Configurando o SSH em Cisco

Configurando o SSH em Cisco




Aprenda a configurar o SSH server em roteadores Cisco, eliminando assim as vulnerabilidades e desvantagens do protocolo Telnet.


Título: Configurando o SSH em roteadores Cisco
Público-alvo: Avançado
Objetivos:
• Descrever o SSH server e client do Cisco IOS
• Configuração do SSH server no Cisco IOS
• Pré-requisitos: Authentication, Authorization and Accounting (AAA)

Neste artigo estaremos mostrando um esquema que visa a substituição do protocolo Telnet pelo SSH, onde você usufruirá de maior segurança quando efetuando as conexões para os seus roteadores Cisco.
Secure Shell (SSH)
O SSH representa ambos aplicação e protocolo, e trabalha de forma similar às ferramentas "r" Berkeley, como por exemplo o rsh e rexec. Atualmente existem duas versões do SSH: SSHv1 e SSHv2, sendo que os roteadores Cisco somente suportam - pásmem! - a versão SSHv1. O SSH, conforme será mostrado neste artigo, oferece um serviço de criptografia para as sessões entre os usuários/administradores e roteadores. No sentido mais prático possível, o SSH funcionará de forma similar ao Telnet, sendo a única diferença a criptografia da conexão. Todos nós sabemos que o Telnet não é recomendado em situações onde a segurança das senhas pode ser comprometida, devido ao fato que o telnet envia as senhas em formato "clear text" através da rede, o que pode ser facilmente capturado por terceiros, através de ferramentas "sniffer" (CA Sniffer, Ethereal, etc).
O SSH do Cisco IOS é integrado com as formas de autenticação RADIUS ou TACACS+, e suporta Data Encryption Standard (DES), Triple DES (3DES), além da autenticação de senhas configuradas localmente no roteador.
Restrições para o uso do SSH em roteadores Cisco
• Autenticação RSA disponível nos clientes SSH não é suportado pelo SSH server do Cisco IOS.
• O SSH server e client são suportados para os versões IOS com suporte a DES (56-bit) e 3DES (168-bit). Em imagens DES, somente a o algorítimo de criptografia DES é suportado. No 3DES, ambos são suportados (DES e 3DES).
• Acesso ao shell (do roteador) é a única aplicação suportada pelo SSH em Cisco IOS.
Pré-requisitos
O SSH em roteadores Cisco só estará disponível conforme as seguintes condições:
• SSH Server: Cisco IOS com IPSec (DES or 3DES) encryption software. Por exemplo, Cisco IOS Release 12.1(1)T.
• SSH Client: Exige o mesmo, mas somente disponível em versões específicas do Cisco IOS, como o Cisco IOS Release 12.1(3)T. Consulte o site da Cisco para obter a lista de hardware e IOS suportados.
• Configurar um hostname e um host domain para o seu roteador.
Exemplo:
RouterA(config)# hostname RouterA
RouterA(config)# ip domain-name ciscotrainingbr.com
• Gerar um par de chaves RSA, o que habilita o SSH automaticamente. Use o comando "crypto key zeroize rsa" para remover a chave (e desabilitar o SSH).
Exemplo:
RouterA(config)# crypto key generate rsa
• Configurar a autenticação local ou remota para os usuários. Para a autenticação remota, consulte os artigos "Authentication, Authorization and Accounting (AAA)" e "Configurando o Cisco AAA e TACACS+ server para Linux"
Configurando o servidor SSH
A seguinte lista de tarefas permitirá a configuração do servidor SSH em um roteador Cisco.
RouterA(config)# ip ssh {[timeout seconds] | [authentication-retries integer]}
O padrão para "timeout" é de 120 segundos e, para o "authentication-retries", o roteador concederá três tentativas para uma determinada conexão.
Verificando a configuração do SSH
Os seguintes comandos poderão ser utilizados: show ip ssh e show ssh.
Troubleshooting
Caso você tenha algum problema com a configuração do SSH, verifique o seguinte:
• Hostname
• Domain name
• Se o número de conexões SSH não está excedendo o número de VTY's configurados no roteador
• Se o AAA está configurado corretamente (autenticação local? remota?)
Exemplo de configuração do SSH em um roteador CiscoTrainingBR.com 2501!
Demonstraremos a configuração em nosso próprio roteador. Check it out.
• Roteador: Cisco 2501 (1 Ethernet, 2 Seriais)
• RAM: 16Mb
• Flash: 16Mb
• IOS: IOS (tm) 2500 Software (C2500-IK8OS-L), Version 12.2(13a), RELEASE SOFTWARE (fc2)
Configuração do hostname e domain name
Router-C#config t
Enter configuration commands, one per line. End with CNTL/Z.
Router-C(config)#hostname Router-C
Router-C(config)#ip domain-name ciscotrainingbr.com
Configuração do AAA
Router-C(config)#aaa new-model
Router-C(config)#aaa authentication login default tacacs+
Router-C(config)#aaa authentication login aaa2501 none
Configuração das senhas locais (enable secret e usuário "ciscostudent")
Router-C(config)#enable secret suasenhaenable
Router-C(config)#username ciscostudent password 0 welcome
Gerar o RSA keys
Router-C(config)#crypto key generate rsa
The name for the keys will be: Router-C.ciscotrainingbr.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

How many bits in the modulus [512]:
Generating RSA keys ...
[OK]

Router-C(config)#
00:16:48: %SSH-5-ENABLED: SSH 1.5 has been enabled
Configurar o TACACS+ server e LINE CON 0 (para a autenticação "none")
Router-C(config)#tacacs-server host 192.168.168.1
Router-C(config)#tacacs-server key chavedotacacs
Router-C(config)#line con 0
Router-C(config-line)#login authentication aaa2501


Checar a configuração do SSH
Router-C#show ip ssh
SSH Enabled - version 1.5
Authentication timeout: 60 secs; Authentication retries: 3
Router-C#show ssh
%No SSH server connections running. | (nenhuma conexão neste momento..)
Efetuando a conexão com o roteador
Agora faremos a conexão com o roteador para garantirmos que tudo está funcionando a contento. Estaremos utilizando o SSH do Linux Red Hat 9, mas poderíamos utilizar qualquer SSH client.
[ciscostudent@portal-srv ciscostudent]$ ssh ciscostudent@172.16.4.200
The authenticity of host '172.16.4.200 (172.16.4.200)' can't be established.
RSA1 key fingerprint is dc:3c:92:32:cd:de:41:42:a8:6b:a4:cd:95:4f:7a:4c.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '172.16.4.200' (RSA1) to the list of known hosts.

Como esta foi a primeira vez em que acessamos o roteador via SSH, através de nossa estação Linux, o SSH adicionou o host '172.16.4.200' dentro da lista de known hosts do usuário 'ciscostudent'. Vejamos em nosso Linux....
[ciscostudent@portal-srv ciscostudent]$ cat /home/ciscostudent/.ssh/known_hosts
172.16.4.200 512 65537 11616836816767729016827536472230977880419133976155067349745208874904889522075790683503654190403483998651183547282996069171702854789813640733594466012924579
Mas ainda assim temos um problema. Veja o que acontece quando tentamos efetuar o SSH para o roteador:
[ciscostudent@portal-srv ciscostudent]$ ssh ciscostudent@172.16.4.200
Selected cipher type not supported by server.
É preciso especificar o cipher type para que a autenticação seja possível. Faremos isto com o comando:
[ciscostudent@portal-srv ciscostudent]$ ssh -c DES -l ciscostudent 172.16.4.200
Warning: use of DES is strongly discouraged due to cryptographic weaknesses
ciscostudent@172.16.4.200's password:

Router-C>enable
Password:
Router-C#
Infelizmente o "3DES" não está disponível em nossa versão Cisco IOS, do contrário, escolheríamos o 3DES com toda a certeza.
De dentro do roteador Cisco podemos executar os comandos para monitorar as sessões SSH.
Router-C#show ssh
Connection Version Encryption State Username
0 1 1.5 DES Session started ciscostudent
Exemplo de configuração do SSH em um roteador CiscoTrainingBR.com 7500!
Demonstraremos a configuração em nosso próprio roteador. Após gerarmos a chave RSA (crypto key generate rsa)...
aaa new-model
aaa authentication login default tacacs+
aaa authentication login aaa7500 none
enable secret suasenhaenable
username ciscostudent password 0 welcome
ip domain-name ciscotrainingbr.com
ip ssh time-out 60
ip ssh authentication-retries 5
tacacs-server host 192.168.168.1
tacacs-server key chavedotacacs
line con 0
exec-timeout 0 0
login authentication aaa7500