Configurando Acesso SSH – IOS

Bom, algumas pessoas próximas, algumas vezes me procuram com algumas dúvidas, desta
forma estarei moendo aqui alguns documentos, afim de compartilhar conhecimento, não
apenas com as pessoas que procuram, mas com os demais que possam ter alguma
dificuldade.
Para estrear o tema, estou postando abaixo uma solução para que seja configurado acesso
SSH em Routers e Switches.
Este documento foi preparado por mim, com base na documentação oficial CISCO,
homologado em laboratório, disponibilizado na base de conhecimento da integradora que
trabalho e se encontra em operação em clientes.

Boa Leitura.
Configurando Acesso SSH – IOS
Como itens obrigatórios precisamos:
-Verificar se a IOS suporta.
-Definir um Hostname (Não funciona com “Router” ou “Switch”)
-Definir seu nome de domínio (domain-name) para que o serviço de SSH funcione
corretamente.
Verificando IOS:
Para utilizar o serviço de ssh a IOS do equipamento necessida da feature: k9
Verifique também se a versão utilizada no cliente não está inclusa no alerta de
vulnerabilidades da cisco para o serviço SSH. Em caso positivo indique a substituição por um
release que exista a correção.
Configurando Hostname e Domain-Name:
Router(config)#hostname moedordeana_router
moedordeana_router(config)#ip domain-name moedordecana.com.br
moedordeana_router(config)#enable secret cisco
Antes de iniciar a configuração, é importante “zerar” qualquer chave de
criptografia existente.
moedordeana_router(config)#crypto key zeroize rsa
% All RSA keys will be removed.
% All router certs issued using these keys will also be removed.
Do you really want to remove these keys? [yes/no]: yes
moedordeana_router(config)#
*Mar 1 00:07:29.155: %SSH-5-DISABLED: SSH 1.5 has been disabled
Criando as chaves de criptografia privada e pública via RSA

Vamos agora gerar nosso par de chaves pública e privada com o algoritmo RSA, que pode
ser composta de 512 a 2048 bits, quanto maior a quantidade maior a segurança, sendo o
valor mínimo recomendado é 1024.
moedordeana_router(config)#crypto key generate rsa
The name for the keys will be: moedordeana_router.moedordeana_router.com.br
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys …[OK]
Criando um usuário local e ativando o ssh nos terminais vty
moedordeana_router(config)#username moedor password decana
moedordeana_router(config)#aaa new-model
moedordeana_router(config)#aaa authentication login LOCALUSERS local
moedordeana_router(config)#ip ssh time-out 60
moedordeana_router(config)#ip ssh authentication-retries 3
moedordeana_router(config)#line vty 0 4
moedordeana_router(config)#login authentication LOCALUSERS
moedordeana_router(config)#transport input ssh
Configurando versão de SSH.
moedordeana_router(config)#ip ssh version 1 (habilita ssh v1 no router)
moedordeana_router(config)#ip ssh version 2 (habilita ssh v2 no router)
moedordeana_router(config)#no ip ssh version (habilita tanto v1 como v2)

Comandos em Geral
ip ssh time-out 60 (indica o periodo em que é efetuada a desconexão por inatividade em
segundos)
ip ssh authentication-retries 3 (quantidade de tentativas de autenticação, em caso de falha é
efetuada a desconexão)
show ip ssh (mostra versão e configuração)

Versões 1 e 2 habilitadas (saída do show ip ssh)

moedordeana_router#show ip ssh
SSH Enabled – version 1.5
Authentication timeout: 60 secs; Authentication retries: 2
Apenas V2 (saída do show ip ssh)
moedordeana_router#show ip ssh
SSH Enabled – version 2.0
Authentication timeout: 120 secs; Authentication retries: 3
Apenas V1 (saída do show ip ssh)
moedordecana#show ip ssh
SSH Enabled – version 1.99
Authentication timeout: 120 secs; Authentication retries: 3
Exemplos de Debug:
Debug com serviço operando normalmente:

00:23:20: SSH0: starting SSH control process

00:23:20: SSH0: sent protocol version id SSH-1.5-Cisco-1.25
00:23:20: SSH0: protocol version id is – SSH-1.5-1.2.26
00:23:20: SSH0: SSH_SMSG_PUBLIC_KEY msg
00:23:21: SSH0: SSH_CMSG_SESSION_KEY msg – length 112, type 0×03
00:23:21: SSH: RSA decrypt started
00:23:21: SSH: RSA decrypt finished
00:23:21: SSH: RSA decrypt started
00:23:21: SSH: RSA decrypt finished
00:23:21: SSH0: sending encryption confirmation
00:23:21: SSH0: keys exchanged and encryption on
00:23:21: SSH0: SSH_CMSG_USER message received
00:23:21: SSH0: authentication request for userid cisco
00:23:21: SSH0: SSH_SMSG_FAILURE message sent
00:23:23: SSH0: SSH_CMSG_AUTH_PASSWORD message received
00:23:23: SSH0: authentication successful for cisco
00:23:23: SSH0: requesting TTY
00:23:23: SSH0: setting TTY – requested: length 24, width 80; set:
length 24, width 80
00:23:23: SSH0: invalid request – 0×22
00:23:23: SSH0: SSH_CMSG_EXEC_SHELL message received
00:23:23: SSH0: starting shell for vty
Debug em caso de senha Incorreta:

00:26:51: SSH0: starting SSH control process

00:26:51: SSH0: sent protocol version id SSH-1.5-Cisco-1.25
00:26:52: SSH0: protocol version id is – SSH-1.5-1.2.26
00:26:52: SSH0: SSH_SMSG_PUBLIC_KEY msg
00:26:52: SSH0: SSH_CMSG_SESSION_KEY msg – length 112, type 0×03
00:26:52: SSH: RSA decrypt started
00:26:52: SSH: RSA decrypt finished
00:26:52: SSH: RSA decrypt started
00:26:52: SSH: RSA decrypt finished
00:26:52: SSH0: sending encryption confirmation
00:26:52: SSH0: keys exchanged and encryption on
00:26:52: SSH0: SSH_CMSG_USER message received
00:26:52: SSH0: authentication request for userid cisco
00:26:52: SSH0: SSH_SMSG_FAILURE message sent
00:26:54: SSH0: SSH_CMSG_AUTH_PASSWORD message received
00:26:54: SSH0: password authentication failed for cisco
00:26:54: SSH0: SSH_SMSG_FAILURE message sent
00:26:54: SSH0: authentication failed for cisco (code=7)
00:26:54: SSH0: Session disconnected – error 0×07
Laboratório efetuado com Dynamps: C2620/C2811/C2851/WS-C3550
Solução utilizada em clientes: Sim.