SSH Secure Shell

Interc. Y Seguridad en redes

MC. Edna Iliana Tamariz Flores
Otoo 2015

 SSH proporciona el mismo tipo de

acceso que Telnet, con el beneficio
agregado de seguridad.
La comunicacin entre el cliente SSH
y el servidor SSH est encriptada.
SSH pas por algunas versiones, con
los dispositivos de Cisco admitiendo
actualmente SSHv1 y SSHv2.

 Se recomienda que implemente SSHv2

cuando sea posible, debido a que utiliza un
algoritmo de encriptacin de seguridad
mejor que SSHv1.
SSHv2 proporciona mejor seguridad usando
el intercambio de claves Diffie-Hellman y el
cdigo de autenticacin de mensajes
(message authentication code - MAC) de
fuerte revisin de integridad.

 La conexin est cifrada y opera en

el puerto 22.

SSH
es
una
caracterstica
criptogrfica de seguridad que est
sujeta a exportar restricciones.
Para utilizar esta caracterstica se
debe
instalar
una
imagen
criptogrfica en su switch.

 La caracterstica SSH tiene un servidor SSH y un

cliente integrado SSH.
SSH admite el algoritmo Estndar de encriptacin
de datos (DES) , el algoritmo DES triple (3DES) y la
autenticacin de usuario basada en la contrasea.
DES ofrece encriptacin de 56 bits, y 3DES ofrece
encriptacin de 168 bits.
La encriptacin lleva tiempo, pero DES demora
menos que 3DES en encriptar texto.
Tpicamente, los estndares de encriptacin los
especifica el cliente.

 Para implementar SSH, debe generar claves

RSA.
RSA incluye una clave pblica, guardada en un
servidor pblico de RSA y una clave privada,
guardada slo por el emisor y el receptor.
La clave pblica la pueden conocer todos y se
utiliza para encriptar mensajes.
Los mensajes encriptados con la clave pblica
slo se pueden descifrar utilizando la clave
privada.

Paso 1
Router(config)#hostnameCapacity
Configuramos el hostname, de lo
contrario el IOS no nos permite
configurar SSH.

Paso 2
Capacity(config)#ip domainnamecapacityacademy.com
Configuramos el nombre de dominio.

Paso 3
Capacity(config)#crypto key
generate rsa 1024
Con este comando generamos una
llave pblica de 1024 bits. El
protocolo SSH cifra todos los datos
enviados y recibidos a travs del
puerto 22. Para esto fines, se utiliza
el algoritmo de cifrado asimtrico
RSA.

Paso opcional
Capacity(config)#ip ssh version 2
Este comando establece que
utilizaremos la versin 2 del
protocolo SSH. La versin 1 tiene un
fallo de seguridad terrible. No se
recomienda su uso bajo ninguna
circunstancia.

Paso 4
Capacity(config)#line vty0 4
Habilitamos 5 puertos virtuales para
las conexiones SSH.
Capacity(config-line)#transport
input ssh
Establecemos que el protocolo a
utilizar para conexiones remotas ser
SSH.
Capacity(config-line)#login local

Paso 5
Capacity(config)#usernameadmin
privilege 15 password cisco
Creamos un usuario y password para
podernos conectar al equipo a travs
de SSH.

Paso opcional
Capacity(config)#ip ssh time-out30
Configuracin de tiempo de espera. Si a los 30
segundos de inicializar la conexin el usuario no
introduce su usuario y contrasea,
automticamente se cae la conexin.
El valor del tiempo muerto en seg: 120, es el
predeterminado. Se aplica a la cantidad de tiempo
que el switch permite que se establezca una
conexin
El tiempo que el router espera para que responda
el cliente SSH durante la fase de negociacin SSH

Paso opcional
Capacity(config)#ip ssh
authentication-retries3
Con este comando establecemos un
mximo de tres intentos para que un
usuario se valide en el sistema. De lo
contrario el usuario deber
restablecer una nueva sesin.
Valor predeterminado 5 conexiones
mltiples.

Para eliminar las claves

Crypto key zeroize rsa
Entonces el servidor se deshabilita
automticamente

En PC
>ssh l user dir IP

Verificar en dispositivo router o

switch
Show ip ssh
Show ssh
Show crypto key mypubkey rsa