Como funciona o SSH ?
a) Negociação entre o cliente e servidor quanto à versão de SSH e o tipo de encriptação comum a utilizar;
b) O servidor envia a sua chave pública para o cliente;
c) O cliente recebe a chave pública do servidor e gera um par de chaves de sessão (pública/privada);
d) O cliente envia o par de chaves de sessão encriptado com a chave pública do servidor;
e) O servidor decripta o par de chaves de sessão recorrendo à chave privada que já possui e envia mensagem de confirmação encriptada com a chave de sessão;
f) A partir daqui a comunicação é encriptada com o par de chaves de sessão que é partilhado por ambos;
Configurações do Laboratório:
Router(config): hostname SSH_Server
2) Configurações de rede:
SSH_Server(config): interface ethernet0/0
SSH_Server(config-if): no shutdown
SSH_Server(config-if): ip address 192.168.10.2 255.255.255.0
SSH_Server(config): interface ethernet1/0
SSH_Server(config-if): no shutdown
SSH_Server(config-if): ip address 192.168.100.2 255.255.255.0
SSH_Client2(config): interface ethernet0/0
SSH_Client2(config-if): no shutdown
SSH_Client2(config-if): ip address 192.168.100.1 255.255.255.0
Nota: O "SSH_Client1" é o interface de loopback do computador físico onde está instalado o GNS3 e tem o IP 192.168.10.1/24
3) Atribuir/alterar nome do SSH_Server:
Router(config): hostname SSH_Server
4) Apagar par de chaves que eventualmente existam no servidor (opcional):
SSH_Server(config): crypto key zeroize rsa
5) Criar sufixo (domínio) por forma a ter um FQDN ("Fully Qualified Domain Name"):
SSH_Server(config): ip domain-name cisco.lan
6) Gerar par de chaves pública/privada no servidor:
SSH_Server(config): crypto key generate rsa general-keys modulus 1024
Nota: "1024" refere-se ao tamanho da chave em bits
7) Criar utilizador local e respectiva senha:
SSH_Server(config): username cisco privilege 15 secret cisco
Nota: Pretende-se criar um usuário com privilégios totais de acesso, daí o "privilege 15", sendo que a senha fica armazenada no próprio router mas encriptada por forma a não ser possível vê-la no ficheiro de configuração, daí o comando "secret", seguido da senha.
8) Configurar o acesso ao "SSH_Server":
SSH_Server(config): line vty 0 4
SSH_Server(config-line): login local
SSH_Server(config-line): transport input ssh
SSH_Server(config-line): exit
Nota: O comando "login" significa que o acesso às linhas VTY exige sempre senha e o "local", que esta está armazenada no próprio Router. O comando "transport input ssh", significa que a única forma de acesso autorizada é por ssh, não sendo por exemplo possível entrar por telnet.
9) Garantir que a versão de SSH é a "2", reduzir o número de tentativas para 3 e o time-out para 5 segundos, antes de fechar a sessão:
SSH_Server(config): ip ssh version 2
SSH_Server(config): ip ssh authentication-retries 3
SSH_Server(config): ip ssh time-out 5
10) Testar o acesso a partir do "SSH_Client1", recorrendo ao aplicativo "Putty":
a) Inserir o IP do servidor de SSH (192.168.10.2) e a porta (22):
c) O Servidor pede as credenciais de acesso que são o "username" e "password" definidas no passo 7:
d) Verificar quem está logado, recorrendo ao comando "who", depois de se ter estabelecido uma sessão:
e) Verificar aspectos relacionados com o protocolo SSH, recorrendo aos comandos "show ip ssh" e "show ssh":
11) Testar o acesso a partir do "SSH_Client2", pelo CLI:
Nota: Os comandos utilizados foram:
SSH_Server ssh -l cisco 192.168.100.2
em que: "cisco" é o username e "192.168.100.2" é o IP do servidor
12) Verificar quais as portas abertas no "SSH_Server":
SSH_Server# show control-plane host open-ports
(Dependendo do modelo do Router e versão do IOS, este comando poderá não existir)
Sem comentários:
Enviar um comentário