Acesso remoto seguro
Acesso remoto seguro

Acesso Remoto Seguro

Operação Telnet

Nem sempre você terá acesso direto ao switch quando precisar configurá-lo. Você precisa ser capaz de acessá-lo remotamente e é fundamental que seu acesso seja seguro. Este tópico discute como configurar Secure Shell (SSH) para acesso remoto. Uma atividade do Packet Tracer lhe dá a oportunidade de tentar você mesmo.

O Telnet usa a porta TCP 23. É um protocolo mais antigo que usa a transmissão de texto simples não segura da autenticação de login (nome de usuário e senha) e dos dados transmitidos entre os dispositivos de comunicação. Um ator de ameaça pode monitorar pacotes usando o Wireshark. Por exemplo, na figura, o agente da ameaça capturou o nome de usuário admin e a senha ccna de uma sessão Telnet.

Capture pacotes usando Wireshark

Operação SSH

Secure Shell (SSH) é um protocolo seguro que usa a porta TCP 22. Ele fornece uma conexão de gerenciamento segura (criptografada) para um dispositivo remoto. SSH deve substituir Telnet para conexões de gerenciamento. SSH fornece segurança para conexões remotas, fornecendo criptografia forte quando um dispositivo é autenticado (nome de usuário e senha) e também para os dados transmitidos entre os dispositivos de comunicação.

Por exemplo, a figura mostra uma captura Wireshark de uma sessão SSH. O ator da ameaça pode rastrear a sessão usando o endereço IP do dispositivo do administrador. No entanto, ao contrário do Telnet, com SSH o nome de usuário e a senha são criptografados.

Verifique se o switch suporta SSH

Para habilitar o SSH em um switch Catalyst 2960, o switch deve usar uma versão do software IOS, incluindo recursos e recursos criptográficos (criptografados). Use o comando show version no switch para ver qual IOS o switch está executando no momento. Um nome de arquivo IOS que inclui a combinação “k9” oferece suporte a recursos e capacidades criptográficas (criptografadas). O exemplo mostra a saída do comando show version.

S1# show version
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 15.0(2)SE7, RELEASE SOFTWARE (fc1)

Configurar SSH

Antes de configurar o SSH, o switch deve ser minimamente configurado com um nome de host exclusivo e as configurações de conectividade de rede corretas.

Clique em cada botão para aprender as etapas para configurar o SSH.

Verifique o suporte SSH.

Use o comando show ip ssh para verificar se o switch suporta SSH. Se o switch não estiver executando um IOS que ofereça suporte a recursos criptográficos, este comando não será reconhecido.

S1# show ip ssh

Gere pares de chaves RSA.

Nem todas as versões do IOS são padronizadas para SSH versão 2 e o SSH versão 1 tem falhas de segurança conhecidas. Para configurar o SSH versão 2, emita o comando ip ssh version 2 global configuration mode. A geração de um par de chaves RSA habilita automaticamente o SSH. Use o comando crypto key generate rsa global configuration mode para habilitar o servidor SSH no switch e gere um par de chaves RSA. Ao gerar chaves RSA, o administrador é solicitado a inserir um comprimento do módulo. A configuração de amostra na figura usa um tamanho de módulo de 1.024 bits. Um comprimento de módulo mais longo é mais seguro, mas leva mais tempo para gerar e usar.

Nota: Para excluir o par de chaves RSA, use o comando crypto key zeroize rsa global configuration mode. Depois que o par de chaves RSA é excluído, o servidor SSH é desabilitado automaticamente.

S1(config)# crypto key generate rsa
How many bits in the modulus [512]: 1024

Configure as linhas vty.

Habilite o protocolo SSH nas linhas vty usando o comando transport input ssh line configuration mode. O Catalyst 2960 tem linhas vty que variam de 0 a 15. Essa configuração impede conexões não SSH (como Telnet) e limita o switch para aceitar apenas conexões SSH. Use o comando de modo de configuração global line vty e, em seguida, o comando de modo de configuração de linha local de login para exigir autenticação local para conexões SSH do banco de dados de nome de usuário local.

S1(config)# line vty 0 15
S1(config-line)# transport input ssh
S1(config-line)# login local
S1(config-line)# exit

Verifique se o SSH está operacional

Em um PC, um cliente SSH, como PuTTY, é usado para se conectar a um servidor SSH. Por exemplo, suponha que o seguinte esteja configurado:

  • SSH está habilitado no switch S1
  • Interface VLAN 99 (SVI) com endereço IPv4 172.17.99.11 no switch S1
  • PC1 com endereço IPv4 172.17.99.21

A figura mostra as configurações do PuTTy para PC1 para iniciar uma conexão SSH com o endereço SVI VLAN IPv4 de S1.

Configurações do PuTTy SSH

Quando conectado, o usuário é solicitado a fornecer um nome de usuário e uma senha, conforme mostrado no exemplo. Usando a configuração do exemplo anterior, o nome de usuário admin e a senha ccna são inseridos. Depois de inserir a combinação correta, o usuário é conectado via SSH à interface da linha de comando (CLI) no switch Catalyst 2960.

Login as: admin
Using keyboard-interactive
Authentication.
Password:
S1> enable
Password: 
S1#

Para exibir a versão e os dados de configuração para SSH no dispositivo que você configurou como um servidor SSH, use o comando show ip ssh. No exemplo, SSH versão 2 está habilitado.

S1# show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3
To check the SSH connections to the device, use the show ssh command as shown.
S1# show ssh
%No SSHv1 server connections running.
Connection Version Mode Encryption Hmac State Username
0 2.0 IN aes256-cbc hmac-sha1 Session started admin
0 2.0 OUT aes256-cbc hmac-sha1 Session started admin
S1#

Packet Tracer – Configurar SSH

SSH deve substituir Telnet para conexões de gerenciamento. O Telnet usa comunicações de texto simples inseguras. SSH fornece segurança para conexões remotas, fornecendo criptografia forte de todos os dados transmitidos entre os dispositivos. Nesta atividade, você protegerá um switch remoto com criptografia de senha e SSH.

[button url=”https://www.ccna.network/wp-content/uploads/2021/03/1.3.6-pk.zip” target=”self” style=”default” background=”#2fa614″ color=”#FFFFFF” size=”3″ wide=”no” center=”yes” radius=”auto” icon=”” icon_color=”#FFFFFF” text_shadow=”none” desc=”” download=”” onclick=”” rel=”” title=”” id=”” class=””]BAIXE AQUI[/button]