sábado, 12 de septiembre de 2015
Secure Shell
Secure Shell es una herramienta y protocolo que a diferencia de TELNET este nos permita encriptar toda la informacion que viaja entre usuario y destino remoto ( Servidor,Router,Switcher ect ) haciendo que un atacante no pueda interceptar ese flujo de datos, y de interceptarla no poder leerla, se vuelva totalmente no legible.Esto hace que se prefiera en lugar de TELNET el cual todo el trafico y dato viaja en texto plano ( no encriptado, a la vista y facilmente legible por un atacante.
¿ Como Configurarlo ?
Configurar SSH es bastante sensillo a diferencia de los que muchos piensan.Solo necesitamos:
- Crear Hostname.
- Crear un nombre dominio en el router.
- Crear usuario/s que queremos se almacenen en el router y passwords para la autenticacion.
- Crear el Crypto key Generate rsa modulus. Esto es que a generar la encriptacion no leible o no legible para un atacante durante la session SSH.
- Configurar dentro de las lineas VTY el Login Local. Esto le dice al router que debe utilizar usuario y contraseña creados localmente en el router para quienes quieran ingresar ( paso n°3 ).
- Tenemos SSH configurado.
 |
| Imagen 1-1 |
 |
| Imagen 1-2 username y contraeña conffigurado |
Aqui hemos configurado el usuario username - Harold - y el privilegio que va a tener este usuario ´´privilege 15´´ ( 15 = el maximo privilegio ).Luego colocamos ´´Secret´´ donde podemos espeficar si la contraseña sea visible ´´Cero´´ o sea encriptada bajo MD5 5. Que sea encriptada o en texto plano es lo que veremos en el Show running-config y alli lo importante de encriptarla, asi evitamos que un usuario que ingrese al router pueda ver la contraseña o password.
 |
| Imagen 1-3 Crytp key generate |
Aqui hemos configurado el paso mas importante, el Crypto key Generate; esto crea o genera la encriptacion.En el momento que un usuario se autentique comenzara la sesion SSH y la encriptacion de dichos datos o trafico durante el tiempo que dure la session SSH. El numero que podemos agregar a modulus va desde 256 a 2048 - entre mas mejor -. Como nota importante; lo items que utiliza el crypto key para generar dicha encriptacion RSA son presiamente el hostname del equipo y el dominio - ip domiain-name.
 |
| Imegen 1-4 configuracion en la linea VTY |
Paso final, configuramos la linea VTY donde especificamos que el unico protocolo de transporte sea SSH ´´Transport input ssh´´ y donde expecificamos que el logeo o la autenticacion de quien se quiera conectar a este router sea localmente ´´Login Local´´, con esto quiero decir que al momento de que alguien quiera establecer una sesion ( para administrar el router ) el router buscara usuario y contraseña locales creadas y verificara dichas credenciales para asi verificar que quien se esta conectando es quien dice ser.
 |
| Imagen 1-5 Conexion desde otro router a router GLOBAL falla con telnet |
 |
| Imagen 1-6 Conexion bajo ssh Satisfactorio |
 |
| Desde otro router conectados a router GLOBAL verificamos su show running-config y vemos la contraseña bajo MD5 |
En la 1° imagen vemos como conectandonos via TELNET desde otro router falla la session debido al Transport input SSH.
En la 2° Imagen vemos que la session se establecio correctamente bajo SSH
En la 3| Imagen vemos que router GLOBAL tiene encriptada la contraseña bajo MD5 ´´5´´
Eso es todo. Un saludo desde EnrrutamientoGlobal.
