Acceso Remoto Seguro a Switch

Acceso Remoto Seguro
5

Resumen

Aprenderás a configurar el acceso de gestión seguro en un switch. ¡¡Empieza a aprender CCNA 200-301 gratis ahora mismo!!

¡Bienvenido!: Este tema forma parte del Módulo 1 del curso de Cisco CCNA 2, para un mejor seguimiento del curso puede ir a la sección CCNA 2 para guiarte del índice.

1. Operación Telnet

Puede que no siempre tengas acceso directo a tu switch cuando necesites configurarlo. Necesitas poder acceder a él remotamente y es imperativo que tu acceso sea seguro. Este tema trata sobre cómo configurar Secure Shell (SSH) para el acceso remoto. Una actividad de Packet Tracer te da la oportunidad de probar esto tú mismo.

Telnet utiliza el puerto TCP 23. Es un protocolo más antiguo que utiliza una transmisión insegura en texto plano tanto de la autenticación de inicio de sesión (nombre de usuario y contraseña) como de los datos transmitidos entre los dispositivos de comunicación. Un actor de la amenaza puede monitorear los paquetes usando Wireshark. Por ejemplo, en la figura el actor de la amenaza capturó el nombre de usuario admin y la contraseña ccna  de una sesión de Telnet.

Capturar paquetes Wireshark

Capturar paquetes Wireshark

2. Operación SSH

Secure Shell (SSH) es un protocolo seguro que utiliza el puerto TCP 22. Proporciona una conexión de gestión segura (encriptada) a un dispositivo remoto. SSH debe reemplazar a Telnet para las conexiones de gestión. SSH proporciona seguridad para las conexiones remotas al proporcionar una fuerte encriptación cuando un dispositivo es autenticado (nombre de usuario y contraseña) y también para los datos transmitidos entre los dispositivos en comunicación.


Por ejemplo, la figura muestra una captura Wireshark de una sesión SSH. El actor de la amenaza puede rastrear la sesión utilizando la dirección IP del dispositivo administrador. Sin embargo, a diferencia de Telnet, con SSH el nombre de usuario y la contraseña están encriptados.

Paquetes cifrados con Secure Shell

Paquetes cifrados con Secure Shell

3. Verificar que el Switch soporta SSH

Para habilitar el SSH en un switch Catalyst 2960, el switch debe utilizar una versión del software IOS que incluya características y capacidades criptográficas (cifradas). Usa el comando show version en el switch para ver qué IOS está ejecutando actualmente el switch. Un nombre de archivo IOS que incluya la combinación “k9” soporta características y capacidades criptográficas (cifradas). El ejemplo muestra la salida del comando show version.

S1# show version
Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 15.0(2)SE7, RELEASE SOFTWARE (fc1)

4. Configurar SSH

Antes de configurar el SSH, el switch debe ser configurado mínimamente con un nombre de host único y la configuración de conectividad de red correcta.

Haz clic en cada botón para aprender los pasos para configurar SSH.

Verifique el soporte de SSH.

Usa el comando show ip ssh para verificar que el switch soporta SSH. Si el switch no está ejecutando un IOS que soporte características criptográficas, este comando no se reconoce.

S1# show ip ssh

Configura el dominio IP.

Configure el nombre de dominio IP de la red mediante el comando del modo de configuración global ip domain-name domain-name. En la figura, el valor del nombre de dominio es cisco.com.

S1(config)# ip domain-name cisco.com

Generar pares de claves RSA.

No todas las versiones de la IOS tienen por defecto la versión 2 de SSH, y la versión 1 de SSH tiene fallas de seguridad conocidas. Para configurar la versión 2 de SSH, emite el comando de modo de configuración global ip ssh version 2. Generar un par de claves RSA automáticamente habilita SSH. Usa el comando de configuración global crypto key generate rsa para habilitar el servidor de SSH en el switch y generar un par de claves RSA. Cuando se generan claves RSA, se le pide al administrador que introduzca una longitud de módulo. La configuración de muestra de la figura utiliza un tamaño de módulo de 1.024 bits. Una longitud de módulo más larga es más segura, pero lleva más tiempo generarla y usarla.

Nota: Para eliminar el par de claves RSA, utiliza el comando de modo de configuración global crypto key zeroize rsa. Después de que se borra el par de claves RSA, el servidor SSH se desactiva automáticamente.

S1(config)# crypto key generate rsa
How many bits in the modulus [512]: 1024

Configurar la autenticación de usuario.

El servidor SSH puede autenticar a los usuarios localmente o mediante un servidor de autenticación. Para utilizar el método de autenticación local, cree un par de nombre de usuario y contraseña utilizando el comando de modo de configuración global username username secret password. En el ejemplo, al usuario admin se le asigna la contraseña ccna.

S1(config)# username admin secret ccna

Configura las líneas vty.

Habilite el protocolo SSH en las líneas vty usando el comando de modo de configuración de línea transport input ssh. El Catalyst 2960 tiene vty lines que van de 0 a 15. Esta configuración evita las conexiones no SSH (como Telnet) y limita el switch para que sólo acepte conexiones SSH. Utiliza el comando de modo de configuración global line vty y luego el comando de modo de configuración de línea login local para requerir la autenticación local para las conexiones SSH de la base de datos local de nombres de usuario.

S1(config)# line vty 0 15
S1(config-line)# transport input ssh
S1(config-line)# login local
S1(config-line)# exit

Habilitar la versión 2 de SSH.

Por defecto, SSH soporta ambas versiones 1 y 2. Cuando se soportan ambas versiones, esto se muestra en la salida de show ip ssh como supporting version 2. Habilita la versión de SSH usando el comando de configuración global ip ssh version 2.

Enable SSH version 2.

S1(config)# ip ssh version 2

5 Verificar que SSH está operacional

En un PC, un cliente SSH como PuTTY, se usa para conectarse a un servidor SSH. Por ejemplo, supongamos que se configura lo siguiente:

  • SSH está habilitado en el switch S1
  • Interfaz VLAN 99 (SVI) con dirección IPv4 172.17.99.11 en el switch S1
  • PC1 con dirección IPv4 172.17.99.21

La figura muestra la configuración de PuTTy para que PC1 inicie una conexión SSH a la dirección IPv4 de S1 de la SVI VLAN.

Configuración de PuTTy SSH

Configuración de PuTTy SSH

Cuando se conecta, se le pide al usuario un nombre de usuario y una contraseña como se muestra en el ejemplo. Utilizando la configuración del ejemplo anterior, se introduce el nombre de usuario admin y la contraseña ccna. Después de introducir la combinación correcta, el usuario se conecta vía SSH a la interfaz de línea de comandos (CLI) en el switch Catalyst 2960.

Login as: admin
Using keyboard-interactive
Authentication.
Password:
S1> enable
Password: 
S1#

To display the version and configuration data for SSH on the device that you configured as an SSH server, use the show ip ssh command. In the example, SSH version 2 is enabled.

S1# show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3
To check the SSH connections to the device, use the show ssh command as shown.
S1# show ssh
%No SSHv1 server connections running.
Connection Version Mode Encryption Hmac State Username
0 2.0 IN aes256-cbc hmac-sha1 Session started admin
0 2.0 OUT aes256-cbc hmac-sha1 Session started admin
S1#

6. Packet Tracer – Configurar SSH

SSH debería reemplazar a Telnet para las conexiones de gestión. Telnet utiliza comunicaciones inseguras de texto plano. SSH provee seguridad para las conexiones remotas al proporcionar una fuerte encriptación de todos los datos transmitidos entre los dispositivos. En esta actividad, asegurarás un switch remoto con encriptación de contraseña y SSH.

Glosario: Si tienes dudas con algún término especial, puedes consultar este diccionario de redes informáticas.

¡Listo! Sigue visitando nuestro blog de curso de redes, dale Me Gusta a nuestra fanpage; y encontrarás más herramientas y conceptos que te convertirán en todo un profesional de redes.

Deja un Comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

¿Quieres aprobar la certificación Cisco CCNA?Sí, quiero!
+ +