Configuración SSH en el Router Cisco

admin

la seguridad sigue dominando la industria de ti y es uno de los factores más importantes a tener en cuenta al diseñar e implementar redes.

por lo tanto, es imperativo que seamos capaces de determinar y prevenir la mayoría, si no todas, las vulnerabilidades que puedan existir. Una de esas debilidades es Telnet a la que SSH es la alternativa.

Hoy vamos a echar un vistazo más profundo a cómo puede habilitar y configurar su Router Cisco para usar SSH y por qué siempre debemos usar SSH cuando sea posible en lugar de usar Telnet.,

todos sabemos que cuando se trata de seguridad dentro del universo de redes, Cisco es uno de los jugadores más grandes. Sin embargo, solo tener un dispositivo Cisco no significa que esté seguro. La responsabilidad recae en usted para asegurarse de que ha configurado ese dispositivo correctamente para evitar la mayoría, si no todos, lagunas.

¿por qué usar Secure Shell (SSH)?

Secure Shell (SSH) mejora la seguridad de la red al proporcionar un medio para establecer conexiones seguras a dispositivos de red para la administración, evitando así que los hackers obtengan acceso.,

usando certificados digitales, en una criptografía de Clave Pública/Privada, SSH puede autenticar clientes o servidores asegurando que el dispositivo o servidor al que está a punto de conectarse es exactamente quien dicen ser.

Ok, así que ahora que tenemos una idea muy breve de cómo SSH asegura el tráfico de red, el siguiente paso es averiguar dónde obtener esto que llamamos un certificado digital. ¿Tenemos que ir a una tienda para comprarlo?

Los certificados digitales se pueden adquirir generalmente de tres maneras diferentes., Lo más seguro (y costoso) es solicitarlo a una empresa de confianza llamada CA – Certificate Authorities. Un ejemplo de una de estas compañías es VeriSign, que es muy popular dentro de la industria de CA por su papel en el suministro de certificados de confianza en todo el mundo; sin embargo, estos certificados pueden costar bastante.

hay otras dos formas de solicitar un certificado. Una es mediante el uso de una CA de confianza interna (de confianza dentro de una empresa), también llamada CA empresarial, o mediante la generación de un certificado de auto-firma en el propio dispositivo., La última es la forma menos segura, pero proporciona seguridad más que suficiente para bloquear su dispositivo de red promedio. Este certificado autofirmado se puede generar utilizando los comandos integrados en su router Cisco.

¿Qué pasa con Telnet?

Al igual que SSH, Telnet también se puede usar para conectarse a su enrutador, pero la principal desventaja de usar Telnet es que no encripta sus conexiones., Esto significa que si un hacker es capaz de capturar paquetes de una sesión Telnet, él o ella sería capaz de ver la información contenida en esos paquetes, como el nombre de usuario y contraseña de un cliente, por lo tanto, obtener acceso a su router.

el siguiente diagrama le dará una idea de cómo funciona esto.

configuración del Router SSH

ahora que tenemos una comprensión de cómo funciona SSH y por qué deberíamos usarlo en lugar de Telnet, el siguiente paso es realmente llegar a configurar el dispositivo, que siempre es mi parte favorita.,

para este ejercicio utilizaré un router Cisco 871 series SOHO con IOS ver. 12.4 software. Dependiendo de si su router es nuevo o se encuentra actualmente en un entorno de producción, tendrá que conectarse a través de una sesión de consola o a través de una sesión de Telnet.

eche un vistazo a mi artículo sobre la configuración de un router Cisco para usar RADIUS para la autenticación para conocer los pasos necesarios para conectarse a través de una sesión de consola o puede consultar este artículo en el sitio web de Cisco.

Estos son los pasos:

1. Configure un nombre de host para el router usando estos comandos.,

yourname # configure terminal

introduzca los comandos de configuración, uno por línea. Termina con CNTL / Z.

yourname (config) # hostname LabRouter

LabRouter(config)#

2. Configure un nombre de dominio con el comando ip domain-name seguido de lo que quiera que sea su nombre de dominio. Yo usé CiscoLab.com.

LabRouter (config)#ip domain-name CiscoLab.com

3. Generamos un certificado que se utilizará para cifrar los paquetes SSH utilizando el comando crypto key generate RSA.,

tome nota del mensaje que se muestra justo después de introducir este comando :» el nombre de las claves será: LabRouter.CiscoLab.com » combines combina el nombre de host del enrutador junto con el nombre de dominio que configuramos para obtener el nombre de la clave de cifrado generada; por eso era importante para nosotros, primero, configurar un nombre de host y luego un nombre de dominio antes de generar las claves.

Observe también que nos pide que elijamos un tamaño de módulo para la clave que estamos a punto de generar. Cuanto mayor sea el módulo, más fuerte será el cifrado de la clave., Para nuestro ejemplo, usaremos un módulo de 1024.

4. Ahora que hemos generado la Clave, nuestro siguiente paso sería configurar nuestras líneas vty para el acceso SSH y especificar qué base de Datos Vamos a utilizar para proporcionar autenticación al dispositivo. La base de datos local en el enrutador funcionará bien para este ejemplo.

LabRouter(config)#line vty 0 4

LabRouter(config-line)#login local

LabRouter(config-line)#transport input ssh

5., Deberá crear una cuenta en la base de datos del enrutador local que se utilizará para autenticarse en el dispositivo. Esto se puede lograr con estos comandos.

LabRouter(config) # username XXXX privilege 15 secret XXXX

afinar su configuración SSH

hemos completado prácticamente todos los pasos necesarios para configurar y usar SSH en su enrutador; sin embargo, hay algunas otras configuraciones que se pueden hacer para proteger aún más su dispositivo.,

por un lado, le recomendaría que habilite un tiempo de espera de ejecución en su enrutador para evitar que alguien obtenga acceso al dispositivo en casos en los que olvidó cerrar la sesión o se distrajo debido a una emergencia. De esta manera, el enrutador cerrará automáticamente la sesión después de que la sesión haya estado inactiva durante un tiempo establecido.

debe configurar este comando en la interfaz de línea como se muestra a continuación.,

LabRouter(config)#line VTY 0 4

LabRouter(config-line)# exec-timeout 5

esto significa que si la sesión ha estado inactiva durante 5 minutos, el enrutador desconectará automáticamente la sesión.

Use las listas de control de acceso (ACL) como una capa adicional de seguridad; esto asegurará que solo los dispositivos con cierta dirección IP puedan conectarse al enrutador.

así que digamos que la subred IP para su LAN es 192.168.100.0 / 24, crearía una acl para permitir solo el tráfico de esa subred y aplicaría esta acl a las líneas vty.,

consejo Final: habilitar SSH2

otro punto crucial a tener en cuenta es el uso de SSH2 en lugar de usar SSH1. SSH2 mejora muchas de las debilidades que existían dentro de SSH1 y por esta razón recomiendo siempre usar SSH2 cuando sea posible.

Habilitar SSH versión 2 con este comando:

LabRouter(config)#line vty 0 4

LabRouter(config)#ip ssh versopn 2

la lectura Detallada de SSH se puede hacer en el RFC 4251

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *