VERIFICACIÓN DE SSH

En las computadoras se usa un cliente SSH, como PuTTY, para conectarse a un servidor SSH. Para los ejemplos de las figuras 1 a 3, se configuró lo siguiente:

Se habilitó SSH en el switch S1.

Interfaz VLAN 99 (SVI) con la dirección IP 172.17.99.11 en el switch S1.

PC1 con la dirección IPv4 172.17.99.21.

En la figura 1, la computadora inicia una conexión SSH a la dirección IPv4 de la VLAN SVI de S1.

1.PNG

En la figura 2, se solicita al usuario que introduzca un nombre de usuario y una contraseña. Con la configuración del ejemplo anterior, se introduce el nombre de usuario admin y la contraseña ccna. Después de introducir la combinación correcta, el usuario se conecta a la CLI del switch Catalyst 2960 mediante SSH.

2.PNG

Para mostrar los datos de la versión y de configuración de SSH en el dispositivo que configuró como servidor SSH, use el comando show ip ssh. En el ejemplo, se habilitó la versión 2 de SSH. Para revisar las conexiones SSH al dispositivo, use el comando show ssh (consulte la figura 3).

3.PNG

CONFIGURACIÓN DE SSH

Antes de configurar SSH, el switch debe tener configurado, como mínimo, un nombre de host único y los parámetros correctos de conectividad de red.

Paso 1: Verificar la compatibilidad con SSH

Use el comando show ip ssh para verificar que el switch admita SSH. Si el switch no ejecuta un IOS que admita características criptográficas, este comando no se reconoce.

Paso 2: Configurar el dominio IP

Configure el nombre de dominio IP de la red mediante el comando ip domain-name nombre-de-dominio comando global configuration mode. En la figura 1, el valor de nombre-de-dominio es cisco.com.

1.PNG

Paso 3: Generar pares de claves RSA

No todas las versiones del IOS utilizan la versión 2 de SSH de manera predeterminada, y la versión 1 de SSH tiene fallas de seguridad conocidas. Para configurar la versión 2 de SSH, emita el comando ip ssh version 2 del modo de configuración global. La creación de un par de claves RSA habilita SSH automáticamente. Use el comando crypto key generate rsa del modo de configuración global para habilitar el servidor SSH en el switch y generar un par de claves RSA. Al crear claves RSA, se solicita al administrador que introduzca una longitud de módulo. La configuración de ejemplo en la figura 1 utiliza un tamaño de módulo de 1024 bits. Una longitud de módulo mayor es más segura, pero se tarda más en generarlo y utilizarlo.

Nota: para eliminar el par de claves RSA, use el comando crypto key zeroize rsa del modo de configuración global. Después de eliminarse el par de claves RSA, el servidor SSH se deshabilita automáticamente.

Paso 4: Configurar la autenticación de usuario

El servidor SSH puede autenticar a los usuarios localmente o con un servidor de autenticación. Para usar el método de autenticación local, cree un par de nombres de usuario y contraseñas con el comando username Nombre de usuario secret Contraseña comando global configuration mode. En el ejemplo, se asignó la contraseña ccna al usuario admin.

Paso 5: Configurar las líneas vty

Habilite el protocolo SSH en las líneas vty mediante el comando transport input ssh del modo de configuración de línea. El switch Catalyst 2960 tiene líneas vty que van de 0 a 15. Esta configuración evita las conexiones que no son SSH (como Telnet) y limita al switch a que acepte solo las conexiones SSH. Use el comando line vty del modo de configuración global y, luego, el comando login local del modo de configuración de línea para requerir la autenticación local de las conexiones SSH mediante la base de datos de nombres de usuarios locales.

Paso 6: Habilitar la versión 2 de SSH

De manera predeterminada, SSH admite las versiones 1 y 2. Si se admiten ambas versiones, en el resultado de show ip ssh se muestra que se admite la versión 1.99. La versión 1 tiene vulnerabilidades conocidas. Por esta razón, se recomienda habilitar únicamente la versión 2. Habilite la versión de SSH mediante el comando de configuración global ip ssh version 2.

FUNCIONAMIENTO DE SSH

Shell seguro (SSH) es un protocolo que proporciona una conexión de administración segura (cifrada) a un dispositivo remoto. SSH debe reemplazar a Telnet para las conexiones de administración. Telnet es un protocolo más antiguo que usa la transmisión no segura de texto no cifrado de la autenticación de inicio de sesión (nombre de usuario y contraseña) y de los datos transmitidos entre los dispositivos que se comunican. SSH proporciona seguridad para las conexiones remotas mediante el cifrado seguro cuando se autentica un dispositivo (nombre de usuario y contraseña) y también para los datos transmitidos entre los dispositivos que se comunican. SHH se asigna al puerto TCP 22. Telnet se asigna al puerto TCP 23.

En la figura 1, un atacante puede controlar los paquetes mediante Wireshark. Se puede dirigir un flujo de Telnet para que capture el nombre de usuario y la contraseña.

1.PNG

En la figura 2, el atacante puede capturar el nombre de usuario y la contraseña del administrador desde la sesión de Telnet de texto no cifrado.

2.PNG

En la figura 3, se muestra la vista de Wireshark de una sesión de SSH. El atacante puede hacer un seguimiento de la sesión mediante la dirección IP del dispositivo administrador.

3.PNG

Sin embargo, en la figura 4, el nombre de usuario y la contraseña están cifrados.

4.PNG

Para habilitar SSH en un switch Catalyst 2960, el switch debe usar una versión del software IOS que incluya características y capacidades criptográficas (cifradas). En la figura 5, use el comando show version en el switch para ver qué IOS se ejecuta actualmente en el dispositivo. Un nombre de archivo de IOS que incluye la combinación “k9” admite características y capacidades criptográficas (cifradas).

5

ACCESO A LA CONSOLA

En un entorno de producción, generalmente se accede a los dispositivos de infraestructura de manera remota mediante shell seguro (SSH) o el protocolo de transferencia de hipertexto seguro (HTTPS). El acceso a la consola solo es realmente necesario para realizar la configuración inicial de un dispositivo o si el acceso remoto falla.

El acceso a la consola requiere lo siguiente:

  • Cable de consola: cable serial RJ-45 a DB-9 o cable serial USB
  • Software de emulación de terminal: Tera Term, PuTTY, HyperTerminal

El cable se conecta entre el puerto serie del host y el puerto de consola en el dispositivo. La mayoría de las computadoras portátiles y de escritorio ya no cuentan con puertos serie incorporados. Si el host no tiene ningún puerto serie, se puede utilizar el puerto USB para establecer una conexión de consola. Cuando se usa el puerto USB, se requiere un adaptador especial de puerto serie compatible USB a RS-232.

El ISR Cisco G2 admite una conexión serie de consola USB. Para establecer la conectividad, se requiere un USB de tipo A a tipo B (USB mini-B), así como un controlador de dispositivo del sistema operativo. Este controlador de dispositivo se puede descargar en www.cisco.com. Si bien estos routers tienen dos puertos de consola, los puertos solo se pueden usar de a uno por vez. Cuando se conecta un cable al puerto de consola USB, el puerto RJ-45 queda inactivo. Cuando se quita el cable USB del puerto USB, el puerto RJ-45 se activa.

En la tabla de la figura 1, se resumen los requisitos para las conexiones de consola. En la figura 2, se muestran los distintos puertos y cables que se requieren.

12

MÉTODOS DE ACCESO A UN SWITCH

Un switch de Cisco puede implementarse sin ninguna configuración, y de todas maneras conmutará los datos entre los dispositivos conectados. Al conectar dos PC a un switch, esas PC tienen conectividad mutua en forma inmediata.

Si bien un switch de Cisco funcionará de inmediato, la mejor práctica recomendada es configurar los parámetros iniciales. Existen varias formas de acceder al entorno de la CLI y configurar el dispositivo. Los métodos más comunes son los siguientes:

  • Consola: este es un puerto de administración que proporciona acceso fuera de banda a un dispositivo de Cisco. El acceso fuera de banda se refiere al acceso mediante un canal de administración dedicado que se utiliza únicamente para el mantenimiento del dispositivo. La ventaja de utilizar un puerto de consola es que es posible acceder al dispositivo incluso si no se configuró ningún servicio de red, por ejemplo, cuando se realiza la configuración inicial del dispositivo de red. Al realizar la configuración inicial, una computadora con software de emulación de terminal se conecta al puerto de consola del dispositivo mediante un cable especial. En la computadora conectada pueden ingresarse los comandos de configuración para iniciar el switch o el router.
  • Shell seguro (SSH): es un método para establecer de forma remota una conexión segura a través de una interfaz virtual, en una red. A diferencia de la conexión de consola, las sesiones de SSH requieren servicios de red activos en el dispositivo, que incluye una interfaz activa configurada con una dirección. El SSH es el método recomendado para administración remota ya que proporciona una conexión segura. El SSH proporciona autenticación de contraseña y transporte de datos de la sesión. De esta manera se mantienen en privado la ID del usuario, la contraseña y los detalles de la sesión de administración. La mayoría de las versiones de Cisco IOS incluyen un servidor SSH y un cliente SSH que pueden utilizarse para establecer sesiones SSH con otros dispositivos.
  • Telnet: es un método no seguro para establecer de forma remota una sesión de CLI a través de una interfaz virtual, en una red. A diferencia de SSH, Telnet no proporciona una conexión cifrada segura. La autenticación de usuario, las contraseñas y los comandos se envían por la red en texto no cifrado. Las mejores prácticas aconsejan el uso de SSH en lugar de Telnet para las conexiones de administración remota de la CLI. Cisco IOS incluye un servidor Telnet y un cliente Telnet que pueden utilizarse para establecer sesiones Telnet con otros dispositivos.