Cómo Configurar SSH en Cisco

Telnet tiene una seria desventaja frente a SSH: todos los datos en la sesiones se trasmiten en texto plano, incluyendo la contraseña.

SSH encripta todos los datos transmitidos entre el cliente SSH y el servidor, protegiendo así los datos y las contraseñas.

SSH utiliza el puerto bien conocido 22/TCP.

Ejemplo: Agregando la Configuración SSH a la Configuración de un Usuario Local

SW1# configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
!
! Paso1. El hostname ya etsa configurado, pero se repite para reafirmar
! el paso.
!
SW1(config)# hostname SW1
SW1(config)# ip domain-name ejemplo.com
SW1(config)# crypto key generate rsa
The name for the keys will be: SW1.ejemplo.com
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.

How many bits in the modulus [512]: 1024
% Generating 1024 bit RSA keys, keys will be non-exportable...
[OK] (elapsed time was 4 seconds)
SW1(config)#
!
! Optionalmente, configura la versión SSH a la versión 2
!
SW1(config)# ip ssh version 2
!
! El paso siguiente, configurar la líneas vty para el soporte de usuario local,
! de igual manera que en la configuración de Telnet
!
SW1(config)# line vty 0 15
SW1(config-line)# login local
SW1(config-line)# exit
!
! Se definen los ususarios locales tal como en Telnet
!
SW1(config)# username wendell password odom
SW1(config)# username chris password youdaman
SW1(config)# ^Z
SW1#

Nota: Puedes deshabilitar Telnet si lo deseas para tener mayor seguridad, de la misma manera se puede deshabilitar SSH. Para hacer esto utiliza el dentro de vty el subcomando transport input {all | none | telnet | ssh}.

transport input all or transport input telnet ssh: Soporta ambos, Telnet y SSH
transport input none: No soporta a ninguno
transport input telnet: Soporta sólo Telnet
transport input ssh: Soporta sólo SSH

Pasos para configurar SSH en Cisco

1. Configura el switch para generar un par de llaves (keys) públicas y privadas que coincidan entre ellas para utilizan en la encriptación:
   1. Si no esta configurado, configura un hostname en el modo de configuración global.
   2. Si no esta configurado, configura el nombre de dominio con el comando ip domain-name en el modo de configuración global.
   3. Ingresa el comando crypto key generate rsa en el modo de configuración global para generar una llave. (Utiliza al menos una llave de 768-bit para poder soportar la versión 2 de SSH.)
2. (Opcional) Utiliza el comando  ip ssh version 2 en el modo de configuración global para que no admita la versión 1 y 2 de SSH y sólo admita SSHv2.
3. (Opcional) Si no esta configurado con la especificaciones que deseas, configura la líneas vty para aceptar SSH y también Telnet:
   1. Utiliza el comando transport input ssh en el modo de configuración line vty para permitir sólo SSH.
   2. Utiliza el comando transport input all (por defecto) o el comando transport input telnet ssh en el modo de configuración line vty para permitir tanto SSH como Telnet.
4. Utiliza varios comandos en el modo de configuración line vty para configurar el nombre de usuario y autenticación mencionado antes en éste artículo.

Ver el estado del servidor SSH

SW1# show ip ssh
SSH Enabled - version 2.0
Authentication timeout: 120 secs; Authentication retries: 3

Ver los usuarios SSH

SW1# show ssh
Connection   Version   Mode   Encryption   Hmac        State              Username
0            2.0       IN     aes128-cbc   hmac-sha1   Session started    wendell
0            2.0       OUT    aes128-cbc   hmac-sha1   Session started    wendell
%No SSHv1 server connections running.