Segurança e VPN : Shell Seguro (ssh)

Como Configurar a SSH nos Switches Catalyst que Executam o CatOS

22 Maio 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (29 Julho 2013) | Inglês (19 Janeiro 2006) | Feedback


Índice

Introdução
Pré-requisitos
     Requisitos
     Componentes Usados
     Convenções
Diagrama de rede
Configuração do Switch
Desabilitando o SSH
depuração no Catalyst
Depuração de Exemplos de Comando de uma Boa Conexão
     Solaris para Catalyst, Padrão Triplo de Criptografia de Dados (3DES), Senha Telnet
     PC para Catalyst, 3DES, Senha de Telnet
     Solaris para Catalyst, 3DES, Autenticação, Autenticação, Autorização e Contabilização (AAA)
Depuração de Exemplos de Comando de o Que Pode Dar Errado
     Depuração de Catalyst com Tentativa de Cliente [sem suporte] de Blowfish Cipher
     Depuração de Catalyst com Senha Telnet Inválida
     Depuração de Catalyst com Autenticação AAA Inválida
Discussões relacionadas da comunidade de suporte da Cisco
Informações Relacionadas

Introdução

Este documento fornece instruções passo-a-passo para configurar o Secure Shell (SSH) Versão 1 em switches Catalyst rodando Catalyst OS (CatOS). A versão testada é cat6000-supk9.6-1-1c.bin.

Pré-requisitos

Requisitos

Esta tabela mostra o status do suporte a SSH nos switches. Usuários registrados podem acessar estas imagens de software visitando o Centro de Software (clientes registrados somente) .

CatOS SSH

Dispositivo

Suporte para SSH

Cat 4000/4500/2948G/2980G (CatOS)

Imagens K9 a partir de 6.1

Cat 5000/5500 (CatOS)

Imagens K9 a partir de 6.1

Cat 6000/6500 (CatOS)

Imagens K9 a partir de 6.1

IOS SSH

Dispositivo

Suporte para SSH

Cat 2950*

12.1(12c)EA1 e posterior

Cat 3550*

12.1(11)EA1 e posterior

Cat 4000/4500 (Cisco IOS Software Integrado)*

12.1(13)EW e posterior **

Cat 6000/5500 (Cisco IOS Software Integrado)*

12.1(11b)E e posterior

Cat 8540/8510

12.1(12c)EY e posterior, 12.1(14)E1 e posterior

Sem SSH

Dispositivo

Suporte para SSH

Cat 1900

sem

Cat 2800

sem

Cat 2948G-L3

sem

Cat 2900XL

sem

Cat 3500XL

sem

Cat 4840G-L3

sem

Cat 4908G-L3

sem

* A configuração está coberta em Configurando Secure Shell em Routers Cisco IOS.

** Não há suporte para SSH em trem 12.1E para Catalyst 4000 executando Cisco IOS Software Integrado.

Para se inscrever no 3DES, consulte o Formulário de Autorização de Distribuição de Exportação de Software de Criptografia.

Este documento pressupõe que o trabalho de autenticação antes da implementação do SSH (por meio da senha Telnet, TACACS+) ou RADIUS. SSH com Kerberos não seja suportado antes da implementação do SSH.

Componentes Usados

Este documento trata apenas do Catalyst 2948G, Catalyst 2980G, Catalyst série 4000/4500, Catalyst série 5000/5500 e Catalyst série 6000/6500 executando imagem CatOS K9. Para obter mais detalhes, consulte a seção Requisitos neste documento.

As informações apresentadas neste documento foram criadas a partir dos dispositivos em um ambiente de laboratório específico. Todos os dispositivos usados neste documento começaram com uma configuração esclarecida (padrão). Caso esteja trabalhando em uma rede ativa, certifique-se de ter compreendido o possível impacto dos comandos antes de utilizá-los.

Convenções

Para obter mais informações sobre convenções em documentos, consulte Convenções de Dicas Técnicas da Cisco.

Diagrama de rede

ssh_cat_switches.gif

Configuração do Switch

            
               !--- Gerar e Verificar Chave RSA.
            
sec-cat6000> (enable) set crypto key rsa 1024
Generating RSA keys..... [OK]
sec-cat6000> (enable) ssh_key_process: host/server key size: 1024/768

               !--- Exibir a Chave RSA.
            
sec-cat6000> (enable) show crypto key
RSA keys were generated at: Mon Jul 23 2001, 15:03:30 1024 65537 1514414695360
577332853671704785709850606634768746869716963940352440620678575338701550888525
699691478330537840066956987610207810959498648179965330018010844785863472773067
697185256418386243001881008830561241137381692820078674376058275573133448529332
1996682019301329470978268059063378215479385405498193061651

               !--- Restrinja quais hosts/sub-redes podem utilizar SSH para o switch.
!--- Observação: Se você não fizer isto, o switch exibirá a seguinte mensagem
!--- "WARNING!! IP permit list has no entries!"
            

sec-cat6000> set ip permit 172.18.124.0 255.255.255.0
172.18.124.0 with mask 255.255.255.0 added to IP permit list.

               !--- Ligue o SSH.
            
sec-cat6000> (enable) set ip permit enable ssh
SSH permit list enabled.

               !--- Verifique a lista de permissões de SSH.
            
sec-cat6000> (enable) show ip permit
Telnet permit list disabled.
Ssh permit list enabled.
Snmp permit list disabled.
Permit List Mask Access-Type
---------------- ---------------- -------------
172.18.124.0 255.255.255.0 telnet ssh snmp

Denied IP Address Last Accessed Time Type
----------------- ------------------ ------

Desabilitando o SSH

Em alguns casos pode ser necessário desativar o SSH no switch. Você deve verificar se o SSH está configurado no switch e se estiver, desabilitá-lo.

Para verificar se o SSH foi configurado no switch, emita o comando show crypto key. Se a saída exibir a chave RSA, isto significa que o SSH foi configurado e habilitado no switch. Segue um exemplo:

sec-cat6000> (enable) show crypto key
            Chaves RSA foram geradas em: Seg 23 Jul 2001, 15:03:30 1024 65537 1514414695360
577332853671704785709850606634768746869716963940352440620678575338701550888525
699691478330537840066956987610207810959498648179965330018010844785863472773067
697185256418386243001881008830561241137381692820078674376058275573133448529332
1996682019301329470978268059063378215479385405498193061651 

Para remover a chave de criptografia, emita o comando clear crypto key rsa para desabilitar o SSH no switch. Segue um exemplo:

sec-cat6000> (enable) clear crypto key rsa
Do you really want to clear RSA keys (y/n) [n]? y
RSA keys has been cleared.
sec-cat6000> (enable) 

depuração no Catalyst

Para ligar as depurações, emita o comandoset trace ssh 4.

Para desligar as depurações, emita o comandoset trace ssh 0.

Depuração de Exemplos de Comando de uma Boa Conexão

Solaris para Catalyst, Padrão Triplo de Criptografia de Dados (3DES), Senha Telnet

Solaris

rtp-evergreen# ssh -c 3des -v 10.31.1.6
SSH Version 1.2.26 [sparc-sun-solaris2.5.1], protocol version 1.5.
Compiled with RSAREF.
rtp-evergreen: Reading configuration data /opt/CISssh/etc/ssh_config
rtp-evergreen: ssh_connect: getuid 0 geteuid 0 anon 0
rtp-evergreen: Allocated local port 1023.
rtp-evergreen: Connecting to 10.31.1.6 port 22.
rtp-evergreen: Connection established.
rtp-evergreen: Remote protocol version 1.5, remote software version 1.2.26
rtp-evergreen: Waiting for server public key.
rtp-evergreen: Received server public key (768 bits) and host key (1024 bits).
Host key not found from the list of known hosts.
Are you sure you want to continue connecting (yes/no)? yes
Host '10.31.1.6' added to the list of known hosts.
rtp-evergreen: Initializing random; seed file //.ssh/random_seed
rtp-evergreen: Encryption type: 3des
rtp-evergreen: Sent encrypted session key.
rtp-evergreen: Installing crc compensation attack detector.
rtp-evergreen: Received encrypted confirmation.
rtp-evergreen: Doing password authentication.
root@10.31.1.6's password:
rtp-evergreen: Requesting pty.
rtp-evergreen: Failed to get local xauth data.
rtp-evergreen: Requesting X11 forwarding with authentication spoofing.
Warning: Remote host denied X11 forwarding, perhaps xauth program
   could not be run on the server side.
rtp-evergreen: Requesting shell.
rtp-evergreen: Entering interactive session.

Cisco Systems Console

sec-cat6000>

Catalyst

sec-cat6000> (enable) debug: _proc->tty = 0x8298a494, socket_index = 3
debug: version: SSH-1.5-1.2.26

debug: Client protocol version 1.5; client software version 1.2.26
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: root
debug: Trying Local Login
Password authentication for root accepted.
debug: ssh received packet type: 10
debug: ssh received packet type: 34
Unknown packet type received after authentication: 34
debug: ssh received packet type: 12
debug: ssh88: starting exec shell
debug: Entering interactive session.

PC para Catalyst, 3DES, Senha de Telnet

Catalyst

debug: Client protocol version 1.5; client software version W1.0
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: des
debug: Received session key; encryption turned on.
debug: ssh login by user:
debug: Trying Local Login
Password authentication for accepted.
debug: ssh received packet type: 10
debug: ssh received packet type: 37
Unknown packet type received after authentication: 37
debug: ssh received packet type: 12
debug: ssh89: starting exec shell
debug: Entering interactive session.

Solaris para Catalyst, 3DES, Autenticação, Autenticação, Autorização e Contabilização (AAA)

Solaris

Solaris with aaa on:
rtp-evergreen# ssh -c 3des -l abcde123 -v 10.31.1.6
SSH Version 1.2.26 [sparc-sun-solaris2.5.1], protocol version 1.5.
Compiled with RSAREF.
rtp-evergreen: Reading configuration data /opt/CISssh/etc/ssh_config
rtp-evergreen: ssh_connect: getuid 0 geteuid 0 anon 0
rtp-evergreen: Allocated local port 1023.
rtp-evergreen: Connecting to 10.31.1.6 port 22.
rtp-evergreen: Connection established.
rtp-evergreen: Remote protocol version 1.5, remote software version 1.2.26
rtp-evergreen: Waiting for server public key.
rtp-evergreen: Received server public key (768 bits) and host key (1024 bits).
rtp-evergreen: Host '10.31.1.6' is known and matches the host key.
rtp-evergreen: Initializing random; seed file //.ssh/random_seed
rtp-evergreen: Encryption type: 3des
rtp-evergreen: Sent encrypted session key.
rtp-evergreen: Installing crc compensation attack detector.
rtp-evergreen: Received encrypted confirmation.
rtp-evergreen: Doing password authentication.
abcde123@10.31.1.6's password:
rtp-evergreen: Requesting pty.
rtp-evergreen: Failed to get local xauth data.
rtp-evergreen: Requesting X11 forwarding with authentication spoofing.
Warning: Remote host denied X11 forwarding, perhaps xauth program
   could not be run on the server side.
rtp-evergreen: Requesting shell.
rtp-evergreen: Entering interactive session.

Cisco Systems Console

sec-cat6000>

Catalyst

sec-cat6000> (enable) debug: _proc->tty = 0x82a07714, socket_index = 3
debug: version: SSH-1.5-1.2.26

debug: Client protocol version 1.5; client software version 1.2.26
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: abcde123
debug: Trying TACACS+ Login
Password authentication for abcde123 accepted.
debug: ssh received packet type: 10
debug: ssh received packet type: 34
Unknown packet type received after authentication: 34
debug: ssh received packet type: 12
debug: ssh88: starting exec shell
debug: Entering interactive session.

Depuração de Exemplos de Comando de o Que Pode Dar Errado

Depuração de Catalyst com Tentativa de Cliente [sem suporte] de Blowfish Cipher

debug: Client protocol version 1.5; client software version W1.0
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: blowfish
cipher_set_key: unknown cipher: 6
debug: Calling cleanup

Depuração de Catalyst com Senha Telnet Inválida

debug: _proc->tty = 0x82897414, socket_index = 4
debug: version: SSH-1.5-1.2.26
debug: Client protocol version 1.5; client software version W1.0
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user:
debug: Trying Local Login
debug: Password authentication for failed.

Depuração de Catalyst com Autenticação AAA Inválida

cat6000> (enable) debug: _proc->tty = 0x829abd94, socket_index = 3
debug: version: SSH-1.5-1.2.26

debug: Client protocol version 1.5; client software version 1.2.26
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: junkuser
debug: Trying TACACS+ Login
debug: Password authentication for junkuser failed.
SSH connection closed by remote host.
debug: Calling cleanup

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 13881