Guía de configuración de la Seguridad de Cisco IOS: Sujeción de los servicios de usuario, versión 12.2SR
Configuración de Secure Shell
2 Agosto 2013 - Traducción Automática | Otras Versiones: PDFpdf 216 KB | Inglés (15 Noviembre 2007) | Comentarios

Contenidos

Configuración de Secure Shell

Encontrar la información de la característica

Contenido

Requisitos previos para configurar SSH

Restricciones para configurar SSH

Información sobre el shell seguro

Servidor SSH

Cliente integrado de SSH

Soporte del Autenticación RSA

Cómo configurar SSH

Configurar un servidor SSH

Invocación de un cliente SSH

Consejos de Troubleshooting

Ejemplos de configuración para SSH

Ejemplo: SSH en un Cisco 7200 Series Router

Ejemplo: SSH en un Cisco 7500 Series Router

Ejemplo: SSH en un Cisco 12000 Series Router

Ejemplo: Verificar SSH

Referencias adicionales

Documentos Relacionados

Estándares

MIB

RFC

Asistencia Técnica

Información de la característica para la configuración de Secure Shell


Configuración de Secure Shell


Primera publicación: De diciembre el 12 de 2004
Última actualización: 5 de abril de 2010

La característica del Secure Shell (SSH) es una aplicación y un protocolo que proporciona un reemplazo seguro a las r-herramientas de Berkeley. El protocolo asegura las sesiones usando mecanismos criptográficos estándar, y la aplicación se puede utilizar de manera similar a las herramientas rexec y rsh de Berkeley. Dos versiones de SSH están disponibles: SSH versión 1 y SSH versión 2. Este documento describe el SSH versión 1. Para la información sobre el SSH versión 2, vea “el módulo de función del soporte de la versión 2 del shell seguro”.


Observeen lo sucesivo, a menos que se indicare en forma diferente, el término “SSH” denota el “SSH versión el 1" solamente.


Encontrar la información de la característica

Su versión de software puede no soportar todas las características documentadas en este módulo. Para la últimas información y advertencias de la característica, vea los Release Note para su plataforma y versión de software. Para encontrar la información sobre las características documentadas en este módulo, y ver una lista de las versiones en las cuales se soporta cada característica, vea “información de la característica para la sección de la configuración de Secure Shell”.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software de Cisco. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.

Contenido

Requisitos previos para configurar SSH

Restricciones para configurar SSH

Información sobre el shell seguro

Cómo configurar SSH

Ejemplos de configuración para SSH

Referencias adicionales

Información de la característica para la configuración de Secure Shell

Requisitos previos para configurar SSH

Realice las tareas siguientes antes de configurar SSH:

Descargue la imagen requerida en el router. El servidor SSH requiere una imagen del software de encripción del IPSec ([DES] de la Data Encryption Standard o 3DES) del Cisco IOS Release 12.1(1)T o de una versión posterior; el cliente SSH requiere una imagen del software de encripción del IPSec (DES o 3DES) del Cisco IOS Release 12.1(3)T o de una versión posterior.) Vea la guía de configuración de los fundamentales de la configuración del Cisco IOS para más información sobre descargar una imagen del software.

Configure un nombre de host y reciba el dominio para su router usando hostname y ip domain-name los comandos en el modo de configuración global.

Genere un par clave del Rivest, del Shamir y de Adleman (RSA) para su router. Este par clave habilita automáticamente el SSH y la autenticación remota cuando crypto key generate rsa el comando se ingresa en el modo de configuración global.


Observepara borrar el par clave RSA, utilice crypto key zeroize rsa el comando global configuration. Una vez que usted borra el par clave RSA, usted inhabilita automáticamente el servidor SSH.


Autenticación de usuario de la configuración para el acceso local o remoto. Usted puede configurar la autenticación con o sin el Authentication, Authorization, and Accounting (AAA). Para más información, vea “configurando la autenticación,” “configurando la autorización,” y “configurando los módulos de función de las estadísticas” para más información.

Restricciones para configurar SSH

SSH tiene las restricciones siguientes:

Soportan el servidor SSH y al cliente SSH en las imágenes del software de la encripción de datos DES (56-bit) y 3DES (168-bit) solamente. En las imágenes del software DES, el DES es el único algoritmo de encripción disponible. En las imágenes del software 3DES, el DES y los algoritmos de encripción el 3DES están disponibles.

El shell de la ejecución es la única aplicación soportada.

El anuncio de inicio de sesión no se soporta en la versión 1 del shell seguro. Se soporta en la versión 2 del shell seguro.

Información sobre el shell seguro

Servidor SSH

Cliente integrado de SSH

Soporte del Autenticación RSA


Observeen lo sucesivo, a menos que se indicare en forma diferente, el término “SSH” denota el “SSH versión el 1" solamente.


Servidor SSH

La característica del servidor SSH permite a un cliente SSH para hacer un seguro, conexión encriptada a un router Cisco. Esta conexión proporciona las funciones que son similares a la de una conexión de la Telnet entrante. Antes de SSH, la Seguridad fue limitada a la Seguridad de Telnet. SSH permite que una encripción fuerte sea utilizada con la autenticación del Cisco IOS Software. El servidor SSH en Cisco IOS Software funciona con público y los clientes SSH disponibles en el comercio.

Cliente integrado de SSH

La característica del cliente integrado de SSH es una aplicación que es funciona con encima el protocolo SSH para proporcionar la autenticación del dispositivo y el cifrado. El cliente SSH permite a un router Cisco para hacer un seguro, la conexión encriptada a otro router Cisco o a cualquier otro dispositivo que esté funcionando con el servidor SSH. Esta conexión proporciona las funciones que son similares a la de una conexión Telnet saliente salvo que se cifra la conexión. Con la autenticación y el cifrado, el cliente SSH tiene en cuenta la comunicación segura sobre una red insegura.

El cliente SSH en Cisco IOS Software trabaja con público y los servidores SSH disponibles en el comercio. El cliente SSH soporta las cifras del DES, del 3DES, y de la autenticación de contraseña. La autenticación de usuario se realiza como ésa en la sesión telnet al router. Los mecanismos de autenticación de usuario soportados para SSH son RADIUS, TACACS+, y el uso de los nombres de usuario y contraseña localmente salvados.


Observeal cliente SSH que las funciones están disponibles solamente cuando se habilita el servidor SSH.


Soporte del Autenticación RSA

El Autenticación RSA disponible en los clientes SSH no se soporta en el servidor SSH para el Cisco IOS Software por abandono. Vea “configurando a un router para el SSH versión 2 usando la sección de los pares claves públicos privados” “del capítulo del soporte de la versión 2 del shell seguro” para que el procedimiento configure el soporte del Autenticación RSA.

Cómo configurar SSH

Configurando un servidor SSH (requerido)

Invocando a un cliente SSH (opcional)


Observeen lo sucesivo, a menos que se indicare en forma diferente, el término “SSH” denota el “SSH versión el 1" solamente.


Configurar un servidor SSH

Realice los pasos siguientes para configurar un servidor SSH. Esta tarea le ayuda a habilitar al router Cisco para SSH.


Observelos funcionamientos de la característica del cliente SSH en el modo EXEC de usuario y no tiene ninguna configuración específica en el router.



Observelos comandos ssh son opcional y se inhabilitan cuando se inhabilita el servidor SSH. Si los parámetros de SSH no se configuran, después se utilizan los valores predeterminados.


PASOS SUMARIOS

1. enable

2. configure terminal

3.ip ssh {timeout seconds | authentication-retries integer}

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

configure terminal

Example:

Router# configure terminal

Ingresa en el modo de configuración global.

Paso 3 

ip ssh {timeout seconds | authentication-retries integer}

Example:

Router(config) # ip ssh timeout 30

Parámetros de control de SSH de las configuraciones en su router.

Seleccione una de las variables de control de SSH.

seconds El argumento especifica el descanso en los segundos, para no exceder 120 segundos. El valor por defecto es 120. Esta configuración aplica a SSH la fase de negociación. Una vez que la sesión EXEC comienza, los descansos estándar configurados para el vty se aplican.

Por abandono, se definen cinco vtys (0-4); por lo tanto cinco sesiones terminales son posibles. Después de que SSH ejecute un shell, el descanso del vty comienza. Los valores por defecto del descanso del vty a 10 minutos.

 

integer El argumento especifica el número de recomprobaciones de la autenticación, para no exceder cinco recomprobaciones de la autenticación. El valor por defecto es tres.

Observeeste comando puede también ser utilizado para establecer el número de prompts de contraseña proporcionados al usuario. El número es el más bajo de los dos valores siguientes:

– Valor propuesto por el cliente que usa ssh -o numberofpasswordprompt el comando.

– Valor configurado en el router que usa ip ssh authentication-retries integer el comando, más uno.

 

Invocación de un cliente SSH

Realice esta tarea de invocar a un cliente SSH.

PASOS SUMARIOS

1. enable

2. ssh -l username -vrf vrf-name ip-address

PASOS DETALLADOS

 
Comando o acción
Propósito

Paso 1 

enable

Example:

Router> enable

(Opcional) Habilita el modo EXEC privilegiado.

Ingrese su contraseña si se le pide que lo haga.

Paso 2 

ssh -l username -vrf vrf-name ip-address

Example:

Router# ssh -l user1 -vrf vrf1 192.0.2.1

(Opcional) invoca al cliente SSH del Cisco IOS para conectar con un host IP o un direccionamiento en el caso especificado del ruteo virtual y de la expedición (VRF).

Consejos de Troubleshooting

Si sus comandos de configuración SSH se rechazan como comandos ilegales, usted no ha generado con éxito un par clave RSA para su router. Aseegurese que usted ha especificado un nombre de host y un dominio. Luego, utilice el comando crypto key generate rsa para generar un par de llaves RSA y habilite el servidor de SSH.

Al configurar el par clave RSA, usted puede ser que encuentre los mensajes de error siguientes:

– Ningún nombre de host especificado

Usted debe configurar un nombre de host para el router que usa el comando global configuration del nombre de host. Vea el módulo de función del “IPSec y de la calidad de servicio” para más información.

– Ningún dominio especificado

Debe configurar un dominio de host para el router usando el comando de configuración global ip domain-name. Vea el módulo de función del “IPSec y de la calidad de servicio” para más información.

El número de conexiones de SSH permisibles se limita al número máximo de VTY configurado para el router. Cada conexión de SSH utiliza un recurso de VTY.

SSH utiliza la seguridad local o el protocolo de seguridad que se configura a través de AAA en el router para la autenticación de usuario. Al configurar el AAA, usted debe asegurarse de que el AAA está inhabilitado en la consola para la autenticación de usuario. La autorización AAA se inhabilita en la consola por abandono. Si la autorización AAA se habilita en la consola, inhabilitela no configurando el ningún comando aaa authorization console durante la etapa de la configuración AAA.

Ejemplos de configuración para SSH

Esta sección proporciona los ejemplos de configuración siguientes, que se hacen salir del comando exec de los ejecutar-config de la demostración en un Cisco 7200, el Cisco 7500, y los Cisco 12000 Router.

Ejemplo: SSH en un Cisco 7200 Series Router

Ejemplo: SSH en un Cisco 7500 Series Router

Ejemplo: SSH en un Cisco 12000 Series Router

Ejemplo: Verificar SSH


Observeen lo sucesivo, a menos que se indicare en forma diferente, el término “SSH” denota el “SSH versión el 1" solamente.



Observe crypto key generate rsa el comando no se visualiza en show running-configla salida.


Ejemplo: SSH en un Cisco 7200 Series Router

En el siguiente ejemplo, SSH se configura en un Cisco 7200 con un descanso que no sea exceder 60 segundos y no más que 2 recomprobaciones de la autenticación. Antes de que la característica del servidor SSH se configure en el router, el TACACS+ se especifica como el método de autenticación.

hostname Router72K
aaa new-model
aaa authentication login default tacacs+
aaa authentication login aaa7200kw none
enable password password

username username1 password 0 password1
username username2 password 0 password2
ip subnet-zero
no ip domain-lookup
ip domain-name cisco.com
! Enter the ssh commands.
ip ssh timeout 60
ip ssh authentication-retries 2

controller E1 2/0

controller E1 2/1

interface Ethernet1/0
ip address 192.168.110.2 255.255.255.0 secondary
ip address 192.168.109.2 255.255.255.0
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
no keepalive
no cdp enable

interface Ethernet1/1
no ip address
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
shutdown
no cdp enable

interface Ethernet1/2
no ip address
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
shutdown
no cdp enable

no ip classless
ip route 192.168.1.0 255.255.255.0 10.1.10.1
ip route 192.168.9.0 255.255.255.0 10.1.1.1
ip route 192.168.10.0 255.255.255.0 10.1.1.1

map-list atm
ip 10.1.10.1 atm-vc 7 broadcast
no cdp run

tacacs-server host 192.168.109.216 port 9000
tacacs-server key cisco
radius-server host 192.168.109.216 auth-port 1650 acct-port 1651
radius-server key cisco

line con 0
exec-timeout 0 0
login authentication aaa7200kw
transport input none
line aux 0
line vty 0 4
password password

end

Ejemplo: SSH en un Cisco 7500 Series Router

En el siguiente ejemplo, SSH se configura en un Cisco 7500 con un descanso que no sea exceder 60 segundos y no más que 5 recomprobaciones de la autenticación. Antes de que la característica del servidor SSH se configure en el router, el RADIUS se especifica como el método de autenticación.

hostname Router75K
aaa new-model
aaa authentication login default radius
aaa authentication login aaa7500kw none
enable password password
username username1 password 0 password1
username username2 password 0 password2
ip subnet-zero
no ip cef
no ip domain-lookup
ip domain-name cisco.com
! Enter ssh commands.
ip ssh timeout 60
ip ssh authentication-retries 5

controller E1 3/0
channel-group 0 timeslots 1
controller E1 3/1
channel-group 0 timeslots 1
channel-group 1 timeslots 2

interface Ethernet0/0/0
no ip address
no ip directed-broadcast
no ip route-cache distributed
shutdown
interface Ethernet0/0/1
no ip address
no ip directed-broadcast
no ip route-cache distributed
shutdown
interface Ethernet0/0/2
no ip address
no ip directed-broadcast
no ip route-cache distributed
shutdown
interface Ethernet0/0/3
no ip address
no ip directed-broadcast
no ip route-cache distributed
shutdown
interface Ethernet1/0
ip address 192.168.110.2 255.255.255.0 secondary
ip address 192.168.109.2 255.255.255.0
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
interface Ethernet1/1
ip address 192.168.109.2 255.255.255.0
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
shutdown
interface Ethernet1/2
no ip address
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
interface Ethernet1/3
no ip address
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
shutdown
interface Ethernet1/4
no ip address
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
shutdown
interface Ethernet1/5
no ip address
no ip directed-broadcast
no ip route-cache
no ip mroute-cache
shutdown
interface Serial2/0
ip address 10.1.1.2 255.0.0.0
no ip directed-broadcast
encapsulation ppp
no ip route-cache
no ip mroute-cache

ip classless
ip route 192.168.9.0 255.255.255.0 10.1.1.1
ip route 192.168.10.0 255.255.255.0 10.1.1.1

tacacs-server host 192.168.109.216 port 9000
tacacs-server key cisco
radius-server host 192.168.109.216 auth-port 1650 acct-port 1651
radius-server key cisco

line con 0
exec-timeout 0 0
login authentication aaa7500kw
transport input none
line aux 0
transport input all
line vty 0 4
end

Ejemplo: SSH en un Cisco 12000 Series Router

En el siguiente ejemplo, SSH se configura en un Cisco 12000 con un descanso que no sea exceder 60 segundos y no más que dos recomprobaciones de la autenticación. Antes de que la característica del servidor SSH se configure en el router, el TACACS+ se especifica como el método de autenticación.

hostname Router12K
aaa new-model
aaa authentication login default tacacs+ local
aaa authentication login aaa12000kw local
enable password password
username username1 password 0 password1
username username2 password 0 password2
redundancy
main-cpu
auto-sync startup-config
ip subnet-zero
no ip domain-lookup
ip domain-name cisco.com
! Enter ssh commands.
ip ssh timeout 60
ip ssh authentication-retries 2

interface ATM0/0
no ip address
no ip directed-broadcast
no ip route-cache cef
shutdown

interface POS1/0
ip address 10.100.100.2 255.255.255.0
no ip directed-broadcast
encapsulation ppp
no ip route-cache cef
no keepalive
crc 16
no cdp enable
interface POS1/1
no ip address
no ip directed-broadcast
no ip route-cache cef
shutdown
crc 32
interface POS1/2
no ip address
no ip directed-broadcast
no ip route-cache cef
shutdown
crc 32
interface POS1/3
no ip address
no ip directed-broadcast
no ip route-cache cef
shutdown
crc 32
interface POS2/0
ip address 10.1.1.1 255.255.255.0
no ip directed-broadcast
encapsulation ppp
no ip route-cache cef
crc 16
interface Ethernet0
ip address 172.17.110.91 255.255.255.224
no ip directed-broadcast
router ospf 1
network 0.0.0.0 255.255.255.255 area 0.0.0.0

ip classless
ip route 0.0.0.0 0.0.0.0 172.17.110.65
logging trap debugging
tacacs-server host 172.17.116.138
tacacs-server key cisco
radius-server host 172.17.116.138 auth-port 1650 acct-port 1651
radius-server key cisco
line con 0
exec-timeout 0 0
login authentication aaa12000kw
transport input none
line aux 0
line vty 0 4
no scheduler max-task-time
no exception linecard slot 0 sqe-registers
no exception linecard slot 1 sqe-registers
no exception linecard slot 2 sqe-registers
no exception linecard slot 3 sqe-registers
no exception linecard slot 4 sqe-registers
no exception linecard slot 5 sqe-registers
no exception linecard slot 6 sqe-registers
end

Ejemplo: Verificar SSH

Para verificar que el servidor SSH esté habilitado y visualizar la versión y los datos de configuración para su conexión SSH, utilice el comando show ip ssh. El siguiente ejemplo muestra que SSH está habilitado:

Router# show ip ssh

SSH Enabled - version 1.5
Authentication timeout: 120 secs; Authentication retries: 3

El siguiente ejemplo muestra que SSH está inhabilitado:

Router# show ip ssh

%SSH has not been enabled

Para verificar el estatus de sus conexiones del servidor SSH, utilice show ssh el comando. El siguiente ejemplo muestra las conexiones del servidor SSH en el router cuando se habilita SSH:

Router# show ssh

Connection      Version     Encryption	State	Username
	0	1.5	3DES	Session Started		guest

El siguiente ejemplo muestra que SSH está inhabilitado:

Router# show ssh

%No SSH server connections running.

Referencias adicionales

Documentos Relacionados

Tema relacionado
Título del documento

Comandos de Cisco IOS

El Cisco IOS domina los comandos list, todos las versiones

Authentication, Authorization, and Accounting (AAA)

Configurar el módulo de la característica de contabilidad

Configurar el módulo de la característica de autenticación

Configurar el módulo de función de la autorización

IPSec

Módulo de función del IPSec y de la calidad de servicio

SSH versión 2

Módulo de función del soporte de la versión 2 del shell seguro

Descargar una imagen del software

Guía de Configuración de los Aspectos Fundamentales de la Configuración de Cisco IOS


Estándares

Estándar
Título

Esta función no soporta estándares nuevos o modificados, y el soporte de los estándares existentes no ha sido modificado por ella.


MIB

MIB
Link del MIB

Esta función no soporta MIBs nuevas o modificadas, y el soporte para las MIBs existentes no ha sido modificado por esta función.

Para localizar y descargar el MIB para las plataformas elegidas, las versiones de software de Cisco, y los conjuntos de características, utilizan el localizador MIB de Cisco encontrado en el URL siguiente:

http://www.cisco.com/cisco/web/LA/support/index.html


RFC

RFC
Título

Esta función no soporta RFCs nuevos o modificados.


Asistencia Técnica

Descripción
Link

El Web site del soporte y de la documentación de Cisco proporciona los recursos en línea para descargar la documentación, el software, y las herramientas. Utilice estos recursos para instalar y para configurar el software y para resolver problemas y para resolver los problemas técnicos con los Productos Cisco y las Tecnologías. El acceso a la mayoría de las herramientas en el Web site del soporte y de la documentación de Cisco requiere una identificación del usuario y una contraseña del cisco.com.

http://www.cisco.com/cisco/web/LA/support/index.html


Información de la característica para la configuración de Secure Shell

La Tabla 1 muestra el historial de versiones de esta función.

Utilice el Cisco Feature Navigator para encontrar la información sobre el soporte del Soporte de la plataforma y de la imagen del software. El Cisco Feature Navigator le permite para determinar qué imágenes del software soportan una versión de software, un conjunto de características, o una plataforma específico. Para acceder a Cisco Feature Navigator, vaya a http://www.cisco.com/go/cfn. Una cuenta en el cisco.com no se requiere.


Observelas listas del cuadro 1 solamente la versión de software que introdujo el soporte para una característica dada en un tren de versión de software dado. A menos que se indicare en forma diferente, las versiones posteriores de ese tren de versión de software también soportan esa característica.


Información de la característica del cuadro 1 para la configuración de Secure Shell

Nombre de la función
Versiones
Información sobre la Función

Secure Shell

12.0(5)S

La característica del Secure Shell (SSH) es una aplicación y un protocolo que proporciona un reemplazo seguro a las r-herramientas de Berkeley. El protocolo asegura las sesiones usando mecanismos criptográficos estándar, y la aplicación se puede utilizar de manera similar a las herramientas rexec y rsh de Berkeley. Dos versiones de SSH están disponibles: SSH versión 1 y SSH versión 2. Este documento describe el SSH versión 1.