Configuração SSH Firewall H3C SECPATH F1000-S

Introdução

A firewall SECPATH funciona como um servidor SSH 1.5 e 2.0 e como um cliente SSH 2.0. Por motivos de segurança exige-se utilizar, tanto para o servidor como para o cliente, a versão 2.0.

Existem duas formas de autenticação:

• Autenticação por senha.
• Autenticação por chave RSA.

Por padrão, o IP de origem de cada pacote enviado pelo Servidor SSH é o IP da interface por onde o pacote saiu (ou foi originado).

Configurações do Servidor SSH

1) Criar as chaves públicas e privadas da firewall.

[H3C] rsa local-key-pair-create

2) Habilitar o protocolo SSH nas interfaces VTY

[H3C] user-interface vty 0 4

[H3C-ui-vty0-4] authentication-mode scheme

[H3C-ui-vty0-4] protocol inbound ssh

[H3C-ui-vty0-4] quit

3) Habilitar o SSH como serviço de login de um usuário

[H3C] local-user joao

[H3C-luser-joao] password simple <my-secret>

[H3C-luser-joao] service-type ssh

[H3C-luser-joao] quit

[H3C] ssh user joao authentication-type password

4) A forma padrão de autenticação será password

[H3C] ssh authentication-type default password

5) O tempo de espera durante a autenticação será de 40 segundos

[H3C] ssh server timeout 40

6) O número de tentativas de login será de 2 vezes.

[H3C] ssh server authentication-retries 2

7) O tempo de renovação da chave do servidor (utilizada na negociação) é de 1 hora

[H3C] ssh server rekey-interval 1

8) Desabilitar a compatibilidade com clientes versão 1.5

[H3C] undo ssh server compatible-ssh1x

Utilizando o Cliente SSH

Antes de utilizar o cliente SSH é necessário estabelecer o parâmetro:

[H3C] ssh client first-time enable

Este parâmetro permite que o cliente procure ter acesso ao servidor e obter a chave pública através de negociação. Essa chave será armazenada na firewall para utilização em outros acessos SSH.

Para conectar-se em um servidor SSH ativo no IP 200.14.64.24 e na porta 4788 é necessário utilizar o comando:

[H3C] ssh2 200.14.64.24 4788

No arquivo de configuração aparecerá a chave pública do servidor contactado pelo cliente.

Modelo de configurações

#

 rsa peer-public-key 200.14.64.14

  public-key-code begin                   

      [ ... chave omitida ... ]               

  public-key-code end                     

 peer-public-key end                      

#

 rsa peer-public-key 200.14.64.24

  public-key-code begin

      [ ... chave omitida ... ]

  public-key-code end

 peer-public-key end

#                                

local-user joao                       

 password cipher <a-secret> 

 service-type ssh                         

 level 3                                            

#

 ssh authentication-type default password

 ssh server timeout 40                    

 ssh server authentication-retries 2

 ssh server rekey-interval 1

 undo ssh server compatible-ssh1x

 ssh client 200.14.64.14 assign rsa-key 200.14.64.14

 ssh client 200.14.64.24 assign rsa-key 200.14.64.24

#

user-interface con 0

user-interface aux 0

user-interface vty 0 4

 authentication-mode scheme

 protocol inbound ssh

#