Telnet tiene una seria desventaja frente a SSH: todos los datos en la sesiones se trasmiten en texto plano, incluyendo la contraseña.
SSH encripta todos los datos transmitidos entre el cliente SSH y el servidor, protegiendo así los datos y las contraseñas.
SSH utiliza el puerto bien conocido 22/TCP.
Ejemplo: Agregando la Configuración SSH a la Configuración de un Usuario Local
SW1# configure terminal Enter configuration commands, one per line. End with CNTL/Z. ! ! Paso1. El hostname ya etsa configurado, pero se repite para reafirmar ! el paso. ! SW1(config)# hostname SW1 SW1(config)# ip domain-name ejemplo.com SW1(config)# crypto key generate rsa The name for the keys will be: SW1.ejemplo.com Choose the size of the key modulus in the range of 360 to 2048 for your General Purpose Keys. Choosing a key modulus greater than 512 may take a few minutes. How many bits in the modulus [512]: 1024 % Generating 1024 bit RSA keys, keys will be non-exportable... [OK] (elapsed time was 4 seconds) SW1(config)# ! ! Optionalmente, configura la versión SSH a la versión 2 ! SW1(config)# ip ssh version 2 ! ! El paso siguiente, configurar la líneas vty para el soporte de usuario local, ! de igual manera que en la configuración de Telnet ! SW1(config)# line vty 0 15 SW1(config-line)# login local SW1(config-line)# exit ! ! Se definen los ususarios locales tal como en Telnet ! SW1(config)# username wendell password odom SW1(config)# username chris password youdaman SW1(config)# ^Z SW1#
Nota: Puedes deshabilitar Telnet si lo deseas para tener mayor seguridad, de la misma manera se puede deshabilitar SSH. Para hacer esto utiliza el dentro de vty el subcomando transport input {all | none | telnet | ssh}.
transport input all or transport input telnet ssh: Soporta ambos, Telnet y SSH
transport input none: No soporta a ninguno
transport input telnet: Soporta sólo Telnet
transport input ssh: Soporta sólo SSH
Pasos para configurar SSH en Cisco
- Configura el switch para generar un par de llaves (keys) públicas y privadas que coincidan entre ellas para utilizan en la encriptación:
- Si no esta configurado, configura un hostname en el modo de configuración global.
- Si no esta configurado, configura el nombre de dominio con el comando ip domain-name en el modo de configuración global.
- Ingresa el comando crypto key generate rsa en el modo de configuración global para generar una llave. (Utiliza al menos una llave de 768-bit para poder soportar la versión 2 de SSH.)
- (Opcional) Utiliza el comando ip ssh version 2 en el modo de configuración global para que no admita la versión 1 y 2 de SSH y sólo admita SSHv2.
- (Opcional) Si no esta configurado con la especificaciones que deseas, configura la líneas vty para aceptar SSH y también Telnet:
- Utiliza el comando transport input ssh en el modo de configuración line vty para permitir sólo SSH.
- Utiliza el comando transport input all (por defecto) o el comando transport input telnet ssh en el modo de configuración line vty para permitir tanto SSH como Telnet.
- Utiliza varios comandos en el modo de configuración line vty para configurar el nombre de usuario y autenticación mencionado antes en éste artículo.
Ver el estado del servidor SSH
SW1# show ip ssh SSH Enabled - version 2.0 Authentication timeout: 120 secs; Authentication retries: 3
Ver los usuarios SSH
SW1# show ssh Connection Version Mode Encryption Hmac State Username 0 2.0 IN aes128-cbc hmac-sha1 Session started wendell 0 2.0 OUT aes128-cbc hmac-sha1 Session started wendell %No SSHv1 server connections running.