SSH — Acesso Remoto Seguro a Dispositivos Cisco
O que é
SSH (Secure Shell) é o protocolo padrão para acessar remotamente a interface de linha de comando (CLI) de roteadores, switches e outros dispositivos de rede. Ele substitui o Telnet com uma diferença fundamental: toda a comunicação é criptografada.
Na prática do dia a dia de um técnico de redes em São Paulo, Brasília ou qualquer outro ponto do país, SSH é o que permite acessar um roteador em outro estado sem precisar de uma viagem ou de alguém fisicamente na sala de servidores. É o protocolo que mantém senhas e configurações longe dos olhos de quem monitora o tráfego na rede.
Como funciona
SSH vs Telnet
| Característica | Telnet | SSH |
|---|---|---|
| Porta TCP | 23 | 22 |
| Criptografia | Nenhuma | Sim (RSA + cifras simétricas) |
| Visibilidade do tráfego | Senha e comandos em texto claro | Tráfego cifrado, ilegível |
| Uso atual | Obsoleto | Padrão de mercado |
O Telnet foi desenvolvido em 1969 e envia tudo em texto puro. Capturar uma sessão Telnet com Wireshark revela usuário, senha e cada comando digitado. O SSH, criado em 1995, cifra o canal inteiro. Mesmo interceptado, o tráfego aparece como bytes aleatórios.
A versão recomendada é sempre o SSH v2, lançado em 2006 com melhorias de segurança significativas em relação ao v1.
O par de chaves RSA
O SSH usa criptografia assimétrica para estabelecer o canal seguro. No lado do servidor (o dispositivo Cisco), é preciso gerar um par de chaves RSA. Essas chaves exigem dois pré-requisitos:
- Hostname configurado — não pode ser o padrão
RouterouSwitch - Nome de domínio configurado — via
ip domain-name
Juntos, hostname e domínio formam o FQDN (Fully Qualified Domain Name), que serve de nome para o par de chaves. Por exemplo: SW-FILIAL-SP.empresa.com.br.
Imagens iOS e suporte a criptografia
Dispositivos Cisco com imagem K9 no nome suportam SSH e recursos criptográficos. Imagens NPE (No Payload Encryption), exportadas para países com restrições sobre criptografia, não suportam SSH.
Para verificar: show ip ssh — se não suportar, a própria CLI informa.
Na prática
Passo a passo da configuração de SSH
! 1. Definir hostname (obrigatório)
Router(config)# hostname SW-MATRIZ-SP
! 2. Configurar domínio DNS (obrigatório para gerar chaves RSA)
SW-MATRIZ-SP(config)# ip domain-name empresa.com.br
! 3. Gerar par de chaves RSA (mínimo 768 bits para SSHv2; recomendado 2048+)
SW-MATRIZ-SP(config)# crypto key generate rsa modulus 2048
! 4. Forçar uso do SSH versão 2 (boa prática, não obrigatório)
SW-MATRIZ-SP(config)# ip ssh version 2
! 5. Configurar senha de enable (obrigatório para modo privilegiado remoto)
SW-MATRIZ-SP(config)# enable secret Str0ng@Pass
! 6. Criar conta de usuário local
SW-MATRIZ-SP(config)# username admin secret Str0ng@Pass
! 7. Configurar as linhas VTY (acesso remoto)
SW-MATRIZ-SP(config)# line vty 0 15
SW-MATRIZ-SP(config-line)# login local
SW-MATRIZ-SP(config-line)# exec-timeout 5 0
SW-MATRIZ-SP(config-line)# transport input ssh
! 8. (Opcional mas recomendado) Restringir por ACL
SW-MATRIZ-SP(config)# access-list 10 permit host 10.0.1.100
SW-MATRIZ-SP(config)# line vty 0 15
SW-MATRIZ-SP(config-line)# access-class 10 inConectar de um PC Linux/Mac
ssh [email protected]
# ou com usuário explícito
ssh -l admin 192.168.1.1Configurar Management IP em switch L2
Switches de camada 2 não roteiam pacotes, mas podem ter um IP para acesso gerencial via SVI:
SW(config)# interface vlan 1
SW(config-if)# ip address 192.168.0.253 255.255.255.0
SW(config-if)# no shutdown
SW(config)# ip default-gateway 192.168.0.254O ip default-gateway é necessário porque o switch L2 não tem tabela de roteamento — sem ele, não consegue responder a pacotes vindos de outras redes.
Segurança na porta console
SW(config)# line console 0
SW(config-line)# login local
SW(config-line)# exec-timeout 3 30Isso exige autenticação mesmo para quem tem acesso físico ao console e desconecta sessões inativas após 3 minutos e 30 segundos.
Verificação
show ip ssh ! versão, estado (enabled/disabled), configurações
show ssh ! sessões SSH ativas no momento
show running-config | section vtyDiferença entre os comandos de ACL
| Comando | Onde aplica |
|---|---|
access-list / ip access-list | Cria a ACL |
ip access-group | Aplica ACL a uma interface física |
access-class | Aplica ACL às linhas VTY |
Confundir access-class com ip access-group é um erro clássico de prova.
Por que cai no exame
O tema SSH é o tópico 4.8 do exame CCNA 200-301: "Configure network devices for remote access using SSH". Questões frequentes envolvem:
- Causa de falha na geração das chaves RSA: as duas mais cobradas são ausência de hostname não-padrão e ausência de
ip domain-name. Se o hostname ainda forRouter, o IOS rejeita o comando comPlease define a hostname other than Router. Se o domínio não estiver configurado, a mensagem éPlease define a domain name first.
- Qual comando restringe o acesso nas VTY lines:
access-class(nãoip access-group).
- transport input ssh vs transport input all:
sshpermite apenas SSH;allpermite SSH e Telnet (e outros protocolos). Para a prova, a boa prática étransport input ssh.
- Comprimento mínimo da chave RSA para SSHv2: 768 bits. Na prática, use 2048 ou mais.
- Papel do dispositivo no modelo cliente-servidor: quem é acessado é o servidor SSH (o roteador/switch); quem se conecta é o cliente SSH (o PC do admin).
- Versão 1.99: não é uma versão real de SSH. Indica que o dispositivo suporta as versões 1 e 2 simultaneamente. A boa prática é fixar apenas a v2 com
ip ssh version 2.
Resumo em uma linha
SSH é o protocolo obrigatório para gerenciamento remoto seguro de dispositivos Cisco — configure hostname, domínio, gere chaves RSA de 2048 bits, force a versão 2 e permita apenas SSH nas linhas VTY.