SIGN IN YOUR ACCOUNT TO HAVE ACCESS TO DIFFERENT FEATURES

CREATE AN ACCOUNT FORGOT YOUR PASSWORD?

FORGOT YOUR DETAILS?

AAH, WAIT, I REMEMBER NOW!

CREATE ACCOUNT

ALREADY HAVE AN ACCOUNT?
GET SOCIAL
  • BLOG
  • SECURITY ALERTS
  • CONTATO
  • PRIVACIDADE
  • SOBRE
  • LOGIN

Brainwork

  • Certificação
  • Cisco
  • Informação
  • Linux
  • Microsoft
  • Network
  • Security
  • UC
  • Virtualização
  • Wireless
  • Home
  • Cisco
  • Recomendações para configuração de SSH
17/08/2022

Recomendações para configuração de SSH

Recomendações para configuração de SSH

by André Ortega / terça-feira, 25 maio 2021 / Published in Cisco, Security

Já há muitos anos que a recomendação é trabalharmos com SSH ao invés de Telnet (e ainda assim encontro muitos equipamentos configurados com Telnet…), mas além de ativar o SSH podemos adicionar alguns parâmetros para melhorar a segurança.

Mesmo usando o SSH estamos sujeitos a vulnerabilidades nos protocolos e algoritmos que ele utiliza, então se seu equipamento/software permitir, adicione os parâmetros abaixo para aumentar a segurança no acesso remoto.

1) Crie a chave com ao menos 2048 bits. Pode usar 4096 também, que deixa a conexão um pouco mais lenta, mas é mais seguro.

crypto key generate rsa modulus 2048

2) Use SSHv2 sempre que possível (disponível no IOS desde a versão 12.1(19)E). Considere fazer o upgrade de software ou trocar equipamentos que não suportam.

ip ssh version 2

3) Aceite apenas SSH. Observe a quantidade de lines que seu equipamento possui.

line vty 0 15
 transport input ssh

4) Defina timeout e número de tentativas de autenticação.

ip ssh time-out 60
ip ssh authentication-retries 3

5) Escolha algoritmos fortes. Equipamentos com softwares mais novos (a partir da versão 15.5(2)) permitem escolhermos os algoritmos de autenticação e criptografia. Não use RC4 e CBC, nem algoritmos HMAC, MD5 e SHA1.

ip ssh server algorithm mac hmac-sha2-256 hmac-sha2-512
ip ssh server algorithm encryption aes256-ctr

6) Quando for adicionar o usuário, use a palavra secrect ao invés de password. Ou ainda use a opção algorithm-type e selecione sha256.

username andre algorithm-type sha256 secret senhaforte

7) Limite a origem dos acessos usando ACL. Observe a quantidade de lines que seu equipamento possui.

ip access-list standard VTYacl
 permit 10.10.10.19
line vty 0 15
 access-class SNMPacl in

Os exemplos de comandos acima são baseados no Cisco IOS, e podemos ter variações em outros softwares (ASA-OS, NX-OS, IOS-XE, IOS-XR…), mas a idéia é a mesma.

Exemplo com a configuração completa:

BrainworkSW01#conf t
BrainworkSW01(config)#username andre algorithm-type sha256 secret senhaforte
BrainworkSW01(config)#ip domain-name brainwork.local
BrainworkSW01(config)#crypto key generate rsa modulus 2048
The name for the keys will be: BrainworkSW01.local

% The key modulus size is 2048 bits
Generating RSA keys …
[OK]
BrainworkSW01(config)#ip ssh version 2
BrainworkSW01(config)#ip ssh time-out 60
BrainworkSW01(config)#ip ssh authentication-retries 3
BrainworkSW01(config)#ip access-list standard VTYacl
BrainworkSW01(config-std-nacl)#permit 10.10.10.19
BrainworkSW01(config)#line vty 0 15
BrainworkSW01(config-line)#transport input ssh
BrainworkSW01(config-line)#access-class VTYacl in
BrainworkSW01(config-line)#end
BrainworkSW01#wr

A verificação das configurações pode ser feita com o comando show ip ssh.

BrainworkSW01#sh ip ssh
SSH Enabled - version 2.0
Authentication methods:publickey,keyboard-interactive,password
Authentication Publickey Algorithms:x509v3-ssh-rsa,ssh-rsa
Hostkey Algorithms:x509v3-ssh-rsa,ssh-rsa
Encryption Algorithms:aes256-ctr
MAC Algorithms:hmac-sha2-256,hmac-sha2-512
KEX Algorithms:diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1
Authentication timeout: 60 secs; Authentication retries: 3
Minimum expected Diffie Hellman key size : 2048 bits
IOS Keys in SECSH format(ssh-rsa, base64 encoded): TP-self-signed-1339421804
Modulus Size : 2048 bits
ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCzsdyPavSMpVesA9J3QjCo398BkYiY1wTZU0rVE0tq
RP6uxOCJXAXDY0prTUpcHn/YRElbCETdOCppRsTIaxS+KfUK0H4uqfGP3E2OCGc6KCaUvL9rIYRv0vy1
0XBmum1cPUsipIVv5jOFTvI+hhdFQYsipnykfZTNlrguYI9XWNcGn5Y/1jisURmM+umHC18C7lux+YZR
wrdv6ydBVGIpdFtR79wuuXXHtXmXFiSRDv568T4xK9umoeHibGnlIGyj7yh0b81s4qP21NouUX
3g9WAmAp5stQes53puxGBuQtzvhISzhwNdOOKvVbO/of8z1LtBy1QIS222C5

Até a próxima.

Relacionado

Tagged under: acesso administrativo, CiscoChampion, SSH, SSHv2

About André Ortega

Formando em Processamento de Dados e Ciência da Computação. Especialista Cisco (CCNP Enterprise e CCNP Security). Dezessete anos de experiência com redes e segurança.

What you can read next

Cisco Uptime (não para não para não para)
Backdoor em firewalls Fortinet
Cisco Survey: TI x “Negócio”

Deixe um comentário Cancelar resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

POSTS RECENTES

  • Cisco invadida
    Cisco invadida
    11/08/2022
  • Cisco Secure Network Analytics (Stealthwatch)
    Cisco Secure Network Analytics (Stealthwatch)
    08/08/2022
  • Instalando certificado em roteador Cisco
    Instalando certificado em roteador Cisco
    07/07/2022
  • Meraki Internet Outages
    Meraki Internet Outages
    29/06/2022
  • Cisco Catalyst na dashboard Meraki
    Cisco Catalyst na dashboard Meraki
    15/06/2022

Tags

Brainwork VPN ISE LAB licença Access-list Backup Sorteio Cisco Configuração Roteador IOS CCIE QoS CiscoChampion policy-map VMware EEM certificação aniversário senha Firewall VoIP DHCP Segurança WIFI switch SDWAN FMC Vulnerabilidade IPv6 PIX Upgrade IPS Wireless FirePower CCNA ACL Switches ASA Meraki Catalyst WLC WLAN Controller FTD

Arquivo

Login

  • Cadastre-se
  • Acessar
  • Feed de posts
  • Feed de comentários
  • WordPress.org

Acesse Também

  • Blog LabCisco
  • Café com Redes
  • Cisco IOS hints and tricks
  • Cisco Redes
  • Cisco Support Community
  • Coruja de TI
  • Homelaber Brasil
  • Internetwork Expert´s
  • Netfinders Brasil
  • Rota Default
  • TechRebels
  • The Cisco Learning Network

Twitter

Blog: Cisco invadida brainwork.com.br/2022/08/11/c… #Ataque #Cisco_Invadida #Incidente

Blog: Cisco Secure Network Analytics (Stealthwatch) brainwork.com.br/2022/08/08/c… #Stealtwatch

Triste realidade... Que atenção você da para seu IPS e demais soluções de monitoramento de rede? #ips #siem #logs pic.twitter.com/pfaffolRP4

Blog: Instalando certificado em roteador Cisco brainwork.com.br/2022/07/07/i… #Certificado #CiscoChampion #Root

Blog: Meraki Internet Outages brainwork.com.br/2022/06/29/m… #CiscoChampion #Meraki #ThousandEyes

Seguir @brainworkblog
  1. André Ortega em Testando acesso com o Test-NetConnection (PowerShell)
  2. André Ortega em Alta utilização de CPU – Coletando logs com o Event Manager
  3. Jardel D'Oliveira em Alta utilização de CPU – Coletando logs com o Event Manager
  4. Bruno Veras em Testando acesso com o Test-NetConnection (PowerShell)
  5. André Ortega em Cisco Catalyst na dashboard Meraki
Follow @brainworkblog

Brainwork
@brainworkblog

  • Blog: Cisco invadida brainwork.com.br/2022/08/11/cis… #Ataque #Cisco_Invadida #Incidente
    about 5 dias ago
    Reply Retweet Favorite

Entre em contato:

  • Email: blog@brainwork.com.br
  • Web: www.brainwork.com.br
  • Facebook: fb.com/brainworkblog
  • Twitter: twitter.com/brainworkblog
  • Youtube: youtube.com/brainworkblog
  • Instagram: instagram.com/brainwork.blog
  • GET SOCIAL
Brainwork

© 2008 - 2022 Brainwork. Todos os direitos reservados.
Customização da página por Brainwork.

TOP