este artículo muestra cómo configurar y configurar SSH para administración remota de enrutadores Cisco IOS. Le mostraremos cómo verificar si SSH es compatible con su versión de IOS, cómo habilitarlo, generar una clave RSA para su enrutador y finalmente configurar SSH como el protocolo de administración preferido bajo las interfaces VTY.,
Secure Shell (SSH) proporciona un medio seguro y confiable de conexión a dispositivos remotos. Es un protocolo de red cifrado que permite a los Usuarios acceder de forma segura a los equipos a través de sesiones de interfaz de línea de comandos. SSH hace uso del puerto TCP 22 que está asignado para asegurar los inicios de sesión, la transferencia de archivos y el reenvío de puertos.,
SSH utiliza la Clave Pública para autenticar el dispositivo remoto y encriptar todos los datos entre ese dispositivo y la estación de trabajo, lo que lo convierte en la mejor opción para redes públicas, a diferencia de (telnet) que transmite datos en texto plano que los somete a amenazas de Seguridad, Esto hace que (telnet) se recomiende para redes privadas solo para mantener los datos sin compromisos.
verificar la compatibilidad con SSH en su enrutador
el primer paso consiste en Examinar si el IOS de su enrutador Cisco admite SSH o no., La mayoría de los routers Cisco modernos admiten SSH, por lo que esto no debería ser un problema.
productos con (K9) en el nombre de la imagen, por ejemplo, c2900-universalk9-mz.SPA.154-3.M2.bin, soporta cifrado fuerte con 3DES / AES mientras que los paquetes de IOS (K8) soportan cifrado débil con el DES obsoleto.
para verificar, simplemente ingrese al modo de privilegio y use el comando show ip SSH:
R1# show ip SSH
SSH Disabled – version 1.99
%Por favor cree claves RSA para habilitar SSH (y de al menos 768 bits para SSH v2).,
Tiempo de espera de autenticación: 120 segundos; reintentos de autenticación : 3
tamaño mínimo esperado de Clave Diffie Hellman: 1024 bits
claves IOS en formato SECSH(ssh-rsa, codificada en base64): NONE
en la salida anterior, el sistema muestra soporte SSH, pero actualmente está deshabilitado ya que no se ha generado ninguna clave RSA. También vale la pena señalar que se debe generar una clave de al menos 768 bits para habilitar SSHv2.,
Garantizar el Acceso al Router
siempre Es una buena idea primero restringir el acceso al router de Cisco antes de habilitar SSH. Esto es muy importante, especialmente cuando el dispositivo tiene una interfaz frente a redes públicas, por ejemplo, Internet, Punto de acceso público.
primero creamos credenciales de usuario para el dispositivo y luego habilitamos Athentication, Authorization & Accounting Services (AAA)., Finalmente, asegúrese de que una contraseña secreta esté configurada para proteger el acceso al modo de privilegio, junto con el comando service password-encryption para garantizar que todas las contraseñas de texto claro estén cifradas:
a continuación, se recomienda restringir el acceso remoto solo a través del protocolo SSH. Esto asegurará que los servicios inseguros como Telnet no se puedan usar para acceder al enrutador. Telnet envía toda la información sin cifrar, incluido el nombre de usuario/contraseña, y por lo tanto se considera un riesgo de seguridad.,
usaremos el comando transport input SSH en la sección VTY para restringir el acceso remoto usando solo SSH. Tenga en cuenta que también podemos usar listas de Acceso para restringir las conexiones SSH a nuestro enrutador:
Nota: el comando de contraseña utilizado en la sección Línea vty 0 4 es completamente opcional y no se usa en nuestro caso debido al comando predeterminado de autenticación de inicio de sesión que obliga al enrutador a usar el mecanismo AAA para toda la autenticación de usuario.,
generar el certificado Digital de clave RSA de nuestro enrutador
las claves digitales sirven para ayudar a asegurar aún más las comunicaciones entre dispositivos. Nuestro siguiente paso consiste en generar un par de claves RSA que será utilizado por SSH para ayudar a cifrar el canal de comunicación.
antes de generar nuestra clave RSA, es necesario definir el dominio de nuestro enrutador utilizando el comando ip domain-name, seguido del comando crypto key generate:
R1 (config) # crypto key generate RSA
El nombre de las claves será: R1.firewall.cx elija el tamaño del módulo de clave en el rango de 360 a 4096 para sus claves de Propósito General. La elección de un módulo clave mayor que 512 puede tardar unos minutos. Cuántos bits en el módulo : 4096
% generando claves RSA de 4096 bits, las claves no serán exportables…
(El tiempo transcurrido fue de 183 segundos)
al generar nuestros pares de claves, el enrutador nos notifica con el nombre utilizado para las claves, que consiste en el nombre de host del enrutador (R1) + nombre de dominio configurado (firewall.cx)., Finalmente, podemos seleccionar la cantidad de bits utilizados para el módulo (clave).
desde que seleccionamos para generar una clave usando 4096 bits, el router tomó un poco más de 3 minutos para generar la clave! Tenga en cuenta que el router utilizado en nuestro ejemplo fue un Cisco 877.
con SSH habilitado, podemos SSH en nuestro enrutador y administrarlo de forma segura desde cualquier ubicación en todo el mundo.,
para ver cualquier sesión SSH activa, simplemente use el comando show SSH:
R1# show SSH
Connection Version Mode Encryption Hmac State Username
0 2.0 IN AES256-CBC hmac-sha1 Session started admin
0 2.0 OUT aes256-CBC HMAC-SHA1 session started admin
%no hay conexiones de servidor sshv1 ejecutándose.
R1 #
este artículo explica la importancia de habilitar y usar SSH para administrar y configurar de forma remota su enrutador Cisco., Vimos cómo crear usuarios para la administración remota, habilitar AAA, cifrar contraseñas de texto claro, habilitar SSHv2, generar claves RSA y verificar sesiones SSH en nuestro enrutador.
volver a la sección de routers Cisco