Transferência de arquivos para o FTD e FMC com WinSCP

William Neumann Back to Basics, Cisco, Security, , ,

Uma solução prática para o dia a dia de operação


No dia a dia de quem administra Cisco Secure Firewall Threat Defense (FTD) e Cisco Secure Firewall Management Center (FMC), é comum surgir a necessidade de enviar ou copiar arquivos via SSH, como imagens, capturas de pacotes, scripts, certificados ou arquivos solicitados pelo TAC.

Para quem trabalha em ambiente Windows, uma das ferramentas mais utilizadas para isso é o WinSCP, que oferece uma interface gráfica simples e eficiente para conexões SCP/SFTP.

Este artigo mostra como realizar esse procedimento no FMC, explicando uma limitação comum e como contorná-la de forma segura.

WinSCP: uma ferramenta prática no ambiente Windows

O WinSCP é amplamente utilizado por administradores porque:

  • Possui interface gráfica (GUI)
  • Facilita transferência de arquivos via SCP ou SFTP
  • Evita o uso exclusivo de linha de comando para tarefas operacionais simples

Em ambientes Linux tradicionais, basta ter acesso SSH para que o SCP funcione. No FMC, porém, existe um detalhe importante.

Limitação padrão no FMC (versão 6.4 e superiores)
A partir do FMC 6.4, o acesso SCP não funciona diretamente para o usuário admin.

A imagem abaixo ilustra o comportamento do sistema quando um usuário tenta acessar o modo admin sem possuir permissão para acesso ao bash, resultando na negação do acesso.

Isso acontece porque, por padrão:

  • O usuário admin utiliza o clish
  • O clish não oferece um shell Linux completo, o que impede o uso de SCP via ferramentas como o WinSCP

Ou seja:
👉 O acesso SSH funciona, mas a transferência de arquivos via SCP não.

Ajuste temporário: habilitando shell bash para o usuário admin

Para permitir o uso do WinSCP, é necessário alterar temporariamente o shell do usuário admin para /bin/bash.

Comando para habilitar o bash

Acesse o FMC ou FTD via console ou SSH como root e execute:

root@FMC:/Volume/home/admin# usermod --shell /bin/bash admin

Após esse ajuste:

  • O usuário admin passa a ter um shell Linux completo
  • O WinSCP passa a funcionar normalmente
  • É possível enviar e receber arquivos via SSH

Esse procedimento é muito utilizado em:

  • Atendimentos com o TAC
  • Upload de arquivos temporários
  • Coletas e análises pontuais

A imagem abaixo ilustra o comportamento do sistema após o ajuste da permissão de acesso ao bash para o usuário. A partir desse ponto, já é possível listar diretórios, bem como copiar ou enviar arquivos para o FMC ou FTD via WinSCP.

Uso operacional: foco no dia a dia

Esse tipo de ajuste não é algo para deixar permanente.
Ele é pensado para operações específicas, como:

  • Envio de arquivos solicitados pelo TAC
  • Transferência de PCAPs
  • Upload de certificados ou arquivos auxiliares
  • Apoio a troubleshooting avançado

Ou seja: resolver o problema, executar a atividade e seguir boas práticas.

Importante: rollback após o uso

Após concluir a transferência de arquivos, o recomendado é retornar o usuário admin ao shell padrão (clish).

Comando para rollback

root@FMC:/Volume/home/admin# usermod --shell /usr/bin/clish admin

Conclusão 🧘‍♂️

Embora o FMC/FTD não permita SCP diretamente para o usuário admin por padrão, é possível contornar essa limitação de forma simples, controlada e segura, quando a operação exigir.

Ferramentas como o WinSCP continuam sendo grandes aliadas no dia a dia, especialmente para quem administra ambientes Cisco em sistemas Windows, desde que usadas com critério e com rollback ao final do processo.

Esse tipo de conhecimento operacional faz toda a diferença quando o tempo é curto e o problema precisa ser resolvido rápido.

Deixe um comentário