Configurar um switch com definições iniciais parte 2
Acesso remoto seguro
Operação Telnet
Talvez você nem sempre tenha acesso direto ao switch quando precisar configurá-lo. Você precisa ser capaz de acessá-lo remotamente e é imperativo que seu acesso seja seguro. Este tópico aborda como configurar o Secure Shell (SSH) para acesso remoto. Uma atividade Packet Tracer lhe dá a oportunidade de experimentar isso sozinho.
Já o Telnet usa a porta 23. É um protocolo mais antigo que utiliza transmissão não segura de texto sem formatação da autenticação de login (nome de usuário e senha) e dos dados transmitidos entre os dispositivos de comunicação. Um ator ameaçador pode monitorar pacotes usando o Wireshark. Por exemplo, na figura, o ator de ameaça capturou o nome de usuário admin e a senha ccna de uma sessão Telnet.
Operação SSH
Secure Shell (SSH) é um protocolo seguro que usa a porta TCP 22. Ele fornece uma conexão de gerenciamento segura (criptografada) a um dispositivo remoto. O SSH deve substituir o Telnet nas conexões de gerenciamento. O SSH fornece segurança para conexões remotas, fornecendo criptografia forte quando um dispositivo é autenticado (nome de usuário e senha) e também para os dados transmitidos entre os dispositivos que se comunicam.
Por exemplo, a figura mostra uma captura Wireshark de uma sessão SSH. O ator de ameaça pode rastrear a sessão usando o endereço IP do dispositivo administrador. No entanto, ao contrário do Telnet, com SSH o nome de usuário e senha são criptografados.
Verifique se o Switch suporta SSH
Para habilitar o SSH em um switch Catalyst 2960, o switch deve estar usando uma versão do software IOS, incluindo recursos e recursos criptográficos (criptografados). Use o comando show version no switch para ver qual IOS o switch está executando no momento. Um nome de arquivo IOS que inclui a combinação “k9” suporta recursos e recursos criptográficos (criptografados). O exemplo mostra a saída do comando show version.
S1# show version
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 15.0(2)SE7, RELEASE SOFTWARE
(fc1)
Configurar SSH
Antes de configurar o SSH, o switch deve ser minimamente configurado com as definições corretas de um nome de host exclusivo e de conectividade de rede.
Etapa 1
Verificar suporte SSH.
Use o comando show ip ssh para verificar se o switch suporta SSH. Se o switch não estiver executando um IOS que ofereça suporte a recursos criptográficos, esse comando não será reconhecido.
S1# show ip ssh
Etapa 2
Configurar o domínio IP.
Configure o nome de domínio IP da rede usando o comando ip domain-name <domain-name> global configuration mode. Na figura, o valor domain-name é cisco.com
S1(config)# ip domain-name cisco.com
Etapa 3
Gerar pares de chaves RSA.
Nem todas as versões do IOS padrão para SSH versão 2 e SSH versão 1 tem falhas de segurança conhecidas. Para configurar o SSH versão 2, emita o comando do modo de configuração ip ssh version 2 global. Gerar um par de chaves RSA habilita automaticamente o SSH. Use o comando modo de configuração global crypto key generate rsa para habilitar o servidor SSH no switch e gerar um par de chaves RSA. Ao gerar chaves RSA, o administrador é solicitado a inserir um comprimento de módulo. A configuração de amostra na figura usa um tamanho de módulo de 1.024 bits. Um comprimento de módulo mais longo é mais seguro, mas leva mais tempo para gerar e usar.
Observação: Para excluir o par de chaves RSA, use o comando modo de configuração global crypto key zeroize rsa. Depois que o par de chaves RSA é excluído, o servidor SSH é desabilitado automaticamente.
S1(config)# crypto key generate rsa
Quantos bits no módulo [512]: 1024
Etapa 4
Configure a autenticação do usuário.
O servidor SSH pode autenticar usuários localmente ou usando um servidor de autenticação. Para usar o método de autenticação local, crie um par de nome de usuário e senha usando o comando do modo de configuração global username <username> secret <password>. No exemplo, o administrador do usuário recebe a senha ccna.
S1(config)# username admin secret ccna
Etapa 5
Configure as linhas vty.
Ative o protocolo SSH nas linhas vty usando o comando de modo de configuração de transport input ssh linha. O Catalyst 2960 tem linhas vty variando de 0 a 15. Essa configuração impede conexões não-SSH (como Telnet) e limita o switch para aceitar somente conexões SSH. Use o comando modo de configuração global line vty e, em seguida, o comando login local de modo de configuração de linha para exigir autenticação local para conexões SSH do banco de dados de nome de usuário local.
S1(config)# line vty 0 15
S1(config-line)# transport input ssh
S1(config-line)# login local
S1(config-line)# exit
Etapa 6
Ative o SSH versão 2.
Por padrão, o SSH suporta ambas as versões 1 e 2. Ao suportar ambas as versões, isso é mostrado na saída show ip ssh como suportando a versão 2. Ative a versão SSH usando o comando de configuração global ip ssh version 2.
S1(config)# ip ssh version 2
Verifique se o SSH está operacional
Em um PC, um cliente SSH, como PuTTY, é usado para se conectar a um servidor SSH. Por exemplo, suponha que o seguinte esteja configurado:
-
SSH está habilitado no switch S1
-
Interface VLAN 99 (SVI) com endereço IPv4 172.17.99.11 no switch S1
-
PC1 com endereço IPv4 172.17.99.21
A figura mostra as configurações de PuTTy do PC1 para iniciar uma conexão SSH com o endereço SVI VLAN IPv4 de S1.
Quando conectado, o usuário é solicitado a fornecer um nome de usuário e senha, conforme mostrado no exemplo. Usando a configuração do exemplo anterior, o nome de usuário admin e a senha ccna são inseridos. Depois de inserir a combinação correta, o usuário é conectado via SSH à interface de linha de comando (CLI) no switch Catalyst 2960.
Login as: admin
Using keyboard-interactive
Authentication
Password:
S1> enable
Password:
S1#
Para exibir os dados de versão e configuração do SSH no dispositivo que você configurou como um servidor SSH, use o show ip ssh comando No exemplo, SSH versão 2 está habilitado.
S1# show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3
To check the SSH connections to the device, use the show ssh command as shown.
S1# show ssh
%No SSHv1 server connections running.
Connection Version Mode Encryption Hmac State Username
0 2.0 IN aes256-cbc hmac-sha1 Session started admin
0 2.0 OUT aes256-cbc hmac-sha1 Session started admin
Rastreador de pacotes - Configurar SSH
O SSH deve substituir o Telnet nas conexões de gerenciamento. O Telnet usa comunicações inseguras em texto sem formatação. O SSH fornece segurança para conexões remotas, fornecendo uma criptografia forte de todos os dados transmitidos entre os dispositivos. Nesta atividade, você protegerá um switch remoto com criptografia de senha e SSH.
O que eu aprendi neste módulo?
Configurar um switch com configurações iniciais
Depois que um switch Cisco é ligado, ele passa por uma sequência de inicialização em cinco etapas. A variável de ambiente BOOT é definida usando o comando modo de configuração global boot system. O IOS está localizado em uma pasta distinta e o caminho da pasta é especificado. Use os LEDs do switch para monitorar a atividade e o desempenho do switch: SYST, RPS, STAT, DUPX, SPEED e PoE. O carregador de inicialização fornece acesso ao switch se o sistema operacional não puder ser usado devido a arquivos de sistema ausentes ou danificados. O carregador de inicialização tem uma linha de comando que fornece acesso aos arquivos armazenados na memória flash. Para preparar um switch para acesso de gerenciamento remoto, o switch deve ser configurado com um endereço IP e uma máscara de sub-rede. Para gerenciar o switch a partir de uma rede remota, o switch deve ser configurado com um gateway padrão. Para configurar o SVI do switch, você deve primeiro configurar a interface de gerenciamento, depois configurar o gateway padrão e, finalmente, verificar sua configuração.
Configurar portas de switch
A comunicação full-duplex aumenta a largura de banda efetiva, permitindo que ambas as extremidades de uma conexão transmitam e recebam dados simultaneamente. A comunicação semi-duplex é unidirecional. As portas do switch podem ser configuradas manualmente com configurações de duplex e velocidade específicas. Use a negociação automática quando as configurações de velocidade e duplex do dispositivo que se conecta à porta forem desconhecidas ou podem ser alteradas. Quando o auto-MDIX está ativado, a interface detecta automaticamente o tipo de conexão de cabo necessário (direto ou cruzado) e configura a conexão adequadamente. Existem vários comandos show a serem usados ao verificar as configurações do switch. Use o comando show running-config e o comando show interfaces para verificar uma configuração de porta de switch. A saída do comando show interfaces também é útil para detectar problemas comuns de camada de acesso à rede porque exibe o status do protocolo de link de linha e de dados. Os erros de entrada relatados do comando show interfaces incluem: quadros runt, gigantes, erros CRC, juntamente com colisões e colisões tardias. Use show interfaces para determinar se sua rede não tem conexão ou uma conexão incorreta entre um switch e outro dispositivo.
Acesso remoto seguro
O Telnet (usando a porta TCP 23) é um protocolo mais antigo que utiliza transmissão de texto sem segurança da autenticação de login (nome de usuário e senha) e dos dados transmitidos entre os dispositivos de comunicação. O SSH (usando a porta TCP 22) é um protocolo seguro que fornece uma conexão de gerenciamento criptografada a um dispositivo remoto. O SSH fornece segurança para conexões remotas, fornecendo criptografia forte quando um dispositivo é autenticado (nome de usuário e senha) e também para os dados transmitidos entre os dispositivos que se comunicam. Use o comando show version no switch para ver qual IOS o switch está executando no momento. Um nome de arquivo IOS que inclui a combinação “k9” suporta recursos e recursos criptográficos. Para configurar o SSH, você deve verificar se o switch o suporta, configurar o domínio IP, gerar pares de chaves RSA, configurar a autenticação de uso, configurar as linhas VTY e habilitar o SSH versão 2. Para verificar se o SSH está operacional, use o comando show ip ssh para exibir os dados de versão e configuração do SSH no dispositivo.