar a segurança.
Mesmo usando o SSH estamos sujeitos a vulnerabilidades nos protocolos e algoritmos que ele utiliza, então se seu equipamento/software permitir, adicione os parâmetros abaixo para aumentar a segurança no acesso remoto.
1) Crie a chave com ao menos 2048 bits. Pode usar 4096 também, que deixa a conexão um pouco mais lenta, mas é mais seguro.
crypto key generate rsa modulus 2048
2) Use SSHv2 sempre que possível (disponível no IOS desde a versão 12.1(19)E). Considere fazer o upgrade de software ou trocar equipamentos que não suportam.
ip ssh version 2
3) Aceite apenas SSH. Observe a quantidade de lines que seu equipamento possui.
line vty 0 15 transport input ssh
4) Defina timeout e número de tentativas de autenticação.
ip ssh time-out 60 ip ssh authentication-retries 3
5) Escolha algoritmos fortes. Equipamentos com softwares mais novos (a partir da versão 15.5(2)) permitem escolhermos os algoritmos de autenticação e criptografia. Não use RC4 e CBC, nem algoritmos HMAC, MD5 e SHA1.
ip ssh server algorithm mac hmac-sha2-256 hmac-sha2-512 ip ssh server algorithm encryption aes256-ctr
6) Quando for adicionar o usuário, use a palavra secrect ao invés de password. Ou ainda use a opção algorithm-type e selecione sha256.
username andre algorithm-type sha256 secret senhaforte
7) Limite a origem dos acessos usando ACL. Observe a quantidade de lines que seu equipamento possui.
ip access-list standard VTYacl permit 10.10.10.19 line vty 0 15 access-class SNMPacl in
Os exemplos de comandos acima são baseados no Cisco IOS, e podemos ter variações em outros softwares (ASA-OS, NX-OS, IOS-XE, IOS-XR…), mas a idéia é a mesma.
Exemplo com a configuração completa:
BrainworkSW01#conf t BrainworkSW01(config)#username andre algorithm-type sha256 secret senhaforte BrainworkSW01(config)#ip domain-name brainwork.local BrainworkSW01(config)#crypto key generate rsa modulus 2048 The name for the keys will be: BrainworkSW01.local % The key modulus size is 2048 bits Generating RSA keys … [OK] BrainworkSW01(config)#ip ssh version 2 BrainworkSW01(config)#ip ssh time-out 60 BrainworkSW01(config)#ip ssh authentication-retries 3 BrainworkSW01(config)#ip access-list standard VTYacl BrainworkSW01(config-std-nacl)#permit 10.10.10.19 BrainworkSW01(config)#line vty 0 15 BrainworkSW01(config-line)#transport input ssh BrainworkSW01(config-line)#access-class VTYacl in BrainworkSW01(config-line)#end BrainworkSW01#wr
A verificação das configurações pode ser feita com o comando show ip ssh.
BrainworkSW01#sh ip ssh SSH Enabled - version 2.0 Authentication methods:publickey,keyboard-interactive,password Authentication Publickey Algorithms:x509v3-ssh-rsa,ssh-rsa Hostkey Algorithms:x509v3-ssh-rsa,ssh-rsa Encryption Algorithms:aes256-ctr MAC Algorithms:hmac-sha2-256,hmac-sha2-512 KEX Algorithms:diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1 Authentication timeout: 60 secs; Authentication retries: 3 Minimum expected Diffie Hellman key size : 2048 bits IOS Keys in SECSH format(ssh-rsa, base64 encoded): TP-self-signed-1339421804 Modulus Size : 2048 bits ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzsdyPavSMpVesA9J3QjCo398BkYiY1wTZU0rVE0tq RP6uxOCJXAXDY0prTUpcHn/YRElbCETdOCppRsTIaxS+KfUK0H4uqfGP3E2OCGc6KCaUvL9rIYRv0vy1 0XBmum1cPUsipIVv5jOFTvI+hhdFQYsipnykfZTNlrguYI9XWNcGn5Y/1jisURmM+umHC18C7lux+YZR wrdv6ydBVGIpdFtR79wuuXXHtXmXFiSRDv568T4xK9umoeHibGnlIGyj7yh0b81s4qP21NouUX 3g9WAmAp5stQes53puxGBuQtzvhISzhwNdOOKvVbO/of8z1LtBy1QIS222C5
Até a próxima.
