Implementación de SSH para proteger el acceso administrativo remoto
Tradicionalmente, al acceso administrativo remoto de los routers se configuraba mediante Telnet en el puerto TCP 23. Sin embargo, Telnet se desarrolló en un tiempo en el que la seguridad no era un problema. Por este motivo, todo el tráfico de Telnet se envía en forma de texto sin cifrar.
SSH reemplazó a Telnet como la mejor práctica para proporcionar administración remota de los routers con conexiones que admiten una sólida privacidad e integridad de las sesiones. SSH utiliza el puerto TCP 22. Brinda una funcionalidad similar a la de una conexión Telnet saliente, con la excepción de que la conexión se encuentra encriptada. Mediante la autenticación y la encriptación, SSH hace posibles las comunicaciones seguras a través de una red insegura.
Los routers Cisco pueden actuar como cliente y servidor SSH. De manera predeterminada, ambas funciones se encuentran activadas en el router cuando se activa SSH. Como cliente, un router puede realizar un SSH a otro router. Como servidor, un router puede aceptar conexiones SSH cliente.
Para saver si tenemos bien configurado y establecer sesion con el router nos vamos al siguiente paso que seria :
1. Configurando SSH en router
Para permitir SSH en el router, se deben configurar los siguientes parámetros:
Nombre de host
Nombre de dominio
Claves asimétricas
Autenticación local
TOPOLOGIA DE EJEMPLO
Teniendo la topología que vamos a utilizar (dos routers y una PC), pasamos a configurar el primer router para nuestra práctica con SSH. (Teniendo en mente que las direcciones IP en cada una de las interfases del router a utilizar, se encuentran configuradas, así como la configuración de los enlaces DCE y DTE de los routers, también la configuración del puerto de consola, los banners y el password de enable secret).
 | |||||||||
Se debe crear un nombre de dominio para activar el SSH. En este ejemplo, escriba el comando ip domain-name cftlotarauco.cl, en el modo de configuración global.
Luego, debe crear una clave que el router pueda utilizar para encriptar su tráfico de administración de SSH con el comando crypto key generate rsa del modo de configuración.
El router responde con un mensaje que muestra la norma de denominación de las claves. Elija el tamaño del módulo de la clave que debe estar entre 360 y 2048 para sus Claves de propósito general.
Elegir un módulo de clave mayor a 512 puede llevar algunos minutos. Como mejor práctica, Cisco recomienda utilizar una longitud de módulo mínima de 1024.
El comando transport input ssh nos indica que protocolos dejar pasar por la línea virtual vty, la cual nos sirve para las sesiones remotas; en este caso le decimos al router que solamente deje pasar el protocolo SSH.
El comando login local le especifica al router que utilizara su base de datos local para el acceso a usuarios remotos.
El username es el nombre de usuario de la sesión; que en este caso es angel, el password es la contraseña que utilizaremos para el usuario angel y para acceder mediante SSH.
Enable secret 0 cisco, nos indica los privilegios que tendrá el usuario que se conecte remotamente.
5. Estableciendo sesión SSH en PC
Ahora para establecer la sesión SSH en el PC y acceder remotamente al router VICTORIA y al Router MTY. Solamente entramos a nuestra PC y desde escritorio o “Desktop” entramos a la línea de comandos o “Command Prompt” y tecleamos la siguiente línea:
La dirección 192.168.7.1 es para acceder al router VICTORIA, si queremos acceder al router MTY escribimos la dirección 192.168.7.254.(Nota: después del SSH es guion (-) y la letra “L” en minúscula, seguido del nombre de usuario.)
Inmediatamente después de eso, nos dirá que el canal se encuentra abierto “Open” y nos pedirá el password que en este caso, al crear el usuario en el router tenemos como password “cisco”, así teniendo una sesión remota con el router mediante SSH.
No hay comentarios:
Publicar un comentario