Actualmente, acredito que ningum administraria um roteador, servidor, switch, ou o que quer que seja acessando directamente o console

fornecido pelo dispositivo: voc sempre ir utilizar alguma soluo de acesso remoto para poder administrar sua rede sem precisar sair do seu computador:) O problema com este tipo de soluo a segurana. Nem sempre os protocolos utilizados so os mais seguros. Por exemplo, switches e roteadores Cisco at hoje utilizam por padro acesso remoto atravs de Telnet, que envia todas as informaes (incluindo as de login) pela rede em texto puro. Isso, obviamente, um grande furo na segurana da sua rede pois qualquer um que consiga sniffar o trfego ser capaz de logar no roteador. Actualmente, assim como mquinas Linux, por exemplo, os equipamentos Cisco fornecem suporte utilizao de SSH V2. Esta uma adio e tanto segurana destes equipamentos, j que absolutamente todos os dados trocados entre a estao cliente e o roteador sero criptografados. Aqui vou ensinar a voc o processo de configurao do SSH em equipamentos Cisco.

Mas, quais verses do IOS suportam SSH?

O IOS 12.1(3)T foi o primeiro a oferecer suporte a SSH, porm apenas para a verso 1 do protocolo (considerada insegura). O IOS deveria oferecer DES ou 3DES IPSec para que o SSH pudesse funcionar correctamente. As primeiras verses a oferecer suporte ao SSH2 foram 12.3(4)T, 12.2(25)S e 12.3(7)JA. O IOS ainda deve oferecer suporte a 3DES para que o SSH funcione. Isto pode ser identificado pelo k9 no nome da imagem sendo utilizada. Lembre-se: quando puder escolher, escolha sempre a verso 2 do SSH pois ela oferece uma segurana muito melhor que a verso 1. Quando puder escolher apenas entre Telnet e SSH1, a melhor escolha o SSH1.

Configurao
A configurao do SSH em roteadores Cisco extremamente simples, portanto voc no vai ter desculpas para no utiliz-lo em seus roteadores.) Lembrando que voc deve ter um nome de host e um nome de domnio configurado para o equipamento (isso pode ser feito no modo de configurao global utilizando os comandos hostname e IP domain-name, respectivamente). Primeiro, acesse o seu roteador (por Telnet ou directamente pelo Console, tanto faz) e entre no modo de configurao global: Roteador>enable roteador#configure terminal Enter configuration commands, one per line. End with CNTL/Z.

Roteador (config)# Ok, agora vamos gerar as chaves que sero utilizadas na autenticao do SSH. O IOS suporta gerar certificados com criptografia de no mnimo 360 bits e no mximo 2048 bits. Eu considero 360 bits muito pouco e sempre utilizo como padro o 2048. Recomendo que voc faa o mesmo, mas a escolha sua. O comando o seguinte: Roteador (config)#crypto key generate rsa How many bits in the modulus [512]:2048 % Generating 2048 bit RSA keys, keys will be non-exportable[OK] Depois que voc executar o comando, dever informar quantos bits deseja para o mdulo do certificado. O padro 512 mas, como dito anteriormente, recomendo fortemente que voc coloque 2048 aqui. A mensagem que aparece logo aps a seleo indica sucesso ou falha na gerao do certificado. Agora, vamos configurar alguns parmetros do servio SSH como timeout, verso, etc. Ento, ainda no modo de configurao global: roteador(config)#ip ssh version 2 Este comando ir especificar qual verso do protocolo SSH voc deseja utilizar. Para verificar quais verses esto disponveis, execute o comando show ip ssh no modo enable. Se estiver indicando verso 2.0, voc pode utilizar tanto a verso 1 quanto a verso 2. Se estiver indicando 1.X, voc pode utilizar apenas a verso 1 do protocolo. Agora, vamos configurar o timeout: roteador(config)#ip ssh time-out 50 Isso ir configurar o timeout para 50 segundos. Voc pode escolher qualquer valor no intervalo de 1 a 120 segundos. Assim, quando uma sesso de cliente ficar parada por mais tempo que o especificado aqui, o cliente ser desconectado automaticamente. Agora, vamos configurar o valor de tentativas de login. Essa opo no muito efetiva contra ataques brute-force pois, quando voc exceder o nmero de tentativas de conexo, o seu IP no ser bloqueado e voc poder voltar a tentar se conectar imediatamente. roteador(config)#ip ssh authentication-retries 2 Com o comando acima, sero permitidas apenas 2 tentativas erradas. Voc pode especificar um valor entre 0 e 5 nesta opo. Pronto, o SSH est configurado e funcionando.

Mas quem vai poder fazer o login?

Para poder fazer o login via SSH, voc deve criar alguns usurios locais (vlidos apenas no roteador) e tambm definir qual o nvel de acesso para estes. Para criar um usurio

chamado administrador, com permisso de fazer tudo no roteador, execute o seguinte comando: roteador(config)#username administrador priv 15 secret senha-do-usurio Pronto, agora voc j tem um usurio chamado administrador com permisso de realizar qualquer tipo de configurao no roteador onde ele foi criado. O que define que ele um administrador ou no a opo priv 15 . O valor 15 indica que ele tem acesso total, e varia de 0 a 15: quanto menor o valor, menor o privilgio do usurio no sistema. Por exemplo:
y y

Modo EXEC de usurio: nvel de privilgio 1 Modo EXEC de superusurio: nvel de privilgio 15

Agora, falta apenas voc fazer com que as linhas Telnet deixem de aceitar conexes Telnet e passem a aceitar apenas conexes SSH: roteador(config)#line vty 0 4 roteador(config-line)#login local roteador(config-line)#transport input ssh Pronto! SSH configurado, agora basta testar a conexo.

Testando a conexo ao roteador

Voc pode utilizar qualquer cliente SSH para se conectar ao roteador, agora. O meu cliente preferido o PuTTY, que funciona em Windows e possui uma boa quantidade de caractersticas que o ajudaro no dia-a-dia. Voc tambm poder utilizar o cliente disponvel em roteadores Cisco. Este cliente obviamente funciona apenas em linha de comando e no possui nem metade das opes oferecidas pelo PuTTY. Para us-lo, faa o seguinte: roteador>ssh -l administrador -v 2 192.168.1.1 Voc no precisa estar em modo privilegiado para utiliz-lo. A opo -l (no o nmero sim, mas sim a letra L minscula) indica qual o nome de usurio ser utilizado; a opo -v indica qual a verso do protocolo o cliente dever utilizar (o valor pode ser 1 ou 2, como j foi dito anteriormente) e, finalmente, o IP do roteador ao qual voc ir se conectar.

Concluso
Com alguns passos simples, voc pode aumentar muito a segurana da sua infraestrutura. Utilizando SSH com criptografia de 2048 bits virtualmente impossvel que algum atacante consiga sniffar o trfego na sua rede e descriptografar os pacotes conseguindo recuperar senhas, usurios, etc. Alm disso, voc agora pode dormir tranquilo noite!

Claro que apenas configurar o SSH no ir resolver todos os seus problemas de segurana. Voc ainda precisa utilizar senhas fortes e ACLs para controlar quem poder tentar se conectar ao SSH do seu equipamento Cisco, mas sem dvida alguma voc dificultou e muito a vida dos crackers!
--------------------------------------------------------------------------------------------------------

Um roteador, ou router, nada mais que um computador especializado em realizar uma tarefa especfica. Neste caso, o roteador especializado em interconectar redes. Sejam redes a quilmetros de distncia ou duas redes no mesmo prdio: o roteador define como chegar de uma rede outra, define quais rotas o pacote pode pegar e tambm faz um filtro de pacotes (atravs das ACLs) bsico, para controlar o acesso. A Cisco Systems hoje a maior fornecedora de equipamentos de rede do mundo. Fundada em 1984 por Len Bosack e Sandy Lerner, a Cisco Systems produz diversos equipamentos de rede para finalidades distintas: roteadores, switches, telefones IP, etc., atendendo desde redes pequenas e bem simples, at redes de grandes provedores e companhias telefnicas (como a Telefnica, por exemplo). Actualmente, tambm est entrando no mercado domstico atravs da aquisio da Hiperligaes e das cmaras Flip. Neste post vou te ensinar a fazer a configurao bsica de um roteador Cisco. Coisas como definir hostname, descrio de uma determinada interface, configurar endereos IPs, etc., que voc deve sempre saber de cor e salteado. Alm disso, grande parte do que explico aqui tpico na prova Cisco CCNA.

Como obter ajuda rapidamente no IOS

Enquanto voc est executando os comandos natural que dvidas em relao eles surjam: pode ser que voc esquea qual parmetro realiza alguma tarefa, pode ser que voc simplesmente esqueceu qual a sintaxe de um comando especfico. Ou ento, voc quer saber quais os comandos disponveis em um determinado contexto de configurao. Vou dar uma rpida descrio aqui de como se virar nessas situaes. Para verificar quais comandos voc pode executar em um determinado modo do IOS, basta pressionar a tecla ? uma vez para que todos os comandos sejam listados junto com uma breve descrio de sua funo: Osiris#? Exec commands: access-enable Create a temporary Access-List entry access-profile Apply user-profile to interface access-template Create a temporary Access-List entry alps ALPS exec commands archive manage archive files audio-prompt load ivr prompt bfe For manual emergency modes setting

call cd clear clock configure connect copy debug delete dir disable disconnect elog enable More

Load IVR call application Change current directory Reset functions Manage the system clock Enter configuration mode Open a terminal connection Copy from one file to another Debugging functions (see also undebug) Delete a file List files on a filesystem Turn off privileged commands Disconnect an existing network connection Event-logging control commands Turn on privileged commands

Note o More no fim da listagem. Isso indica que, por motivos de espao na tela, nem todos os comandos foram listados ainda. Para continuar vendo as opes, pressione a barra de espao. Semelhante aos comandos more e less do Linux/UNIX. Agora que voc j descobriu o comando que quer usar, como verificar quais as opes que ele suporta? Basta digitar o comando, um espao e a ? novamente. Por exemplo, o comando ip. Para verificar quais as opes que ele suporta, voc faz o seguinte: Osiris(config-if)# ip ? Interface IP configuration subcommands: access-group Specify access control for packets accounting Enable IP accounting on this interface address Set the IP address of an interface audit Apply IDS audit name auth-proxy Apply authenticaton proxy authentication authentication subcommands bandwidth-percent Set EIGRP bandwidth limit bgp BGP interface commands broadcast-address Set the broadcast address of an interface cef Cisco Express Fowarding interface commands cgmp Enable/disable CGMP directed-broadcast Enable forwarding of directed broadcasts dvmrp DVMRP interface commands hello-interval Configures IP-EIGRP hello interval helper-address Specify a destination address for UDP broadcasts hold-time Configures IP-EIGRP hold time igmp IGMP interface commands inspect Apply inspect name irdp ICMP Router Discovery Protocol load-sharing Style of load sharing mask-reply Enable sending ICMP Mask Reply messages More

Novamente, note o More no final da listagem. Ainda h mais opes do que as exibidas nesta primeira listagem. Lembre-se sempre disso! Uma ltima dica o auto-complete de comandos. Esta funcionalidade do IOS completa a digitao de comandos automaticamente para voc, poupando um pouco de digitao. Por exemplo, se voc digitar apenas: Osiris(config-if)# ip add<TAB> Ele ir completar a digitao para: Osiris(config-if)# ip address E voc pode digitar apenas os parmetros que no podem ser completados automaticamente. Vale lembrar que esta funcionalidade s pode ser utilizada quando no h ambiguidade no nome dos comandos. Por exemplo, se houverem dois comandos diferentes (dentro do mesmo contexto) que comecem com a letra c, voc precisa digit-los at o ponto em que eles so diferentes e a sim pressionar a tecla TAB para que o auto-complete funcione correctamente.

O assistente de configurao inicial

Se esta a primeira vez que voc est ligando o roteador, ou se voc ainda no tem uma configurao salva (mesmo que j tenha utilizado o dispositivo anteriormente) o IOS ir perguntar se voc deseja utilizar o assistente de configurao (chamado por ele de initial configuration dialog). Particularmente, no sou muito f deste assistente no. Ele um pouco complexo e deixa de oferecer vrias opes interessantes de configurao. Recomendo que voc responda que no quer utilizar o assistente para configurar o roteador (respondendo no na pergunta e pressionando enter): % Please answer yes or no. Would you like to enter the initial configuration dialog? [yes/no]: no Depois s teclar enter mais uma vez e voc entrar no modo usurio e j pode comear a configurao do roteador.

Modificando o hostname
O hostname que voc configura directo no roteador tem relevncia apenas localmente, ou seja, outros roteadores na sua rede no podero se referir ao seu roteador pelo nome que voc definir atravs do comando hostname. Para que seja possvel definir um nome com relevncia global (permitindo que outros roteadores utilizem o nome escolhido para a comunicao com este roteador) voc deve alterar a zona correspondente no seu servidor DNS. Para configurar o hostname, voc deve acessar o seu roteador (se voc ainda no configurou a senha para o telnet, voc poder apenas acess-lo atravs do console. Mais

adiante neste post voc ir aprender a definir todas as senhas necessrias para acessar o dispositivo atravs da rede) e ir para o modo de configurao: Router> enable Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# O comando configure terminal o levar para o modo de configurao global do IOS. Aqui voc pode alterar todas as configuraes do sistema, por exemplo, definir os IPs das interfaces, habilitar/desabilitar interfaces, definir rotas, configurar protocolos de roteamento dinmico (como RIPv2, OSPF, etc), definir banners, etc. Estando no modo de configurao, execute o seguinte comando para definir o hostname: Router(config)# hostname NomeDesejado Por exemplo, Router(config)# hostname Osiris Osiris(config)# Note que, logo aps voc modificar o hostname, ele j passa a ser utilizado no prompt. Porm, no se engane: se voc reiniciar o roteador agora o nome desaparecer. Para que o nome fique configurado permanentemente no roteador, voc deve salvar as configuraes. Veremos como fazer isso mais adiante no post.

Configurando o servidor DNS

No IOS, voc pode utilizar servidores DNS para que o roteador seja capaz de resolver nomes de domnio. Essa configurao simples, porm muito importante e pode ser de grande ajuda quando voc est realizando testes de conectividade. Como em qualquer sistema operacional moderno, voc poder especificar um ou mais servidores DNS que sero consultados pelo roteador. Para fazer a configurao, voc ir utilizar o comando ip name-server no modo de configurao global: Osiris(config)# ip name-server 8.8.8.8 Se voc deseja configurar mais de um IP: Osiris(config)# ip name-server 8.8.8.8 8.8.4.4 1.2.3.4 5.6.7.8 E pronto! Servidores DNS configurados.

Configurar banners
Os banners so mensagens exibidas para usurios quando eles tentam se conectar ao roteador pela rede. Atravs destas mensagens voc pode avis-los sobre manuteno, regras relacionadas ao uso, instrues de segurana, etc. Existem alguns tipos diferentes de banners que podem ser configurados no IOS:
y y y y

exec: A mensagem do tipo exec exibida quando uma sesso exec iniciada; incoming: Esta mensagem exibida para usurios que se conectem ao roteador atravs do console ou linha auxiliar; login: Este banner apresentado depois do motd e antes de aparecer o prompt e exibido em todos os terminais conectados; motd: O banner motd (message of the day, mensagem do dia) o banner mais comum e utilizado em dispositivos Cisco. A mensagem definida como motd, ser exibida para todos os que tentarem se conectar ao seu roteador no importando a forma (Telnet, console, auxiliar, etc.).

Como voc j deve ter percebido, a diferena entre os tipos de banners o momento em que eles so exibidos. Como o motd o nico que sempre exibido, no importa o modo de conexo, geralmente ele quem eu uso. A no ser que voc tenha que exibir mensagens diferenciadas para cada tipo de usurio, recomendo que faa o mesmo. Para configurar o banner motd: Osiris(config)# banner <tipo do banner> <caracter delimitador da mensagem> Depois de definir o tipo do banner, voc deve indicar qual caracter delimitar a mensagem que voc vai digitar, ou seja, o caracter indicado no comando ir definir o fim da mensagem do banner. Por exemplo: Osiris(config)# banner motd @ Enter TEXT message. End with the character @. Banner de teste do roteador Cisco!@ No exemplo acima, a mensagem definida Banner de teste do roteador Cisco!. O @ no considerado parte da mensagem. Vale lembar que o caracter que voc escolher no pode aparecer no texto que voc quer definir como sendo o contedo do banner. Todos os outros tipos de banners seguem a mesma lgica. Para verificar todos os tipos de banners suportados pela sua verso de IOS digite o comando: Osiris(config)# banner ? Esse comando ir exibir a lista de opes aceitas pelo comando.

Configurar o CDP

O CDP (Cisco Discovery Protocol) um protocolo proprietrio da Cisco, ou seja, apenas dispositivos Cisco o suportam. Ele um protocolo de camada 2 (camada de Enlace de Dados) que no depende de qualquer outro protocolo. Quando o CDP est habilitado, o dispositivo envia, a cada 60 segundos (por padro), pacotes para o endereo multicast 01-00-0c-cc-cc-cc (este mesmo endereo tambm usado pelo protocolo VTP, por exemplo) para que seus vizinhos consigam encontr-lo na rede. Como este pacote de camada 2, ou seja, no tem informaes sobre rede, ele no um protocolo rotevel (por exemplo, as informaes que ele envia no podem ir para outras redes). As informaes fornecidas pelo protocolo podem ser utilizadas em aplicaes que entendem SNMP (basta fazer com que ela acesse o MIB do CDP para que as informaes passem a ser monitoradas pelo software. As interfaces pelas quais o CDP envia informaes devem, obrigatoriamente, suportar cabealhos SNAP (Subnetwork Access Protocol). Exemplos de interfaces suportadas so Ethernet, Frame Relay e ATM (Asynchronous Transfer Mode). Informaes recebidas de outros dispositivos CDP podem ser visualizadas no modo enable: Osiris# show cdp neighbors Este comando ir identificar o tipo do dispositivo (roteador, switch, bridge) e todas as outras informaes que tenham sido aprendidas atravs do CDP. Como voc j deve ter deduzido, a finalidade dele obter e enviar informaes sobre os dispositivos que esto diretamente conectados a ele (isto , na mesma rede. O CDP no um protocolo rotevel) atravs da rede para facilitar a administrao. Algumas informaes que ele consegue monitorar so:
y y y y y y y

Nomes de dispositivos (configurados atravs do comando hostname, explicado anteriormente); Verso do sistema operacional; Todos os endereos de todos os protocolos em interfaces que suportam o CDP; Modelo do dispositivo; Domnio VTP (caso seja um switch); VLAN nativa; E mais algumas outras.

Como voc viu, o CDP oferece muita informao sem qualquer tipo de autenticao. Por isso, muito importante que voc habilite este protocolo apenas em interfaces que faam parte da sua rede interna. Preste muita ateno se estas informaes no esto sendo enviadas por uma interface conectada Internet ou uma DMZ! Por padro o CDP j vem habilitado em todos os dispositivos Cisco. Se voc no quiser utiliz-lo: Osiris(config)# no cdp run Este comando ir parar completamente o servio e nenhuma informao sobre o dispositivo em questo ser enviado pela rede. Para ativ-lo novamente:

Osiris(config)# cdp run Agora, vamos ver algumas configuraes interessantes que podem ser feitas no CDP para que ele se adeque melhor sua rede. Para utilizar a verso 2 do protocolo: Osiris(config)# cdp advertise-v2 Para especificar o intervalo (em segundos) em que seu dispositivo dever enviar os pacotes com informaes: Osiris(config)# cdp timer 120 Se a sua rede raramente muda, interessante colocar um valor mais alto nesta opo para que voc no fique ocupando a rede toa. O padro 60 segundos. Voc tambm pode definir por quanto tempo as informaes recebidas de vizinhos so vlidas e devem ser mantidas em memria. Para isso o seguinte comando: Osiris(config)# cdp holdtime 240 Isso far com que as informaes recebidas tenham uma validade de 240 segundos. Para desabilitar o CDP em uma interface especfica, voc precisa entrar no modo de configurao desta interface e desabilitar o protocolo: Osiris(config)# interface FastEthernet 0/0 Osiris(config-if)# no cdp enable Para habilitar o protocolo, entre no modo de configurao da interface e: Osiris(config-if)# cdp enable Pronto! Com isso voc j tem uma configurao melhor para o CDP :)

Configurar endereos IP
Por motivos bvios, voc precisa configurar endereos IP em todas as interfaces que esto sendo utilizadas pelo seu roteador. Este processo bem simples, no leva nem 5 minutos. Para isso, voc deve saber exatamente quais interfaces existem em seu roteador e quais delas voc deseja configurar. Para isso, utilize o comando: Osiris# show interfaces Alm do nome, vrias informaes relacionadas s interfaces so exibidas. Guarde bem os nomes das interfaces que voc deseja configurar e v para o modo de configurao global:

Osiris# configure terminal Osiris(config)# Uma vez no modo de configurao global, voc precisa entrar no contexto da interface que voc quer configurar. Para isso, basta utilizar o comando interface seguido do nome dela: Osiris(config)# interface FastEthernet 0/0 Osiris(config-if)# Neste modo, como voc j viu, voc poder configurar todas as opes desta interface apenas. Para configurar opes de outras placas, voc deve entrar no contexto de configurao delas. Para configurar o endereo IP nesta interface faa o seguinte: Osiris(config-if)# ip address 192.168.1.1 255.255.255.0 Este comando j define tanto o endereo IP que ser utilizado nesta interface quanto a mscara de sub-rede. No obrigatrio, mas interessante que voc configure o endereo de broadcast tambm: Osiris(config-if)# ip broadcast-address 192.168.1.255 As interfaces de roteadores Cisco por padro esto sempre desabilitadas. Depois que voc fizer a configurao delas, voc deve ativ-las se no, mesmo que tudo tenha sido configurado corretamente, voc no ser capaz de acessar a rede. Seguindo o padro Cisco, basta voc colocar um no na frente do comando shutdown no contexto de configurao da interface para que ela seja ativada: Osiris(config-if)# no shutdown Como voc j deve ter deduzido, para desabilitar a interface voc deve executar o comando shutdown no modo de configurao da interface especfica. O status de todas as interfaces do dispositivo pode ser visualizado utilizando-se o comando show interfaces ou show interfaces FastEthernet 0/0 no modo enable. A seguinte linha: FastEthernet0/0 is administratively down, line protocol is down Indica uma interface desabilitada. Sempre que uma interface est parada por deciso do administrador do sistema, o status ter administratively down. Caso esta expresso no aparea, muito provvel que algum outro problema est impedindo o correto funcionamento (um problema no cabo, por exemplo). Uma interface ativa mostraria uma linha parecida com: FastEthernet0/0 is up, line protocol is up

Descries de interfaces
Se voc configura muitos roteadores diferentes, pode acabar ficando meio difcil lembrar exatamente a qual rede uma determinada interface est conectada, ou qual o

papel de uma determinada interface. Para isso, o IOS permite que voc adicione descries sobre cada interface presente em seu roteador. Esta configurao tambm deve ser feita no contexto de configurao da interface em questo, utilizando o comando description. Por exemplo: Osiris(config-if)# description Interface que liga o roteador a rede do provedor. Voc pode definir uma configurao de no mximo 240 caracteres. Pode utilizar espaos, porm no bom utilizar acentuao. A descrio que voc utiliza com o comando description pode ser vista quando voc digita o comando show interfaces no modo enable: Osiris# show interfaces FastEthernet0/0 is administratively down, line protocol is down Hardware is AmdFE, address is c800.342d.0000 (bia c800.342d.0000) Description: Interface que liga o roteador a rede do provedor Internet address is 192.168.1.1/24 Como j disse, isso opcional mas pode ajudar muito voc ou quem for administrar o roteador e ainda no o conhea.

Configurando as senhas para acesso remoto

Antes de voc configurar qualquer senha no roteador, o IOS no permite qualquer tipo de conexo remota a ele: apenas o console permite que voc se conecte a ele para que voc consiga configurar o roteador. Ento, para permitir que voc utilize o Telnet para administrar o roteador daqui para frente, vou te mostrar aqui como configurar as senhas para esse servio. No IOS, voc deve referir-se ao Telnet como linhas VTY. A quantidade de linhas VTY varia de modelo para modelo, no h uma quantidade fixa. Para descobrir quantas linhas o seu roteador disponibiliza para voc, faa o seguinte. No modo de configurao global: Osiris(config)# line vty ? <0-4> First Line number No dispositivo que estou usando, existem 5 linhas numeradas de 0 a 4. Para definir a senha: Osiris(config)# line vty 0 4 Osiris(config-line)# login Osiris(config-line)# password senha Agora, quando voc tentar se conectar ao seu roteador atravs do Telnet basta fornecer a senha que voc especificou no comando password, no importa qual o nmero da linha qual voc est se conectando. Se voc quiser permitir que logins sejam feitos

atravs de Telnet mesmo que uma senha no tenha sido configurada (o que no nada recomendado), basta negar o comando login no contexto de configurao da linha: Osiris(config-line)# no login E voc poder se logar no roteador sem precisar de uma senha. Embora o Telnet seja o padro para administrao remota de roteadores e switches Cisco, ele no nada seguro. Todo o trfego trocado entre cliente e servidor transmitido em texto claro, permitindo que algum sniffe a conexo e consiga descobrir o seu usurio e senha. Para mitigar este problema, o mais recomendado atualmente configurar o SSH no dispositivo e utiliz-lo ao invs de usar o Telnet. J expliquei como funciona este processo em outro post. Clique aqui e aprenda a configurar o SSH em um roteador Cisco.

Configurando senha de console

Se voc se conectar ao roteador atravs da porta de console, o padro no ter senha para que voc consiga configurar o switch assim que ele sai da caixa. Porm, uma boa prtica proteger esta conexo com uma senha. No caso do console, a linha utilizada se chama console e geralmente existe apenas 1: a porta 0. Para configur-la, voc deve fazer o seguinte: Osiris(config)# line console 0 Osiris(config-line)# password senha Agora, sempre que voc se conectar ao console voc dever digitar a senha informada ao comando password como descrito acima.

Senha para modo enable

Alm de senhas para as linhas, tambm possvel definir uma senha para proteger o modo enable, que d mais poderes ao usurio. Para definir esta senha, acesse o modo de configurao global e utilize o comando enable secret: Osiris(config)# enable secret senha Isso ir criar uma senha criptografada que ser utilizada sempre que voc tentar acessar o modo enable do roteador, no importa a forma pela qual voc se conecte ao dispositivo. Voc tambm pode criar uma senha no-criptografada utilizando o comando enable password: Osiris(config)# enable password senha Se voc definir tanto a secret quanto a password, a senha secret sempre ter preferncia e ela a que sempre ser utilizada. Embora voc tenha a opo de utilizar uma senha

no-criptografada, recomendado que voc utilize apenas a senha criptografada com o comando enable secret.

Armazenando senhas de forma criptografada

Por padro, a nica senha criptografada no IOS a senha definida pelo comando enable secret. Todas as outras so exibidas em texto claro atravs do comando show running-config. Para impedir que isso acontea, voc deve ativar o servio de criptografia de senhas. muito importante que voc ative este servio, j que ele praticamente a sua nica proteo para as senhas armazenadas na memria do roteador. Habilitar o servio muito simples. No modo de configurao global, execute o seguinte comando: Osiris(config)# service password-encryption E pronto, agora sempre que as suas senhas forem ser exibidas, apenas o hash da criptografia aparecer melhorando um pouco mais a segurana do sistema.

Definindo timeouts
Como medida de segurana, no apenas no IOS mas tambm em qualquer outro sistema que voc acesse remotamente, interessante que voc defina timeouts para fazer com que sesses ociosas sejam terminadas automaticamente depois de um determinado tempo. Esses timeouts so configurados para cada linha, ou seja, o timeout do console pode ser diferente do timeout da VTY. Como a configurao pode ser diferente para cada linha, voc deve estar no contexto de configurao da linha para poder modificar o parmetro. Uma vez no contexto correto, basta utilizar o comando exec-timeout: Osiris(config)# line vty 0 4 Osiris(config-line)# exec-timeout <MINUTOS> <SEGUNDOS> Por exemplo, para definir o timeout em 1:30s voc deveria executar o comando: Osiris(config-line)# exec-timeout 1 30 Para desabilitar o timeout, basta informar 0 0 para minutos e segundos.

Salvar as configuraes
Todas as configuraes que voc acabou de fazer no so salvas automaticamente. Voc precisa instruir o IOS a salv-las para que voc no perca tudo caso o roteador reinicie por algum motivo. Todas as alteraes que voc fez at agora esto presentes na running-config do IOS. Esta configurao fica presente apenas na memria RAM e perdida quando o dispositivo reiniciado. Para salvar as alteraes permanentemente, voc deve copiar

todos os parmetros da running-config para a startup-config ou configurao de inicializao, traduzindo ao p da letra. Para fazer essa cpia, voc deve utilizar o seguinte comando (no modo enable): Osiris# copy running-config startup-config Destination filename [startup-config]? Ele ir te perguntar qual ser o nome do arquivo que ser criado com as configuraes. O padro, que geralmente o aceito, startup-config. Para aceitar o padro basta pressionar a tecla enter. A seguinte mensagem ir confirmar que a operao foi efetuada com sucesso: Router#copy running-config startup-config Destination filename [startup-config]? Building configuration [OK] Agora sim, se voc reiniciar o roteador todas as configuraes que voc fez sero restauradas e o dispositivo poder comear a trabalhar sem qualquer interveno por parte do administrador.

Concluso
Como voc viu, embora seja fcil, tambm bastante trabalhoso fazer a configurao bsica de um roteador Cisco. Todos os passos devem ser feitos com muita ateno para que voc no precise sair caando erros de configurao :) Espero que o texto te ajude a entender melhor o funcionamento destes dispositivos que so extremamente interessantes porm ainda um pouco complexos.
.,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,------------------------------------------

Comandos bsicos para roteadores Cisco

Por Andr Ortega, 13/01/2010 10:20 Este post deveria ter sido um dos primeiros no blog mas como dizem, antes tarde do que nunca. Coloquei os comandos bsicos/teis para utilizao no Cisco IOS, via CLI Command Line Interface. Acredito que vai ser bem til para que est comeando, ou acessa o roteador apenas eventualmente. Modos de Configurao roteador> - Modo Usurio roteador# - Modo Privilegiado roteador(config)# - Modo Global

Modo Usurio enable - Entra no modo de configurao privilegiado Modo Privilegiado ? - Mostra os comandos disponveis configure terminal - Entra no modo de configurao global clock set Configura a data e hora no equipamento delete flash:/nome_do_arquivo - Apaga o arquivo da flash dir - Mostra o contedo da flash disable - Sai do modo de configurao privilegiado erase flash - Apaga todo o contedo da flash erase nvram - Apaga todo o contedo da nvram ping 10.1.1.1 Pinga o host 10.1.1.1 e mostra o resultado reload Reinicia o roteador traceroute 172.16.1.1 - Mostra o caminho at o IP 172.16.1.1 Modo configurao global enable secret - Define a senha de enable hostname - Define o "nome" no roteador interface f0/0 Entra no modo de configurao da interface fastethernet 0/0 ip route 0.0.0.0 0.0.0.0 10.1.1.1 - cria uma rota padro para 10.1.1.1 ip route 192.168.0.0 255.255.255.0 172.16.1.1 cria uma rota esttica para a rede 192.168.0.0, atravs de 172.16.1.1 Modo Configurao de Interface description - Coloca uma descrio na interface end - Volta para o modo privilegiado exit - Sai do modo de configurao de Interface ip address 5.5.5.5 255.255.255.0 - Configura o IP e mscara na interface shutdown - Desabilita a interface no shutdown Habilita a interface Verificao bsica show arp - Mostra a tabela arp do roteador show diag - Mostra informaes dos mdulos show history - Mostra os ltimos comandos digitados show version - Mostra a verso do IOS e informaes de hardware show running-config - Mostra a configurao show interface - Mostra informaes das interfaces show ip interface - Mostra informaes do protocolo IP na interface show ip route - Mostra a tabela de rotas show users - Mostra os usurios conectados show tech-support - Informao completa do sistema Salvando a configurao copy running-config startup-config - Salva configurao da memria DRAM para NVRAM copy running-config tftp: - Salva configurao da memria DRAM para o servidor TFTP copy tftp: running-config - Salva configurao do servidor TFTP para memria

DRAM wr - Salva configurao da memria DRAM para NVRAM