Quem de nós tem coragem de levantar um servidor Linux na Internet e configurar o TELNET para acesso remoto? Quem se dispõe levante o mouse... Não vejo ninguém. É, eu também não sou louco. Mas me pergunto: Se não temos coragem de fazer isso com o servidor de Rede, por que a grande maioria dos administradores não se preocupam em deixar os roteadores e switchs com o TELNET habilitado?
Pobres mortais do planeta TELNET... Vamos então boicotar o TELNET, ele tem que sair de circulação ou pelo menos entrar em desuso (o máximo de utilidade que o servidor Telnet pode ter é em laboratório - e olhe lá!). Vamos então ver como configurar o roteador para aceitar apenas conexões via SSH (Agora estamos falando em segurança/coisa de gente grande).
Primeiro passo de todos é configurar o hostname e domain-name para o nosso roteador:
Router>enable
Router#configure terminal
Router(config)#hostname R1
R1(config)#ip domain-name technaweb.com.br
Que bela sequência de comandos! Os primeiro e segundo comandos são para nos levar até o modo de configuração global do roteador. O terceiro é para definir o nome do roteador (hostname) e o ultimo é usado para definir o nome do domínio que o roteador pertence (no meu caso: technaweb.com.br, o seu será diferente). Feito isso podemos entrar na configuração do SSH em sí. Vamos gerar a chave RSA (levando em conta que o RSA de 1024 já foi quebrada, vamos configurar uma de 2048 bits):
R1(config)#crypto key generate rsa
Após digitar o comando acima, a seguinte mensagem será exibida:
The name for the keys will be: R1.technaweb.com.br
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]:
É a hora de definir quantos bits usaremos. Digite 2048 e presione enter e... a chave será gerada! Feito isso vamos criar o usuário e senha que irá logar:
R1(config)#aaa new-model
R1(config)#username alan password CCIESec
Habilitei o AAA (esse é um assunto vaaastoooo, vamos falar sobre isso no futuro mas sugiro que como um verdadeiro nerd você vá pesquisar o quanto antes) para o roteador gerenciar a autenticação - isso é realemente necessário, e criei um usuário chamado "alan" e senha de acesso "CCIESec". Só nos resta agora habilitar os terminair virtuais (VTYs) para usarem o tal do SSH:
R1(config)#line vty 0 15
R1(config-line)#transport input ssh
R1(config-line)#exit
A quantidade de terminais pode variar de um roteador para outro. Eu mostrei 16 terminais (de 0 a 15) mas nesse roteador que estou usando tenho 872 terminais. Na primeira linha, entramos no range de terminais que pretendemos habilitar com o SSH, e na segunda linha de comando efetuamos a configuração propriamente dita, definindo que a comunicação nesses terminais serão via SSH.
Que perfeito hein?! É hora de testar. Caso esteja usando um outro roteador para testar use o seguinte comando (a configuração de IP já está feita e o IP do nosso servidor SSH é 192.168.0.2):
R2#ssh -l alan 192.168.0.2
Password:
R1>
Bem simples e... e... e simples mesmo. Não sei por que ainda usa-se TELNET. Na verdade eu sei: por causa da preguiça!
Pobres mortais do planeta TELNET... Vamos então boicotar o TELNET, ele tem que sair de circulação ou pelo menos entrar em desuso (o máximo de utilidade que o servidor Telnet pode ter é em laboratório - e olhe lá!). Vamos então ver como configurar o roteador para aceitar apenas conexões via SSH (Agora estamos falando em segurança/coisa de gente grande).
Primeiro passo de todos é configurar o hostname e domain-name para o nosso roteador:
Router>enable
Router#configure terminal
Router(config)#hostname R1
R1(config)#ip domain-name technaweb.com.br
Que bela sequência de comandos! Os primeiro e segundo comandos são para nos levar até o modo de configuração global do roteador. O terceiro é para definir o nome do roteador (hostname) e o ultimo é usado para definir o nome do domínio que o roteador pertence (no meu caso: technaweb.com.br, o seu será diferente). Feito isso podemos entrar na configuração do SSH em sí. Vamos gerar a chave RSA (levando em conta que o RSA de 1024 já foi quebrada, vamos configurar uma de 2048 bits):
R1(config)#crypto key generate rsa
Após digitar o comando acima, a seguinte mensagem será exibida:
The name for the keys will be: R1.technaweb.com.br
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]:
É a hora de definir quantos bits usaremos. Digite 2048 e presione enter e... a chave será gerada! Feito isso vamos criar o usuário e senha que irá logar:
R1(config)#aaa new-model
R1(config)#username alan password CCIESec
Habilitei o AAA (esse é um assunto vaaastoooo, vamos falar sobre isso no futuro mas sugiro que como um verdadeiro nerd você vá pesquisar o quanto antes) para o roteador gerenciar a autenticação - isso é realemente necessário, e criei um usuário chamado "alan" e senha de acesso "CCIESec". Só nos resta agora habilitar os terminair virtuais (VTYs) para usarem o tal do SSH:
R1(config)#line vty 0 15
R1(config-line)#transport input ssh
R1(config-line)#exit
A quantidade de terminais pode variar de um roteador para outro. Eu mostrei 16 terminais (de 0 a 15) mas nesse roteador que estou usando tenho 872 terminais. Na primeira linha, entramos no range de terminais que pretendemos habilitar com o SSH, e na segunda linha de comando efetuamos a configuração propriamente dita, definindo que a comunicação nesses terminais serão via SSH.
Que perfeito hein?! É hora de testar. Caso esteja usando um outro roteador para testar use o seguinte comando (a configuração de IP já está feita e o IP do nosso servidor SSH é 192.168.0.2):
R2#ssh -l alan 192.168.0.2
Password:
R1>
Bem simples e... e... e simples mesmo. Não sei por que ainda usa-se TELNET. Na verdade eu sei: por causa da preguiça!
0 comentários:
Postar um comentário