SSH (Secure Shell)

Console Port Security

• Por PADRÃO, nenhuma senha é necessária para acessar a CLI de um DISPOSITIVO CISCO IOS por meio da PORTA DO CONSOLE

• Você pode CONFIGURAR uma SENHA na linha do console

  • Um USUÁRIO terá que digitar uma SENHA para ACESSAR a CLI via PORTA DO CONSOLE

line console 0
password cisco
login
end
exit

• Como alternativa, você pode configurar a LINHA DO CONSOLE para exigir que os USUÁRIOS façam LOGIN usando um dos NOMES DE USUÁRIO configurados no DISPOSITIVO

username savitar secret cisco
line console 0
login local

Layer 2 Switch - Management IP

• SWITCHES DE CAMADA 2 não realizam ROTEAMENTO DE PACOTES e criam uma TABELA DE ROTEAMENTO. Eles NÃO estão cientes de ROTEAMENTO DE IP

• No entanto, você PODE atribuir um ENDEREÇO ​​IP a um SVI para permitir CONEXÕES REMOTAS à CLI do SWITCH (usando Telnet ou SSH)

interface vlan 1
ip address 192.168.1.253 255.255.255.0
no shutdown
exit

ip default-gateway 192.168.1.254

Telnet

• TELNET (Teletype Network) é um PROTOCOLO usado para ACESSAR REMOTAMENTE a CLI de um HOST REMOTO

• O TELNET foi desenvolvido em 1969

• O TELNET foi amplamente SUBSTITUÍDO pelo SSH, que é MAIS Seguro

• TELNET envia dados em TEXTO SIMPLES. SEM CRIPTOGRAFIA

enable secret cisco
username savitar secret cisco
line vty 0 15
login local
transport input telnet #Permitir apenas conexões Telnet nas linhas VTY

Telnet Connect

telnet 192.168.1.253

SSH

• O SSH (Secure Shell) foi desenvolvido em 1995 para SUBSTITUIR PROTOCOLOS MENOS SEGUROS, como TELNET

• SSHv2, uma revisão importante do SSHv1, foi lançado em 2006

• Se um DISPOSITIVO suporta v1 e v2, diz-se que ele executa a 'versão 1.99'

• Fornece recursos de SEGURANÇA; como CRIPTOGRAFIA DE DADOS e AUTENTICAÇÃO

Verifique o suporte SSH

show version # Se aparecer K9 na versão do IOS, significa que suporta o SSH
show ip version

• Configuração de um nome de domínio (hostname) e domínio DNS

conf t
hostname SW2
ip domanin name exemplo.com

• Gerar as chaves RSA

crypto key generate rsa modulus 2048

• Ativar o SSH nas linhas VTY

line vty 0 4
transport input ssh #Aceitar apenas conexões SSH
login local

• Configurar um nome de usuário e senha

username admin privilege 15 secret senhaSegura

• Configurar o modo de autenticação para SSH

ip ssh version 2 #Usar a versão 2 do SSH, é mais segura que

Habilitar o acesso à interface de gerenciamento (opcional)

interface vlan 1
ip address 192.168.1.253 255.255.255.0
no shutdown
exit

ip default-gateway 192.168.1.254

Após configurar o SSH, você pode verificar se a configuração foi bem-sucedida usando os seguintes comandos

• Verificar as chaves criptográficas

show crypto key mypubkey rsa

• Verificar as configurações de SSH

show ip ssh

• Verificar as linhas VTY

show running-config | section line vty

• Testar a Conexão SSH

ssh admin@192.168.1.10

Security Configuration Guide, Cisco IOS XE Cupertino 17.9.x (Catalyst 9300 Switches) - Configuring Secure Shell [Support]Cisco

cisco-password-crackingPuckieStyle