jun 19 2008

Ativando SSH em Roteadores Cisco

Todos nós sabemos o quanto o telnet é inseguro para se acessar qualquer dispositivo de rede.O objetivo deste artigo é seguir a linha de pequenos ambientes (pelo meno por enquanto), para aprendermos como ativar o serviço de acesso seguro via SSH – Secure Shell.

Como itens obrigatórios precisamos criar um nome para o Roteador (hostname) e definir seu nome de domínio (domain-name) para que o serviço de SSH funcione corretamente. Portanto, NÃO ESQUEÇA-OS 😉


Router(config)#hostname corporativo

corporativo(config)#ip domain-name pitanga.com.br

corporativo(config)#enable secret cisco

Como não sabemos o estado anterior do roteador, vamos então zerar quaisquer chaves de criptografia armazenadas no router.

corporativo(config)#crypto key zeroize rsa
% All RSA keys will be removed.
% All router certs issued using these keys will also be removed.
Do you really want to remove these keys? [yes/no]: yes

corporativo(config)#
*Mar 1 00:07:29.155: %SSH-5-DISABLED: SSH 1.5 has been disabled

Criando as chaves de criptografia privada e pública via RSA

Vamos agora gerar nosso par de chaves pública e privada com o algoritmo RSA composto de 1024 bits para uma maior segurança.

corporativo(config)#crypto key generate rsa
The name for the keys will be: corporativo.pitanga.com.br
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys …[OK]

Observe em vermelho que o sistema utiliza o nome do host e domínio como “semente” para geração das chaves.

Verificando o status do SSH

corporativo#sh ip ssh
SSH Enabled – version 1.5
Authentication timeout: 120 secs; Authentication retries: 3

Criando um usuário local e ativando o ssh nos terminais vty

corporativo(config)#username marcos password 0 pitanga

corporativo(config)#aaa new-model

corporativo(config)#aaa authentication login LOCALUSERS local

corporativo(config)#line vty 0 4

corporativo(config)#login authentication LOCALUSERS

corporativo(config)#transport input ssh

Acessando o roteador com o PUTTY

SSH-1

Agora com a ferramenta PUTTY já podemos acessar nosso roteador via ssh.

Coloque o nome do usuário criado localmente, neste caso marcos e senha pitanga.

Vamos agora verificar o usuário conectado ao roteador…

corporativo#sh ssh
Connection Version Encryption State Username
0 1.5 3DES Session started marcos

Este ambiente foi preparado em um roteador 2610 com as seguintes características:

corporativo#sh version
Cisco Internetwork Operating System Software
IOS ™ C2600 Software (C2600-ADVSECURITYK9-M), Version 12.3(5a), RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2003 by cisco Systems, Inc.
Compiled Tue 25-Nov-03 06:00 by kellythw
Image text-base: 0x80008098, data-base: 0x812A1560

Até ao próximo artigo…

Marcos Pitanga

Marcos Pitanga

Marcos José Pitanga Alves é um profissional com mais de 23 anos de experiência em tecnologia da informação no Brasil e no exterior, com formação em Sistemas de Informações, pós-graduado em Redes de Computadores e Segurança de Redes. Atualmente é System Engineer da Altair Engineering do Brasil. Sendo responsável pelos projetos relacionados a Computação de Alto Desempenho. Atuou como docente em algumas universidades, onde ministrava as cadeiras de Redes de Computadores, Sistemas Operacionais, Sistemas Distribuídos e Segurança de Redes. Desenvolve pesquisas independentes em Sistemas Paralelos e Distribuídos com diversos sistemas operacionais, tais como: Windows 2003, GNU/Linux e Solaris. É instrutor da CISCO no programa Network Academy, possui as certificações Linux Professional Institute – LPIC 3, CISCO CCNA/CCAI/CCNP, Radware Application e Connectivity, Juniper JNCIA (WX,ER,IDP, VPN SSL, M-series,FWV) Juniper JNCIS (FWV, Routers série M, ER), BlueCoat Web Caching System Engineer, CosmoCom Universe CallCenter - USA/2007, Nortel Application Switching, EC-Council CEHv5 – Certified Ethical Hacking, dentre outras. É autor dos livros: Construindo Supercomputadores com Linux 3a edição, Computação em Cluster e Honeypots a arte de iludir hackers.

35 comentários

Pular para o formulário de comentário

  1. Excelente post Marcos! Acabei de estudar isso aí hoje pra o ISCW! Valeu como uma revisão.

    Abraço!

  2. Excelente post Marcos porém não entendi a configuração a partir do comando “corporativo(config)#aaa new-model”

    Voce poderia especificar qual a funcionalidade de cada linha de configuração

    Desde já agradeço.

    Abç
    Bruno N. Paiuca

  3. Cara, parabéns pelo post.
    Trabalho com Linux e sei o nivel de segurança que o ssh oferece…
    Perfeito.

  4. Seguindo a partir do ponto que você não entendeu…

    1o – Habilita o modo de configuração AAA (Authentication, Authorization, Accounting);

    2o – Define que a autenticação baseado em AAA será local;

    3o – Entra no modo de configuração dos terminais VTY;

    4o – Quem irá logar são os usuários cadastrados localmente via comando username password 0 ;

    5o – Use o ssh como meio de acesso aos terminais VTY;

    []´s

  5. O post está ótimo !!, mas o Bruno lembrou bem.

    Se puder exemplificar melhor a parte de “aaa new-model”, ficaremos extremamente grato |!!! rs 🙂

  6. Marcos,

    Mas nesse lance de autenticação via SSH, eu não poderia fazer ele autenticar-se, por exemplo em um Radius da vida ???
    Quais as “opções” que temos ? Saberia dizer ?

  7. Rapaz, vamos com calma…

    Lembre-se que estamos falando de uma rede pequena, com um roteador sob sua administração.

    O objetivo é ir comendo pelas beiradas, aprendendo o fácil ficará melhor quando irmos para parte difícil.

    Irei montar aos poucos topologias mais avançadas onde poderemos brincar com RADIUS, TACACS+ e Kerberos.

    Vou inclusive a montar e configurá-los sobre servidores Linux. Além de ensinar a configurar os roteadores para isso. 😉

    []´s

  8. Bruno e Thiago,

    o “aaa new-model” é para ativar a funcionalidade chamada “AAA” nos roteadores cisco que significa Authentication, Authorisation, Accounting. Quando você digita esse comando, ele ativa várias diretas de segurança no roteador. Por exemplo:

    R1(config)#aaa new-model (ativei várias funcionalidades digitando esse comando)
    R1(config)#line vty 0 4
    R1(config-line)#login
    % Incomplete command
    R1(config-line)#login ?
    authentication Authentication parameters.
    R1(config-line)#login authentication ?
    WORD Use an authentication list with this name.
    default Use the default authentication list

    Percebeu já uma diferença? A gente não pode mais usar um login diretamente no telnet pra acessar o roteador. Você vai ter que criar usuários, tipo no Windows que você cria o usuário e uma senha. Esse banco de dados de usuário pode ser armazenado localmente no roteador ou então em servidores TACACS+ ou RADIUS como o Marcos Pitanga disse.

    Espero ter ajudado.

    Abraço!

  9. Acho difícil explicar o AAA aqui, isso merece um novo “Artigo”, pois isso é tópico do CCNP, não do CCNA. Não dá pra explicar em poucas palavras. Espero que vocês tenham pego um pouco da idéia.

    Abraço!!

  10. valew Rodrigo, clareou um pouco sim!!

  11. Marcos,

    Usar AAA seria optativo certo?
    Eu já fiz algumas configurações porém nunca usei AAA…….eins o que eu faço:

    ip domain name blablabla.com.br
    crypto key generate rsa

    ip ssh time-out 60
    ip ssh authentication-retries 2
    ip ssh version 2
    line vty 0 4
    transport input ssh

  12. Não conheço muito de AAA, mas esclareceu minah dúvida, esse assunto ainda não é meu foco já que ainda busco o CCNA, porém em um futuro próximo…

    Vlw Marcos

    Excelente Post

  13. muito bom isso…

    eu até enctão desconhecia isso ai….

    :o)

  14. Sim Fábio é optativo, só uma outra forma de “começar a conhecer” o significado do AAA.

    Agora, o meu objetivo aqui Bruno, não é preparatório para o CCNA, para isso tem o livro do Filippetti, test-king, Dynampis, etc…

    Meu objetivo aqui é ensinar como implementar algumas soluções em ambientes de pequeno porte.

    Assuntos esses que um Analista de Redes deverá conhecer e saber implementar.

    Vejo aqui no RJ muito CCNA que não consegue colocar uma rede operacional na sua forma mais simples.

    Esse é o meu objetivo.

    O que adianta ter o título e depois não saber fazer?

    Resposta: Serve como um processo de seleção, mas na hora de você ser jogado as feras (equipamentos de rede) não saberá nem como iniciar o processo de implementação nem de resolução de problemas.

    Pequenas redes, com switching em colapso (duas camadas), ou até mesmo na forma que apresentei em uma só camada, deixando que o roteador roteie as VLans e sirva de saída de Internet com as configurações mais essenciais possíveis.

    – Configurar um SSH (mesmo que não esteja no currículo). Você coloca acesso via Telnet nos seus servidores corporativos?
    – Aplicar regras essenciais de segurança em um roteador
    – Fazer uma VPN Site-to-Site e Client-to-Site
    – Fazer troubleshooting básico
    – Fazer gerenciamento em banda e fora de banda
    – Configurar um Frame Relay
    – Configurar um PPP com PAP e CHAP…
    – Fazer um WCCP para colocar um proxy
    – Fazer um PBR para colocar seu “SQUID” funcionar de forma transparente
    – etc…

    Ou seja, tarefas básicas do dia a dia de um Analista de Infraestrutura Junior.

    Se este não for um dos objetivos do grupo, então mudo a minha estratégia, mas simplesmente não gostaria de ficar postando coisas que facilmente você encontra com o grande Oráculo Google.

    Abraços…

    Marcos Pitanga

  15. Marcos,

    Excelente o seu post cara… É bastante válido sim.. Acho que vc deveria continuar assim ! 🙂

    Abraço

  16. Pitanga;

    Simplesmente demais sua resposta camarada. Esse realmente tem sido meu objetivo no blog.
    Por favor, continue nessa linha de pensamento !
    Parabéns pela iniciativa !

    Abraco;

    Kraüter

  17. Ótimo post Marcos, quanto maior o grau de dificuldade exercido por um profissional, concerteza ele será melhor e mais valorizado.

  18. Marcos !!!show de bola
    estarei na espera dos próximos artigos .
    parabéns …

  19. Professor Pitanga,

    Gostei muito do seu artigo irá me ajuda em alguns cliente. Hoje trabalho com TACACS e gostaria que escrevesse mais artigos sobre o mesmo.

    Fui seu aluno no primeiro curso de redes da UNIABEU e trabalhei na Abeunet, onde contei muito com sua ajuda para meu crescimento profissinal; Espero continuar tendo esse apio.

    Diogo Cardozo

  20. MUITO BOM… MUITO BOM MESMO MARCOS!!! 😀

    Conteúdo de altíssima qualidade! Obrigado por comportilhar conosco todo esse conhecimento!

    Este espaço, sem sombra de dúvidas, possui diversos artigos e conteúdos que nossa Oráculo Google desconhece! 😉 E esse que é bom e o diferencial deste espaço! Mais uma vez, obrigado!

    Abraços,
    Ferrugem!!!

    “Juntos somos ainda melhores!!!”

  21. Marcos Pitanga,

    Pelo amor de Deus gente !!!
    Este post foi ÓTIMO SIM !!!
    E esse objetivo pelo qual está postando as configurações de rede de pequeno porte também é ótimo !!! Isto precisa continuar !!!

    Peço desculpas pois esse lance do “AAA ” é uma´duvida PESSOAL minha que aproveitei alguém que tocou no assunto para demonstrar minha dúvida, que era simples, exatamente como “funcionaria” por cima mesmo. Já possuo um certo conceito sobre o assunto, mas nada muito aprofundado. Por isso quis perguntar de maneira PESSOAL, mas acho que fui infeliz.

    Obrigado mais uma vez !

  22. Muito boa dica de gerenciamento de rede com segurança. Lembrando que na maioria das vezes pensamos em segurança pelo lado externo e esquecemos o lado interno.
    Excelente post.
    Parabéns Marcos.

    Lucas

  23. Vou tentar implementar isso aqui na minha redezinha…

    Abraços

  24. Muito bom mesmo, continuie com essa linha de raciocinio Marcos.

    Um abraço.

  25. Marcos,

    Apesar de ainda não ter a oportunidade de ter sido “jogado as feras”, mas como quero estar preparado para quando isso acontecer, peço encarecidamente que continue nessa sua estratégia que está fantástico!!

    Abrçs!!

  26. Mais uma coisa…apesar de já saber a resposta (eu acho), isso pode ser implementado num cenário usando dynampis, certo? Vc poderia sugerir um se fosse o caso, que incluisse coisas do tipo, fazer uma VPN Site-to-Site e Client-to-Site, fazer um WCCP para colocar um proxy copie e colei do seu post, rsrsrs?

    Abçs!!

  27. Òtima resposta Marcos.

  28. Olá Rodrigo, dá para fazer isso sim, prometo que aos poucos vou fazendo os artigos.

    E meu querido chefe acabou de sortear para tirar todas as certificações da Nortel… Ai meu Deus… Assim não guento.

    Vou preparar um post quase pronto do uso do WCCP em um ambiente de aceleração de Wan…

    []´s

    Pitanga

  29. É Marcos, o bicho vai pegar pro seu lado, rsrsrs…pra de uma forma muito positiva. Isso é sinal que ele acredita em vc como profissional, e com seu currículo e experiência não poderia ser diferente.
    Boa sorte com os estudos, e ficamos no aguardo dos posts!!

    Abrçs!!

  30. E vamos nós….

    Até o final do ano todas da Nortel e todas da Extreme… Ai, ai, ser integrador sofre…

    Meu lab particular vai ficar igualzinho do cara lá CCIE 😉 só que com uma salada maior de equipamentos… 😉

  31. OTIMO POST…..

  32. Boa Noite Marcos, tudo bem?

    Esse é o meu primeiro Comentário no Blog. Estava a procura de como habilitar/configurar o acesso via SSH em um Router Cisco 2811. Achei seu POST muito interessante. Realizei todos os procedimentos indicados e tive sucesso em todos os passos. Muito Obrigado.

    Minha duvida:
    ….

    corporativo(config)#username marcos password 0 pitanga

    corporativo(config)#aaa new-model

    corporativo(config)#aaa authentication login LOCALUSERS local – Esse termo “LOCALUSERS” trata-se de um Grupo de Usuários?

    corporativo(config)#line vty 0 4

    corporativo(config)#login authentication LOCALUSERS – Estamos dizendo que quem tera acesso são usuários do Grupo “LOCALUSERS”?

    Desde já Muito Obrigado,

    Danilo.

  33. Parabéns pela post.
    Desculpa a minha ignorância, mas eu fiz essa configuração aqui no packet tracer e não consigo logar com uma máquina diretamente conectada. É possível usar essa ferramenta?

    Desde já agradeço

  34. Olá Pessoal!

    Conseguir fazer no meu packet tracer versão 5.3.3, segui exatamente o passo a passo. perfeito!

    Meu pergunta é:

    Como é possível criar uma Access-list para o bloqueio do acesso via SSH, liberar a rede restante ??

    É possível criar um acl estentida ? ex:

    (config)#access-list 100 deny tcp host 192.168.0.2 host 192.168.0.1 eq 22
    (config)#access-list 100 permit ip any any

    (config-if)#ip access-group 100 in

    Obs: 192.168.0.1 ip do router e 192.168.0.2 ip de uma maquina interna.

    Obrigado a todos!

  35. Excelente artigo, tudo bem explicado e simples.
    Obrigado Marcos e todos pelas dicas nos comentários 🙂

Deixe um comentário