M6 · Segurança

Configuração prática de SSH

Por que SSH e não Telnet?

O Telnet transmite todos os dados, incluindo senhas, em texto puro. O SSH (Secure Shell) criptografa a sessão inteira, tornando-o o único método aceitável de acesso remoto em ambientes de produção — e o único cobrado no exame CCNA.

Pré-requisitos

Antes de habilitar o SSH, três condições devem estar satisfeitas:

  1. O dispositivo precisa de um hostname diferente de Router ou Switch
  2. Um domain name deve estar configurado
  3. Um par de chaves RSA deve ser gerado

Sem essas três condições, o comando ip ssh não está disponível.

Configuração passo a passo

1. Hostname e domain name

Router(config)# hostname R1
R1(config)# ip domain-name fsudo.com

2. Geração das chaves RSA

R1(config)# crypto key generate rsa modulus 2048

O tamanho mínimo recomendado é 2048 bits. Chaves de 1024 bits habilitam apenas SSHv1; para SSHv2 use 2048 ou mais.

3. Forçar SSHv2

R1(config)# ip ssh version 2

SSHv1 possui vulnerabilidades conhecidas. O CCNA exige que você saiba forçar a versão 2.

4. Criar usuário local

R1(config)# username admin privilege 15 secret senha@forte

O SSH exige autenticação por usuário. Sem um usuário local (ou servidor AAA), a conexão é recusada.

5. Configurar as linhas VTY

R1(config)# line vty 0 15
R1(config-line)# transport input ssh
R1(config-line)# login local

transport input ssh bloqueia Telnet nessas linhas. login local instrui o IOS a usar o banco de usuários local para autenticar.

6. (Opcional) Timeout e tentativas

R1(config)# ip ssh time-out 60
R1(config)# ip ssh authentication-retries 3

Verificação

R1# show ip ssh

Confirma a versão SSH ativa, timeout e número máximo de tentativas.

R1# show ssh

Exibe sessões SSH atualmente abertas no dispositivo, incluindo o usuário conectado e o endereço de origem.

Pontos críticos para o exame

Comando Função
ip domain-name Obrigatório para gerar chaves RSA
crypto key generate rsa modulus 2048 Gera o par de chaves
ip ssh version 2 Força SSHv2
transport input ssh Desabilita Telnet nas VTYs
login local Usa base de usuários local
show ip ssh Verifica configuração SSH
show ssh Verifica sessões ativas

Armadilhas comuns

  • Configurar transport input ssh sem login local resulta em acesso bloqueado — o IOS não sabe como autenticar
  • Esquecer o ip domain-name impede a geração de chaves RSA
  • privilege 15 no usuário evita a necessidade de enable após o login, o que é comum em switches de acesso