Seguridad y VPN : Secure Shell (SSH)

Cómo configurar SSH en switches Catalyst que ejecutan CatOS

20 Mayo 2008 - Traducción manual
Otras Versiones: PDFpdf | Traducción Automática (31 Julio 2013) | Inglés (19 Enero 2006) | Comentarios

Contenidos

Introducción
Requisitos previos
     Requisitos
     Componentes utilizados
     Convenciones
Diagrama de la red
Configuración del switch
Desactivación de SSH
Depuración en el Catalyst
Ejemplos de una buena conexión del comando debug
     Solaris en Catalyst, Norma del cifrado de datos triple (3DES), contraseña Telnet
     PC a Catalyst, 3DES, contraseña de Telnet
     Autenticación de Solaris a Catalyst, 3DES y Autenticación, Autorización y Contabilidad (AAA)
Ejemplos de lo que puede salir mal con el comando debug
     Depuración de Catalyst con intentos del cliente por utilizar Cifrado Blowfish [no soportado]
     Depuración de Catalyst con contraseña de Telnet incorrecta
     Depuración de Catalyst con autenticación AAA incorrecta
Discusiones relacionadas de la comunidad de soporte de Cisco

Introducción

En este documento se proporcionan instrucciones paso a paso para configurar Secure Shell (SSH) Versión 1 en switches Catalyst que ejecuten Catalyst OS (CatOS). La versión probada es la cat6000-supk9.6-1-1c.bin.

Requisitos previos

Requisitos

Esta tabla muestra el estado del soporte de SSH en los switches. Los usuarios registrados pueden tener acceso a estas imágenes de software visitando el Software Center (solamente clientes registrados) (Centro de asistencia técnica de software).

CatOS SSH

Dispositivo

Soporte de SSH

Cat 4000/4500/2948G/2980G (CatOS)

imágenes K9 a partir de 6.1

Cat 5000/5500 (CatOS)

imágenes K9 a partir de 6.1

Cat 6000/6500 (CatOS)

imágenes K9 a partir de 6.1

IOS SSH

Dispositivo

Soporte de SSH

Cat 2950*

12.1(12c)EA1 y posteriores

Cat 3550*

12.1(11)EA1 y posteriores

Cat 4000/4500 (software Cisco IOS integrado)*

12.1(13)EW y versiones posteriores **

Cat 6000/5500 (software Cisco IOS integrado)*

12.1(11b)E y versiones posteriores

Cat 8540/8510

12.1(12c)EY y versiones posteriores, 12.1(14)E1 y versiones posteriores

Sin SSH

Dispositivo

Soporte de SSH

Cat 1900

no

Cat 2800

no

Cat 2948G-L3

no

Cat 2900XL

no

Cat 3500XL

no

Cat 4840G-L3

no

Cat 4908G-L3

no

* La configuración se trata en Configuring Secure Shell on Cisco IOS Routers (Configuración de Secure Shell en routers Cisco IOS)

** No existe compatibilidad con SSH en el tren 12.1E para Catalyst 4000 que ejecuta el software Cisco IOS integrado.

Para solicitar 3DES consulte Encryption Software Export Distribution Authorization Form (Formulario de autorización de distribución de la exportación del software de cifrado)

En este documento se parte de la base de que la autenticación funciona antes de la implementación de SSH (a través de la contraseña de Telnet, TACACS+) o RADIUS. No se soporta SSH con Kerberos antes de la implementación de SSH.

Componentes utilizados

En este documento sólo se tratan los Catalyst 2948G, Catalyst 2980G, Catalyst series 4000/4500, Catalyst series 5000/5500 y Catalyst series 6000/6500 que ejecutan la imagen CatOS K9. Para obtener más información, consulte la sección Requisitos de este documento.

La información que se presenta en este documento se originó a partir de dispositivos dentro de un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración despejada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando antes de ejecutarlo.

Convenciones

Si desea más información sobre las convenciones del documento, consulte las Convenciones sobre consejos técnicos de Cisco.

Diagrama de la red

ssh_cat_switches.gif

Configuración del switch

!--- Genere y compruebe la clave RSA.

sec-cat6000> (enable) set crypto key rsa 1024
Generating RSA keys..... [OK]
sec-cat6000> (enable) ssh_key_process: host/server key size: 1024/768

 !--- Mostrar la clave RSA.

sec-cat6000> (enable) show crypto key
RSA keys were generated at: Mon Jul 23 2001, 15:03:30 1024 65537 1514414695360
577332853671704785709850606634768746869716963940352440620678575338701550888525
699691478330537840066956987610207810959498648179965330018010844785863472773067
697185256418386243001881008830561241137381692820078674376058275573133448529332
1996682019301329470978268059063378215479385405498193061651 

!--- Restringir qué hosts/subredes pueden utilizar SSH en el switch.
!--- Nota: Si no ejecuta este paso, el switch mostrará el mensaje
!--- "WARNING!! IP permit list has no entries!"

 (AVISO: la lista de permisos IP no tiene entradas)sec-cat6000> set ip permit 172.18.124.0 255.255.255.0
172.18.124.0 with mask 255.255.255.0 added to IP permit list.

!--- Cargue SSH.

sec-cat6000> (enable) set ip permit enable sshSSH permit list enabled. 

!--- Compruebe la lista de permisos SSH.

sec-cat6000> (enable) show ip permit
Telnet permit list disabled.
Ssh permit list enabled.
Snmp permit list disabled.
Permit List Mask Access-Type
---------------- ---------------- -------------
172.18.124.0 255.255.255.0 telnet ssh snmp 
Denied IP Address Last Accessed Time Type
----------------- ------------------ ------

Desactivación de SSH

En algunos casos, es posible que sea necesario inhabilitar SSH en el switch. Debe verificar si SSH está configurado en el switch y, si lo está, inhabilitarlo.

Para comprobar si SSH se ha configurado en el switch, ejecute el comando show crypto key. Si el resultado muestra la clave RSA, se ha configurado SSH y está habilitado en el switch. A continuación, mostramos un ejemplo.

sec-cat6000> (enable) show crypto keyRSA keys were generated at: Mon Jul 23 2001, 15:03:30 1024 65537 1514414695360
5773328536717047857098506066347687468697169639403524406206785753387015508885256996914783305378400669569876102078109
5949864817996533001801084478586347277306769718525641838624300188100883056124113738169282007867437605827557313344852
93321996682019301329470978268059063378215479385405498193061651 

Para eliminar la clave de cifrado, ejecute el comando clear crypto key rsa para inhabilitar SSH en el switch. A continuación, mostramos un ejemplo.

sec-cat6000> (enable) clear crypto key rsa
Do you really want to clear RSA keys (y/n) [n]? y 
RSA keys has been cleared. 
sec-cat6000> (enable) 

Depuración en el Catalyst

Para activar las depuraciones, ejecute el comando set trace ssh 4 .

Para desactivar las depuraciones, ejecute el comando set trace ssh 0 .

Ejemplos de una buena conexión del comando debug

Solaris en Catalyst, Norma del cifrado de datos triple (3DES), contraseña Telnet

Solaris

rtp-evergreen# ssh -c 3des -v 10.31.1.6
SSH Version 1.2.26 [sparc-sun-solaris2.5.1], protocol version 1.5.
Compiled with RSAREF.
rtp-evergreen: Reading configuration data /opt/CISssh/etc/ssh_config
rtp-evergreen: ssh_connect: getuid 0 geteuid 0 anon 0
rtp-evergreen: Allocated local port 1023.
rtp-evergreen: Connecting to 10.31.1.6 port 22.
rtp-evergreen: Connection established.
rtp-evergreen: Remote protocol version 1.5, remote software version 1.2.26
rtp-evergreen: Waiting for server public key.
rtp-evergreen: Received server public key (768 bits) and host key (1024 bits).
Host key not found from the list of known hosts.
Are you sure you want to continue connecting (yes/no)? yes
Host '10.31.1.6' added to the list of known hosts.
rtp-evergreen: Initializing random; seed file //.ssh/random_seed
rtp-evergreen: Encryption type: 3des
rtp-evergreen: Sent encrypted session key.
rtp-evergreen: Installing crc compensation attack detector.
rtp-evergreen: Received encrypted confirmation.
rtp-evergreen: Doing password authentication.
root@10.31.1.6's password: 
rtp-evergreen: Requesting pty.
rtp-evergreen: Failed to get local xauth data.
rtp-evergreen: Requesting X11 forwarding with authentication spoofing.
Warning: Remote host denied X11 forwarding, perhaps xauth program
    could not be run on the server side. 
rtp-evergreen: Requesting shell.
rtp-evergreen: Entering interactive session.

Cisco Systems Console

sec-cat6000>

Catalyst

sec-cat6000> (enable) debug: _proc->tty = 0x8298a494, socket_index = 3
debug: version: SSH-1.5-1.2.26

debug: Client protocol version 1.5; client software version 1.2.26
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: root
debug: Trying Local Login
Password authentication for root accepted.
debug: ssh received packet type: 10
debug: ssh received packet type: 34
Unknown packet type received after authentication: 34
debug: ssh received packet type: 12
debug: ssh88: starting exec shell
debug: Entering interactive session.

PC a Catalyst, 3DES, contraseña de Telnet

Catalyst

debug: Client protocol version 1.5; client software version W1.0
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: des
debug: Received session key; encryption turned on.
debug: ssh login by user: 
debug: Trying Local Login
Password authentication for accepted.
debug: ssh received packet type: 10
debug: ssh received packet type: 37
Unknown packet type received after authentication: 37
debug: ssh received packet type: 12
debug: ssh89: starting exec shell
debug: Entering interactive session.

Autenticación de Solaris a Catalyst, 3DES y Autenticación, Autorización y Contabilidad (AAA)

Solaris

Solaris with aaa on:
rtp-evergreen# ssh -c 3des -l abcde123 -v 10.31.1.6
SSH Version 1.2.26 [sparc-sun-solaris2.5.1], protocol version 1.5.
Compiled with RSAREF.
rtp-evergreen: Reading configuration data /opt/CISssh/etc/ssh_config
rtp-evergreen: ssh_connect: getuid 0 geteuid 0 anon 0
rtp-evergreen: Allocated local port 1023.
rtp-evergreen: Connecting to 10.31.1.6 port 22.
rtp-evergreen: Connection established.
rtp-evergreen: Remote protocol version 1.5, remote software version 1.2.26
rtp-evergreen: Waiting for server public key.
rtp-evergreen: Received server public key (768 bits) and host key (1024 bits).
rtp-evergreen: Host '10.31.1.6' is known and matches the host key.
rtp-evergreen: Initializing random; seed file //.ssh/random_seed
rtp-evergreen: Encryption type: 3des
rtp-evergreen: Sent encrypted session key.
rtp-evergreen: Installing crc compensation attack detector.
rtp-evergreen: Received encrypted confirmation.
rtp-evergreen: Doing password authentication.
abcde123@10.31.1.6's password: 
rtp-evergreen: Requesting pty.
rtp-evergreen: Failed to get local xauth data.
rtp-evergreen: Requesting X11 forwarding with authentication spoofing.
Warning: Remote host denied X11 forwarding, perhaps xauth program
   could not be run on the server side.
rtp-evergreen: Requesting shell.
rtp-evergreen: Entering interactive session.

Cisco Systems Console

sec-cat6000>

Catalyst

sec-cat6000> (enable) debug: _proc->tty = 0x82a07714, socket_index = 3
debug: version: SSH-1.5-1.2.26

debug: Client protocol version 1.5; client software version 1.2.26
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: abcde123
debug: Trying TACACS+ Login
Password authentication for abcde123 accepted.
debug: ssh received packet type: 10
debug: ssh received packet type: 34
Unknown packet type received after authentication: 34
debug: ssh received packet type: 12
debug: ssh88: starting exec shell
debug: Entering interactive session.

Ejemplos de lo que puede salir mal con el comando debug

Depuración de Catalyst con intentos del cliente por utilizar Cifrado Blowfish [no soportado]

debug: Client protocol version 1.5; client software version W1.0
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: blowfish
cipher_set_key: unknown cipher: 6
debug: Calling cleanup

Depuración de Catalyst con contraseña de Telnet incorrecta

debug: _proc->tty = 0x82897414, socket_index = 4
debug: version: SSH-1.5-1.2.26
debug: Client protocol version 1.5; client software version W1.0
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: 
debug: Trying Local Login
debug: Password authentication for failed.

Depuración de Catalyst con autenticación AAA incorrecta

cat6000> (enable) debug: _proc->tty = 0x829abd94, socket_index = 3
debug: version: SSH-1.5-1.2.26

debug: Client protocol version 1.5; client software version 1.2.26
debug: Sent 768 bit public key and 1024 bit host key.
debug: Encryption type: 3des
debug: Received session key; encryption turned on.
debug: ssh login by user: junkuser
debug: Trying TACACS+ Login
debug: Password authentication for junkuser failed.
SSH connection closed by remote host.
debug: Calling cleanup

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Document ID: 13881