Telnet tiene una seria desventaja frente a SSH: todos los datos en la sesiones se trasmiten en texto plano, incluyendo la contraseña.
SSH encripta todos los datos transmitidos entre el cliente SSH y el servidor, protegiendo asà los datos y las contraseñas.
SSH utiliza el puerto bien conocido 22/TCP.
Ejemplo: Agregando la Configuración SSH a la Configuración de un Usuario Local
SW1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
!
! Paso1. El hostname ya etsa configurado, pero se repite para reafirmar
! el paso.
!
SW1(config)# hostname SW1
SW1(config)# ip domain-name ejemplo.com
SW1(config)# crypto key generate rsa
The name for the keys will be: SW1.ejemplo.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 4 seconds)
SW1(config)#
!
! Optionalmente, configura la versión SSH a la versión 2
!
SW1(config)# ip ssh version 2
!
! El paso siguiente, configurar la lÃneas vty para el soporte de usuario local,
! de igual manera que en la configuración de Telnet
!
SW1(config)# line vty 0 15
SW1(config-line)# login local
SW1(config-line)# exit
!
! Se definen los ususarios locales tal como en Telnet
!
SW1(config)# username wendell password odom
SW1(config)# username chris password youdaman
SW1(config)# ^Z
SW1#Nota: Puedes deshabilitar Telnet si lo deseas para tener mayor seguridad, de la misma manera se puede deshabilitar SSH. Para hacer esto utiliza el dentro de vty el subcomando transport input {all | none | telnet | ssh}.
transport input all or transport input telnet ssh: Soporta ambos, Telnet y SSH
transport input none: No soporta a ninguno
transport input telnet: Soporta sólo Telnet
transport input ssh: Soporta sólo SSH
Pasos para configurar SSH en Cisco
- Configura el switch para generar un par de llaves (keys) públicas y privadas que coincidan entre ellas para utilizan en la encriptación:
- Si no esta configurado, configura un hostname en el modo de configuración global.
- Si no esta configurado, configura el nombre de dominio con el comando ip domain-name en el modo de configuración global.
- Ingresa el comando crypto key generate rsa en el modo de configuración global para generar una llave. (Utiliza al menos una llave de 768-bit para poder soportar la versión 2 de SSH.)
- (Opcional) Utiliza el comando ip ssh version 2 en el modo de configuración global para que no admita la versión 1 y 2 de SSH y sólo admita SSHv2.
- (Opcional) Si no esta configurado con la especificaciones que deseas, configura la lÃneas vty para aceptar SSH y también Telnet:
- Utiliza el comando transport input ssh en el modo de configuración line vty para permitir sólo SSH.
- Utiliza el comando transport input all (por defecto) o el comando transport input telnet ssh en el modo de configuración line vty para permitir tanto SSH como Telnet.
- Utiliza varios comandos en el modo de configuración line vty para configurar el nombre de usuario y autenticación mencionado antes en éste artÃculo.
Ver el estado del servidor SSH
SW1# show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3Ver los usuarios SSH
SW1# show ssh
Connection Version Mode Encryption Hmac State Username
0 2.0 IN aes128-cbc hmac-sha1 Session started wendell
0 2.0 OUT aes128-cbc hmac-sha1 Session started wendell
%No SSHv1 server connections running.
0 Comentarios