Cómo configurar SSH en un router Cisco
La mayoría de los profesionales de TI se dan cuenta de que utilizar Telnet para gestionar routers, switches y firewalls es inseguro. Transmitido en texto plano a través de una red, el tráfico de Telnet básicamente publica cualquier nombre de usuario y contraseña de inicio de sesión a cualquier atacante que esté escuchando y que pueda aprovechar esa información para acceder a un dispositivo como administrador de red.
La alternativa estándar a la falta de seguridad de Telnet es Shell Seguro (SSH). Al igual que Telnet, puedes usar SSH para introducir comandos IOS a través de una red o para copiar archivos a través de la red a un dispositivo. Pero con SSH, que utiliza cifrado y certificados digitales, no tienes tantas preocupaciones de seguridad.
Versiones de Secure Shell
Existen dos versiones de Secure Shell: SSH1 y SSH2. Cisco IOS 12.1(3)T fue la primera versión en admitir SSH1; sin embargo, requiere la versión de cifrado IPSec en la IOS de Estándar de Cifrado de Datos (DES) o Triple DES (3DES).
Ciertas versiones de IOS 12.3, como 12.3(4)T, 12.2(25)S y 12.3(7)JA o posteriores, fueron las primeras en admitir SSH2, que requiere una versión de la IOS que admita 3DES. Las versiones de IOS que admiten 3DES tienen "k9" en el nombre del archivo.
Es importante tener en cuenta que SSH1 y SSH2 son dos protocolos completamente diferentes. SSH2 ofrece mucha más seguridad y recomiendo utilizarlo siempre que sea posible. Sin embargo, incluso SSH1 es mejor que Telnet ya que te protegerá de los hackers ocasionales que intenten obtener contraseñas de tu red.
Configuración de SSH en un router Cisco IOS
Comencemos con cómo configurar SSH en un router Cisco IOS. Este proceso de configuración es muy similar en los switches y firewalls de Cisco. Antes de comenzar, asegúrate de tener la imagen adecuada que incluya el cifrado IPSec DES o 3DES para asegurarte de que SSH sea posible.
10 comandos que debes configurar en cada router CiscoPara nuestro ejemplo, estoy utilizando un router 2611 que ejecuta la versión 12.2(15)T9, que incluye cifrado 3DES. El nombre exacto del archivo es c2600-ik9o3s3-mz.122-15.T9.bin.
En primer lugar, asegúrate de que tu router tenga un nombre de host utilizando el comando hostname. Aquí tienes un ejemplo:
Router(config)# hostname TR-Router TR-Router(config)#
A continuación, configura un nombre de dominio en tu router utilizando el comando ip domain-name. Aquí tienes un ejemplo:
TR-Router(config)# ip domain-name Newsmatic.com TR-Router(config)#
Luego, crea un par de claves de cifrado RSA para que el router las utilice para la autenticación y el cifrado de los datos SSH. Una de las preguntas que debes responder durante este proceso es el tamaño del módulo de la clave. Asegúrate de que el módulo de la clave tenga al menos 768 bits. Aquí tienes un ejemplo:
TR-Router(config)# crypto key generate rsa El nombre de las claves será: TR-Router.Newsmatic.com Elige el tamaño del módulo de la clave dentro del rango de 360 a 2048 para tus claves de propósito general. Elegir un módulo de clave mayor que 512 puede tardar unos minutos. ¿Cuántos bits en el módulo [512]: 768 % Generando claves RSA de 768 bits ...[OK] TR-Router(config)# *Mar 1 00:17:13.337: %SSH-5-ENABLED: SSH 1.5 se ha habilitado TR-Router(config)#
Como puedes ver en este ejemplo, después de que el sistema genere la clave, recibirás un mensaje que indica que ha habilitado automáticamente SSH 1.5 en el router. Para aclarar, SSH 1.5 es la forma en que Cisco indica que este router está ejecutando SSH1. Si el sistema ha habilitado el soporte tanto para SSH1 como para SSH2, este mensaje diría SSH 1.99. Si el sistema solo ha habilitado el soporte para SSH2, el mensaje diría SSH 2.0.
También puedes configurar ajustes de SSH si lo deseas. Para hacerlo, utiliza el comando ip ssh con los parámetros que elijas establecer. (Diferentes versiones de IOS tienen diferentes opciones porque admiten diferentes versiones de SSH). Aquí tienes un ejemplo:
Solución de problemas comunes en la conexión VPN de CiscoTR-Router(config)# ip ssh ? authentication-retries Especifica el número de intentos de autenticación Port Starting (or only) port number to listen on RSA Configure el nombre de par de claves RSA para SSH source-interface Especifica la interfaz como dirección de origen en las conexiones SSH time-out Especifica el intervalo de tiempo de espera SSH TR-Router(config)# ip ssh
La configuración opcional de los ajustes de SSH completa el proceso de configuración de SSH en el router. Ahora, echemos un vistazo a cómo mostrar el estado de SSH.
Mostrar el estado de SSH
Para ver el estado de SSH, puedes utilizar los siguientes comandos:
- Utiliza show ip ssh para ver los ajustes de SSH.
- Utiliza show ssh para ver las conexiones de SSH.
Aquí tienes un ejemplo:
TR-Router# show ip ssh SSH Enabled - version 1.5 Authentication timeout: 120 secs; Authentication retries: 3 TR-Router# show ssh %No SSH server connections running. TR-Router#
También están disponibles los comandos de depuración SSH utilizando el comando debug ip ssh.
Puedes utilizar el cliente SSH incorporado en un dispositivo para conectarte a otros servidores SSH. El comando del modo privilegiado es ssh. Aquí tienes un ejemplo:
TR-Router# ssh ?
-c Seleccionar el algoritmo de cifrado
-l Iniciar sesión utilizando este nombre de usuario
-o Especificar opciones
-p Conectar a este puerto
WORD Dirección IP o nombre de host de un sistema remoto TR-Router# ssh
Un aviso: En mayo de 2005, los investigadores descubrieron vulnerabilidades en varias versiones de Cisco IOS con capacidades SSH. Para obtener más información y asegurarte de que la versión de IOS que estás utilizando no es vulnerable, consulta "Aviso de seguridad de Cisco: Vulnerabilidades en el servidor Cisco IOS Secure Shell".
Comandos de Cisco IFS: cómo manipular archivos en un router CiscoEn Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Redes, allí encontraras muchos artículos similares a Cómo configurar SSH en un router Cisco , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados