a segurança continua a dominar a indústria de TI e é um dos fatores mais importantes a considerar ao projetar e implantar redes.
é, portanto, imperativo que sejamos capazes de determinar e prevenir a maioria, se não todas, vulnerabilidades que possam existir. Uma dessas fraquezas é o Telnet, ao qual o SSH é a alternativa.
hoje vamos dar uma olhada mais profunda em como você pode ativar e configurar seu roteador Cisco para usar SSH e por que devemos sempre usar SSH sempre que possível, em vez de usar Telnet.,
Todos sabemos que quando se trata de segurança dentro do universo de rede, Cisco é um dos maiores jogadores. No entanto, ter um dispositivo da Cisco não significa que esteja seguro. O ónus é seu para garantir que você configurou esse dispositivo corretamente para evitar a maioria, se não todos, lacunas.
por que usar o shell seguro (SSH)?
Secure Shell (SSH) melhora a segurança da rede, fornecendo um meio de estabelecer conexões seguras aos dispositivos de rede para a gestão, impedindo assim os hackers de terem acesso.,
usando certificados digitais, em uma criptografia de chave pública/privada, o SSH é capaz de autenticar clientes ou servidores que garantem que o dispositivo ou servidor a quem você está prestes a se conectar é exatamente quem eles afirmam ser.
Ok, então agora que temos uma idéia muito breve de como o SSH assegura o tráfego de rede, o próximo passo é descobrir onde obter essa coisa que chamamos de certificado digital. Temos de ir a uma loja comprá-lo?Os Certificados Digitais podem ser adquiridos de três formas diferentes., O mais seguro (e caro) é solicitá – lo de uma empresa confiável chamada de autoridades de CA-Certificate. Um exemplo de uma dessas empresas é a VeriSign,que é altamente popular na indústria da CA por seu papel no fornecimento de certificados confiáveis em todo o mundo; esses certificados podem, no entanto, custar um pouco.
Existem duas outras formas de solicitar um certificado. Uma é usando uma AC internamente confiável (confiável dentro de uma empresa) também chamada de AC enterprise ou gerando um certificado de autossign no próprio dispositivo., A última é a forma menos segura, mas fornece segurança mais do que suficiente para bloquear seu dispositivo de rede comum. Este certificado auto-assinado pode ser gerado usando os comandos incorporados no seu router da Cisco.e o Telnet?
tal como o SSH, o Telnet também pode ser usado para se ligar ao seu router, mas a principal desvantagem de usar o Telnet é que ele não encripta as suas ligações., Isso significa que se um hacker é capaz de capturar pacotes de uma sessão Telnet, ele ou ela seria capaz de ver informações contidas nesses pacotes, como o nome de usuário e senha de um cliente, portanto, obter acesso ao seu roteador.
O diagrama abaixo dá-lhe uma ideia de como isto funciona.
SSH Configuração do Roteador
Agora que temos uma compreensão de como o SSH funciona e porque devemos usá-lo ao invés do Telnet, o próximo passo é, na verdade, começar a configurar o dispositivo, que é sempre a minha parte favorita.,
para este exercício, vou usar um router Soho da série Cisco 871 com iOS ver. 12.4 software. Dependendo se o seu router é novo ou atualmente em um ambiente de produção, você terá que se conectar através de uma sessão de consola ou através de uma sessão de Telnet.
dê uma vista de olhos no meu artigo sobre a configuração de um router da Cisco para usar o raio de autenticação para os passos necessários para se ligar através de uma sessão de consola ou poderá verificar este artigo na página web da Cisco.
Aqui estão os passos:
1. Configura um nome de máquina para o router com estes comandos.,
yourname#configure terminal
Enter comandos de configuração, Um por linha. End with CNTL / Z.
yourname(config)#hostname LabRouter
LabRouter (config)#
2. Configura um nome de domínio com o comando de nome de domínio ip seguido do que desejar que o seu nome de domínio seja. Eu usei CiscoLab.com.
LabRouter(config)#ip domain-name CiscoLab.com
3. Nós geramos um certificado que será usado para encriptar os pacotes SSH usando a chave crypto gerar o comando rsa.,
Tome nota da mensagem que é exibida logo após digitar esse comando: “O nome para o chaves vai ser: LabRouter.CiscoLab.com” — ele combina o nome do host do roteador, juntamente com o nome de domínio de nós configurado para obter o nome da chave de criptografia gerada; é por isso que foi importante para nós, em primeiro lugar, configurar um nome de host, em seguida, um nome de domínio antes que gerou as chaves.
Notice also that it asks us to choose a size of modulus for the key we’re about to generate. Quanto maior o módulo, mais forte é a encriptação da chave., Por exemplo, usaremos um módulo de 1024.
4. Agora que geramos a chave, nosso próximo passo seria configurar nossas linhas vty para o acesso SSH e especificar qual banco de dados que vamos usar para fornecer autenticação ao dispositivo. A base de dados local no router fará muito bem para este exemplo.
LabRouter(config)#line vty 0 4
LabRouter(config-line)#login local
LabRouter(config-line)#de transporte de entrada ssh
5., Você precisará criar uma conta no banco de dados do roteador local para ser usado para autenticar o dispositivo. Isto pode ser conseguido com estes comandos.
LabRouter(config)#username XXXX privilégio 15 secreta XXXX
Ajuste de Configuração do SSH
Temos praticamente concluído todas as etapas necessárias para configurar e usar o SSH no seu roteador; no entanto, existem algumas outras configurações que podem ser feitas para proteger ainda mais o seu dispositivo.,
para começar, eu recomendaria muito que você possibilitasse um intervalo de exec no seu roteador para evitar que qualquer pessoa de ganhar acesso ao dispositivo, nos casos em que você se esqueceu de sair ou se distraiu por causa de uma emergência. Desta forma, o router irá automaticamente fazer o log-out após a sessão ter estado parada por um tempo definido.
Você deve configurar este comando na interface de linha como descrito abaixo.,
LabRouter(config)#line vty 0 4
LabRouter(config-line)# exec-timeout 5
Isto significa que, se a sessão esteve inativo por 5 minutos, o roteador irá automaticamente desconectar a sessão.
Use Access Control Lists (ACL) como uma camada adicional de segurança; isso irá garantir que apenas dispositivos com determinado endereço IP são capazes de se conectar ao roteador.
portanto, digamos que a sub-rede IP para a sua LAN é 192.168.100.0 / 24, você criaria um acl para permitir apenas o tráfego a partir dessa sub-rede e aplicar este acl às linhas vty.,
dica Final: activar o SSH2
outro ponto crucial a ser notado é o uso do SSH2 em vez de usar o SSH1. O SSH2 melhora muitas das fraquezas que existiam no SSH1 e, por esta razão, recomendo sempre que possível o uso do SSH2.
Ativar o SSH versão 2, com este comando:
LabRouter(config)#line vty 0 4
LabRouter(config)#ip ssh versopn 2
leitura Detalhada sobre o SSH pode ser feito em RFC 4251