Configurar um switch com definições iniciais parte 2

Acesso remoto seguro

Operação Telnet

Talvez você nem sempre tenha acesso direto ao switch quando precisar configurá-lo. Você precisa ser capaz de acessá-lo remotamente e é imperativo que seu acesso seja seguro. Este tópico aborda como configurar o Secure Shell (SSH) para acesso remoto. Uma atividade Packet Tracer lhe dá a oportunidade de experimentar isso sozinho.

Já o Telnet usa a porta 23. É um protocolo mais antigo que utiliza transmissão não segura de texto sem formatação da autenticação de login (nome de usuário e senha) e dos dados transmitidos entre os dispositivos de comunicação. Um ator ameaçador pode monitorar pacotes usando o Wireshark. Por exemplo, na figura, o ator de ameaça capturou o nome de usuário admin e a senha ccna de uma sessão Telnet.

Operação SSH

Secure Shell (SSH) é um protocolo seguro que usa a porta TCP 22. Ele fornece uma conexão de gerenciamento segura (criptografada) a um dispositivo remoto. O SSH deve substituir o Telnet nas conexões de gerenciamento. O SSH fornece segurança para conexões remotas, fornecendo criptografia forte quando um dispositivo é autenticado (nome de usuário e senha) e também para os dados transmitidos entre os dispositivos que se comunicam.

Por exemplo, a figura mostra uma captura Wireshark de uma sessão SSH. O ator de ameaça pode rastrear a sessão usando o endereço IP do dispositivo administrador. No entanto, ao contrário do Telnet, com SSH o nome de usuário e senha são criptografados.

Verifique se o Switch suporta SSH

Para habilitar o SSH em um switch Catalyst 2960, o switch deve estar usando uma versão do software IOS, incluindo recursos e recursos criptográficos (criptografados). Use o comando show version no switch para ver qual IOS o switch está executando no momento. Um nome de arquivo IOS que inclui a combinação “k9” suporta recursos e recursos criptográficos (criptografados). O exemplo mostra a saída do comando show version.

S1# show version

Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 15.0(2)SE7, RELEASE SOFTWARE

(fc1)

Configurar SSH

Antes de configurar o SSH, o switch deve ser minimamente configurado com as definições corretas de um nome de host exclusivo e de conectividade de rede.

Etapa 1

Verificar suporte SSH.

Use o comando show ip ssh para verificar se o switch suporta SSH. Se o switch não estiver executando um IOS que ofereça suporte a recursos criptográficos, esse comando não será reconhecido.

S1# show ip ssh

Etapa 2

Configurar o domínio IP.

Configure o nome de domínio IP da rede usando o comando ip domain-name <domain-name> global configuration mode. Na figura, o valor domain-name é cisco.com

S1(config)# ip domain-name cisco.com

Etapa 3

Gerar pares de chaves RSA.

Nem todas as versões do IOS padrão para SSH versão 2 e SSH versão 1 tem falhas de segurança conhecidas. Para configurar o SSH versão 2, emita o comando do modo de configuração ip ssh version 2 global. Gerar um par de chaves RSA habilita automaticamente o SSH. Use o comando modo de configuração global crypto key generate rsa para habilitar o servidor SSH no switch e gerar um par de chaves RSA. Ao gerar chaves RSA, o administrador é solicitado a inserir um comprimento de módulo. A configuração de amostra na figura usa um tamanho de módulo de 1.024 bits. Um comprimento de módulo mais longo é mais seguro, mas leva mais tempo para gerar e usar.

Observação: Para excluir o par de chaves RSA, use o comando modo de configuração global crypto key zeroize rsa. Depois que o par de chaves RSA é excluído, o servidor SSH é desabilitado automaticamente.

S1(config)# crypto key generate rsa

Quantos bits no módulo [512]: 1024

Etapa 4

Configure a autenticação do usuário.

O servidor SSH pode autenticar usuários localmente ou usando um servidor de autenticação. Para usar o método de autenticação local, crie um par de nome de usuário e senha usando o comando do modo de configuração global username <username> secret <password>. No exemplo, o administrador do usuário recebe a senha ccna.

S1(config)# username admin secret ccna

Etapa 5

Configure as linhas vty.

Ative o protocolo SSH nas linhas vty usando o comando de modo de configuração de transport input ssh linha. O Catalyst 2960 tem linhas vty variando de 0 a 15. Essa configuração impede conexões não-SSH (como Telnet) e limita o switch para aceitar somente conexões SSH. Use o comando modo de configuração global line vty e, em seguida, o comando login local de modo de configuração de linha para exigir autenticação local para conexões SSH do banco de dados de nome de usuário local.

S1(config)# line vty 0 15

S1(config-line)# transport input ssh

S1(config-line)# login local

S1(config-line)# exit

Etapa 6

Ative o SSH versão 2.

Por padrão, o SSH suporta ambas as versões 1 e 2. Ao suportar ambas as versões, isso é mostrado na saída show ip ssh como suportando a versão 2. Ative a versão SSH usando o comando de configuração global ip ssh version 2.

S1(config)# ip ssh version 2

Verifique se o SSH está operacional

Em um PC, um cliente SSH, como PuTTY, é usado para se conectar a um servidor SSH. Por exemplo, suponha que o seguinte esteja configurado:

SSH está habilitado no switch S1
Interface VLAN 99 (SVI) com endereço IPv4 172.17.99.11 no switch S1
PC1 com endereço IPv4 172.17.99.21

A figura mostra as configurações de PuTTy do PC1 para iniciar uma conexão SSH com o endereço SVI VLAN IPv4 de S1.

Quando conectado, o usuário é solicitado a fornecer um nome de usuário e senha, conforme mostrado no exemplo. Usando a configuração do exemplo anterior, o nome de usuário admin e a senha ccna são inseridos. Depois de inserir a combinação correta, o usuário é conectado via SSH à interface de linha de comando (CLI) no switch Catalyst 2960.

Login as: admin

Using keyboard-interactive

Authentication

Password:

S1> enable

Password:

S1#

Para exibir os dados de versão e configuração do SSH no dispositivo que você configurou como um servidor SSH, use o show ip ssh comando No exemplo, SSH versão 2 está habilitado.

S1# show ip ssh

SSH Enabled - version 2.0

Authentication timeout: 120 secs; Authentication retries: 3

To check the SSH connections to the device, use the show ssh command as shown.

S1# show ssh

%No SSHv1 server connections running.

Connection Version Mode Encryption Hmac State Username

0 2.0 IN aes256-cbc hmac-sha1 Session started admin

0 2.0 OUT aes256-cbc hmac-sha1 Session started admin

Rastreador de pacotes - Configurar SSH

O SSH deve substituir o Telnet nas conexões de gerenciamento. O Telnet usa comunicações inseguras em texto sem formatação. O SSH fornece segurança para conexões remotas, fornecendo uma criptografia forte de todos os dados transmitidos entre os dispositivos. Nesta atividade, você protegerá um switch remoto com criptografia de senha e SSH.

O que eu aprendi neste módulo?

Configurar um switch com configurações iniciais

Depois que um switch Cisco é ligado, ele passa por uma sequência de inicialização em cinco etapas. A variável de ambiente BOOT é definida usando o comando modo de configuração global boot system. O IOS está localizado em uma pasta distinta e o caminho da pasta é especificado. Use os LEDs do switch para monitorar a atividade e o desempenho do switch: SYST, RPS, STAT, DUPX, SPEED e PoE. O carregador de inicialização fornece acesso ao switch se o sistema operacional não puder ser usado devido a arquivos de sistema ausentes ou danificados. O carregador de inicialização tem uma linha de comando que fornece acesso aos arquivos armazenados na memória flash. Para preparar um switch para acesso de gerenciamento remoto, o switch deve ser configurado com um endereço IP e uma máscara de sub-rede. Para gerenciar o switch a partir de uma rede remota, o switch deve ser configurado com um gateway padrão. Para configurar o SVI do switch, você deve primeiro configurar a interface de gerenciamento, depois configurar o gateway padrão e, finalmente, verificar sua configuração.

Configurar portas de switch

A comunicação full-duplex aumenta a largura de banda efetiva, permitindo que ambas as extremidades de uma conexão transmitam e recebam dados simultaneamente. A comunicação semi-duplex é unidirecional. As portas do switch podem ser configuradas manualmente com configurações de duplex e velocidade específicas. Use a negociação automática quando as configurações de velocidade e duplex do dispositivo que se conecta à porta forem desconhecidas ou podem ser alteradas. Quando o auto-MDIX está ativado, a interface detecta automaticamente o tipo de conexão de cabo necessário (direto ou cruzado) e configura a conexão adequadamente. Existem vários comandos show a serem usados ao verificar as configurações do switch. Use o comando show running-config e o comando show interfaces para verificar uma configuração de porta de switch. A saída do comando show interfaces também é útil para detectar problemas comuns de camada de acesso à rede porque exibe o status do protocolo de link de linha e de dados. Os erros de entrada relatados do comando show interfaces incluem: quadros runt, gigantes, erros CRC, juntamente com colisões e colisões tardias. Use show interfaces para determinar se sua rede não tem conexão ou uma conexão incorreta entre um switch e outro dispositivo.

Acesso remoto seguro

O Telnet (usando a porta TCP 23) é um protocolo mais antigo que utiliza transmissão de texto sem segurança da autenticação de login (nome de usuário e senha) e dos dados transmitidos entre os dispositivos de comunicação. O SSH (usando a porta TCP 22) é um protocolo seguro que fornece uma conexão de gerenciamento criptografada a um dispositivo remoto. O SSH fornece segurança para conexões remotas, fornecendo criptografia forte quando um dispositivo é autenticado (nome de usuário e senha) e também para os dados transmitidos entre os dispositivos que se comunicam. Use o comando show version no switch para ver qual IOS o switch está executando no momento. Um nome de arquivo IOS que inclui a combinação “k9” suporta recursos e recursos criptográficos. Para configurar o SSH, você deve verificar se o switch o suporta, configurar o domínio IP, gerar pares de chaves RSA, configurar a autenticação de uso, configurar as linhas VTY e habilitar o SSH versão 2. Para verificar se o SSH está operacional, use o comando show ip ssh para exibir os dados de versão e configuração do SSH no dispositivo.

Download do executável

Configurar um switch com definições iniciais parte 2

​

Configurar SSH

​

Antes de configurar o SSH, o switch deve ser minimamente configurado com as definições corretas de um nome de host exclusivo e de conectividade de rede.

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

​

Login as: admin

Using keyboard-interactive

Authentication

Password:

S1> enable

Password:

S1#

​

Para exibir os dados de versão e configuração do SSH no dispositivo que você configurou como um servidor SSH, use o show ip ssh comando No exemplo, SSH versão 2 está habilitado.

​

S1# show ip ssh

SSH Enabled - version 2.0

Authentication timeout: 120 secs; Authentication retries: 3

To check the SSH connections to the device, use the show ssh command as shown.

S1# show ssh

%No SSHv1 server connections running.

Connection Version Mode Encryption Hmac State Username

0 2.0 IN aes256-cbc hmac-sha1 Session started admin

0 2.0 OUT aes256-cbc hmac-sha1 Session started admin

​

Rastreador de pacotes - Configurar SSH

​

​

​

​

​

​

O que eu aprendi neste módulo?

​

​

​

​

​

​

​

​

​