Hoy vamos a ver como dejar de utilizar telnet para el acceso a un router Cisco a favor de SSH, contribuyendo a mejorar la seguridad y las carencias de telnet al respecto. El laboratorio ha sido realizado con un router pero debería ser igual para un switch Cisco.
El primer paso, antes de generar las keys para el uso de SSH es necesario asignar un nombre de dominio que será usado para generar las llaves de encriptación para la securización de SSH (y HTTPS sin se utiliza):
router(config)#ip domain name r1.laboratorio.com
También asignamos el hostname al router en caso de no haberlo hecho:
router(config)#hostname r1
Podemos generar keys genéricas para todos los servicios o hacerlo de forma específica, en este caso decimos general-keys para que sean llaves genéricas para todo. Especificamos el nombre de dominio y una encriptación igual o superior a 1024:
r1(config)#crypto key generate rsa Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable...[OK] *Jun 10 22:05:05.423: %SSH-5-ENABLED: SSH 1.99 has been enabled
Generamos los usuarios que vamos a usar para SSH, en este caso uno de pruebas, especificamos «secret» en lugar de «password» para que la clave aparezca encriptada en la configuración:
r1(config)#username foo secret test
También podemos especificar los privilegios a asignar al usuario del 1 (menor) al 15 (mayor). Asignando 1 el usuario debería accceder manualmente al modo «enable» mientras que con privilegio 15 accede automáticamente al modo privilegiado:
r1(config)#username foo privilege 15 secret test
Especificamos ciertos parámetros de configuración de SSH como son la versión SSH a utilizar, el valor de timeout y el número de intentos fallidos que permitimos:
r1(config)#ip ssh version 2 r1(config)#ip ssh authentication-retries 2 r1(config)#ip ssh time-out 120
Verificamos que SSH está funcionando con los parámetros indicados:
r1#show ip ssh SSH Enabled - version 2.0 Authentication timeout: 120 secs; Authentication retries: 2
Finalmente vamos a editar los puertos de acceso telnet (vty) para que sólo se permita el acceso por SSH y deshabilitar el acceso inseguro (telnet), configuramos los 5 puertos disponibles (0 al 4) de modo que tengamos la posibilidad de 5 usuarios concurrentes, si quisieramos menos podemos habilitarlo en menos puertos:
r1(config)#line vty 0 4 r1(config-line)#transport input ssh r1(config-line)#login local
Con esto sería todo, ya sólo queda probar el funcionamiento accediendo por ssh al servicio con el usuario creado, en este caso sería por el puerto 22 ya que no lo hemos modificado. Si todo va bien podemos guardar la configuración:
r1#copy running-config startup-config
O a la vieja usanza:
r1#wri mem
Conveniente leer…
http://www.cisco.com/en/US/docs/ios/sec_user_services/configuration/guide/sec_login_enhance.html