Como sabemos os switches e roteadores Cisco permitem a conexão Telnet para outros dispositivos, pois são clientes Telnet. Ou seja, de um switch podemos acessar outro equipamento que seja um servidor Telnet. O mesmo se aplica ao SSH.
Para usar esta funcionalidade (Telnet/SSH Client), basta entrar na line vty do equipamento de onde a conexão se originará e utilizar o comando transport output. Com ele podemos especificar o tipo de conexão que será permitida sair do equipamento(Telnet, SSH).
Por padrão os equipamentos vem com o Telnet liberado.
Exemplo: Liberando SSH originado no switch/roteador
BrainGW01#conf t
Enter configuration commands, one per line. End with CNTL/Z.
BrainGW01(config)#line vty 0 4
BrainGW01(config-line)#transport output ssh
BrainGW01(config-line)#end
BrainGW01#
Também é possível bloquear as conexões Telnet e SSH originadas no equipamento. Para isso bastar usar a opção none.
Exemplo: Bloqueando conexões Telnet e SSH originadas em um switch
BrainGW01#conf t
Enter configuration commands, one per line. End with CNTL/Z.
BrainGW01(config)#line vty 0 4
BrainGW01(config-line)#transport output none
BrainGW01(config-line)#end
BrainGW01#
Output none
Com o comando transport output none configurado, caso alguém tente realizar um Telnet ou SSH para outro dispositivo o equipamento gerará a seguinte mensagem:
Unable to Telnet to other devices, and the %telnet connections not permitted from this terminal
Até a próxima.
O Secure Shell – SSH, é um protocolo que permite o acesso seguro aos equipamentos.
O SSH cria um canal criptografado entre o client e server, permitindo comunicação segura, mesmo em um meio inseguro (como a Internet, por exemplo). Para isso o SSH faz a autenticação do usuário e cria uma chave para a sessão. Quando o client conecta pela primeira vez a um determinado server (servidor linux, roteador ou switch, entre outros) o SSH cria uma chave que será o “fingerprint” para aquele server e pergunta se você deseja aceitá-la. Esta chave fica armazenada na base de dados local do client.
Atualmente podemos usar a versão 1 ou 2, devendo sempre optar pela versão 2, quando possível, pois ele possui algoritmo de criptografia foi melhorado.
Exemplo de configuração: Habilitando SSH em roteadores Cisco
BrainRT01#conf t
BrainRT01(config)#aaa new model
BrainRT01(config)#username admin secret brainwork
BrainRT01(config)#ip domain-name brainwork.com.br
BrainRT01(config)#crypto key generate rsa modulus 1024
The name for the keys will be: BrainRT01.brainwork.com.br
% The key modulus size is 1024 bits
Generating RSA keys …
[OK]
BrainRT01(config)#ip ssh time-out 60
BrainRT01(config)#ip ssh version 2
BrainRT01(config)#ip ssh authentication-retries 3
BrainRT01(config)#ip ssh version 2
BrainRT01(config)#line vty 0 15
BrainRT01(config-line)#transport input ssh
BrainRT01(config-line)#end
BrainRT01#wr
Para verificar o funcionamento do SSH podemos utilizar o comando debug ip ssh e os shows abaixo:
BrainRT01#sh ip ssh
SSH Enabled – version 2.0
Authentication timeout: 120 secs; Authentication retries: 3
Minimum expected Diffie Hellman key size : 1024 bits
BrainRT01#show ssh
Connection Version Encryption State Username
0 1.5 3DES Keys exchanged admin
1 1.5 3DES Session started andreo
Connection Version Mode Encryption Hmac State Username
3 2.0 IN aes256-cbc hmac-sha1 Session started andreo
3 2.0 OUT aes256-cbc hmac-sha1 Session started andreo
BrainRT01#
Desde a versão 12.1(19)E alguns IOSs já suportam a versão 2, mas para saber seu seu software suporta o SSH v2 utilize o Cisco Software Advisor (é preciso ter CCO no site da Cisco).
Até a próxima.
O SSH (Secure Shell) é um protocolo desenvolvido como alternativa ao Telnet e outros utilitários de conexão remota conhecidos como Berkeley R Utilities (rlogin, rsh, rcp e rdist), todos considerados métodos de acesso remoto não seguro.
O SSH cria um canal criptografado entre o client e server, permitindo comunicação segura, mesmo em um meio inseguro (como a Internet, por exemplo). Para isso o SSH faz a autenticação do usuário e cria uma chave para a sessão. Quando o client conecta pela primeira vez a um determinado server (servidor linux, roteador ou switch, entre outros) o SSH cria uma chave que será o “fingerprint” para aquele server e pergunta se você deseja aceitá-la. Esta chave fica armazenada na base de dados local do client.
Atualmente temos duas versões do SSH: SSH1 e SSH2.
O SSH2 conta com várias vantagens em relação a versão anterior, onde podemos destacar a maior segurança e velocidade para criptografia, e suporte a diferentes tipos de algoritmos de chaves públicas.
Para ativar o SSHv2 em switches Cisco, basta seguir o exemplo abaixo:
BrainworkSW01#conf t
BrainworkSW01(config)#ip domain-name brainwork.com.br
BrainworkSW01(config)#crypto key generate rsa modulus 1024
The name for the keys will be: BrainworkSW01.brainwork.com.br
% The key modulus size is 1024 bits
Generating RSA keys …
[OK]
BrainworkSW01(config)#ip ssh time-out 60
BrainworkSW01(config)#ip ssh version 2
BrainworkSW01(config)#ip ssh authentication-retries 3
BrainworkSW01(config)#line vty 0 15
BrainworkSW01(config-line)#transport input telnet ssh
BrainworkSW01(config-line)#end
BrainworkSW01#wr
Para excluir a chave criada:
BrainworkSW01#conf t
BrainworkSW01(config)#crypto key zeroize rsa
% Keys to be removed are BrainworkSW01.brainwork.com.br.
Do you really want to remove these keys? [yes/no]: yes
BrainworkSW01#
Os seguintes switches não suportam SSH: Catalyst 1900, 2900 XL, 3500 XL, 2800, 2948G-L3, 4840G-L3 and 4908G-L3.
Até a próxima.
(4) Comentários 
