El Secure Shell protocol (SSH) es un mtodo que ofrece ms seguridad en el acceso al dispositivo remoto.

Este protocolo provee la estructura para una conexin remota similar a Telnet, salvo que utiliza servicios de red ms seguros.

El SSH proporciona autenticacin de contrasea ms potente que Telnet y usa encriptacin cuando transporta datos de la sesin. La sesin SSH encripta todas las comunicaciones entre el cliente y el dispositivo IOS. De esta manera se mantienen en privado la ID del usuario, la contrasea y los detalles de la sesin de administracin. Una mejor prctica es utilizar siempre SSH en lugar de Telnet, siempre que sea posible.

SSH proporciona el mismo tipo de acceso que Telnet, con el beneficio agregado de seguridad. La comunicacin entre el cliente SSH y el servidor SSH est encriptada. SSH pas por algunas versiones, con los dispositivos de Cisco admitiendo actualmente SSHv1 y SSHv2. Se recomienda que implemente SSHv2 cuando sea posible, debido a que utiliza un algoritmo de encriptacin de seguridad mejor que SSHv1.

Configuracin de SSH SSH trabaja de forma similar a como se hace con telnet. La diferencia principal es que SSH usa tcnicas de cifrado que hacen que la informacin que viaja por el medio de comunicacin vaya de manera no legible y ninguna tercera persona pueda descubrir el usuario y contrasea de la conexin ni lo que se escribe durante toda la sesin; aunque es posible atacar este tipo de sistemas por medio de ataques de REPLAY y manipular as la informacin entre destinos.

SSH es una caracterstica criptogrfica de seguridad que est sujeta a exportar restricciones. Para utilizar esta caracterstica se debe instalar una imagen criptogrfica en su switch.

La caracterstica SSH tiene un servidor SSH y un cliente integrado SSH, que son aplicaciones que se ejecutan en el switch. Puede utilizar cualquier cliente SSH que se ejecuta en una PC o el cliente SSH de Cisco que se ejecuta en el switch para conectar a un switch que se ejecuta en el servidor SSH.

El switch admite SSHv1 o SSHv2 para el componente de servidor. El switch admite slo SSHv1 para el componente de cliente.

SSH admite el algoritmo Estndar de encriptacin de datos (DES) , el algoritmo DES triple (3DES) y la autenticacin de usuario basada en la contrasea. DES ofrece encriptacin de 56 bits, y 3DES ofrece encriptacin de 168 bits. La encriptacin lleva tiempo, pero DES demora menos que 3DES en encriptar texto. Tpicamente, los estndares de encriptacin los especifica el cliente. Entonces, si tiene que configurarEntonces, si tiene que configurar SSH, pregunte cul utilizar. (El anlisis de los mtodos de encriptacin de datos est ms all del alcance de este curso).

Para implementar SSH, debe generar claves RSA. RSA incluye una clave pblica, guardada en un servidor pblico de RSA y una clave privada, guardada slo por el emisor y el receptor. La clave pblica la pueden conocer todos y se utiliza para encriptar mensajes. Los mensajes encriptados con la clave pblica slo se pueden descifrar utilizando la clave privada. Esto se conoce como encriptacin asimtrica y se analizar con ms detalle en Exploration: Acceso al curso WAN.

Debe generar las claves RSA encriptadas utilizando el comando crypto key generate rsa.

Necesita este proceso si est configurando el switch como un servidor SSH. Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar un nombre de host y nombre de dominio IP y para generar un par de claves RSA. Paso 1. Ingrese al modo de configuracin global mediante el comando configure terminal.

Paso 2. Configure un nombre de host para su switch utilizando el comando hostname nombre de host.

Paso 3. Configure un dominio de host para su switch utilizando el comando ip domain-name nombre de dominio.

Paso 4. Habilite el servidor SSH para la autenticacin remota y local en el switch y genere un par de claves RSA utilizando el comando crypto key generate rsa.

Cuando genera claves RSA, se le indica que ingrese una longitud de mdulo. Cisco recomienda utilizar un tamao de mdulo de 1024 bits. Una longitud de mdulo ms larga puede ser ms segura, pero demora ms en generar y utilizar.

Paso 5. Regrese al modo EXEC privilegiado utilizando el comando end. Paso 6. Muestre el estado del servidor SSH en el switch utilizando el comando show ip ssh o show ssh.

Para eliminar el par de claves RSA, utilice el comando crypto key zeroize rsa de configuracin global. Despus de eliminarse el par de claves RSA, el servidor SSH se deshabilita automticamente.

Configuracin del servidor SSH

Comenzando en el modo EXEC privilegiado, siga estos pasos para configurar el servidor SSH.

Paso 1. Ingrese al modo de configuracin global mediante el comando configure terminal.

Paso 2. (Opcional) Configure el switch para ejecutar SSHv1 o SSHv2 utilizando el comando ip ssh version [1 | 2].

Si no ingresa este comando o no especifica una palabra clave, el servidor SSH selecciona la ltima versinadmitida por el cliente SSH. Por ejemplo: si el cliente SSH admite SSHv1 y SSHv2, el servidor SSH selecciona SSHv2.

Paso 3. Configure los parmetros de control de SSH:

Especifique el valor del tiempo muerto en segundos; la opcin predeterminada es 120 segundos. El intervalo es de 0 a 120 segundos Para que se conecte SSH para estar establecido, se deben

completar un nmero de fases, como conexin, negociacin de protocolo y negociacin de parmetros. El valor del tiempo muerto se aplica a la cantidad de tiempo que el switch permite para que se establezca una conexin.

De manera predeterminada, estn disponibles hasta cinco conexiones SSH simultneas encriptadas para varias sesiones basadas en CLI sobre la red (sesin 0 a sesin 4). Despus de que comienza la ejecucin de shell, el valor del tiempo muerto de la sesin basada en CLI regresa a los 10 minutos predeterminados.

Especifique el nmero de veces que un cliente puede volver a autenticarse al servidor. La opcin predeterminada es 3; el intervalo es de 0 a 5. Por ejemplo: un usuario puede permitir que la sesin SSH se mantenga por ms de 10 minutos tres veces antes de que finalice la sesin SSH.

Repita este paso cuando configure ambos parmetros. Para configurar ambos parmetros utilice el comando ip ssh {timeout segundos | authentication-retries nmero}.

Paso 4. Regrese al modo EXEC privilegiado mediante el comando end.

Paso 5. Muestre el estado de las conexiones del servidor SSH en el switch utilizando el comando show ip ssh o show ssh.

Paso 6. (Opcional) Guarde sus entradas en el archivo de configuracin utilizando el comando copy running-config startup-config.

Si quiere evitar conexiones que no sean de SSH, agregue el comando transport input ssh en el modo configuracin en lnea para limitar al switch a conexiones slo de SSH. Las conexiones de Telnet directas (no SSH) se rechazan.

ipsec Este curso presenta el protocolo IPSec (Seguridad IP) como el enfoque elegido para la construccin de tneles VPN seguros. A diferencia de los enfoques anteriores de seguridad que aplican la seguridad en la capa de aplicacin del modelo de Interconexin de sistema abierto (OSI), IPSec funciona en la red o en la capa de procesamiento de paquetes. El IPsec es un conjunto de protocolos para la seguridad de las comunicaciones IP que proporciona encriptacin, integridad y autenticacin. IPsec ingresa el mensaje necesario para proteger las comunicaciones VPN, pero se basa en algoritmos existentes.

Existen dos protocolos de estructura IPsec.

Encabezado de autenticacin (AH): se utiliza cuando no se requiere o no se permite la confidencialidad. AH proporciona la autenticacin y la integridad de datos para paquetes IP intercambiados entre dos sistemas. Verifica que cualquier mensaje intercambiado de R1 a R3 no haya sido modificado en el camino. Tambin verifica que el origen de los datos sea R1 o R2. AH no proporciona la confidencialidad de datos (encriptacin) de los paquetes. Si se lo utiliza solo, el protocolo AH proporciona poca proteccin. Por lo tanto, se lo utiliza junto con el protocolo ESP para brindar las funciones de seguridad de la encriptacin de los datos y el alerta contra alteraciones. Contenido de seguridad encapsulado (ESP): proporciona confidencialidad y autenticacin mediante la encriptacin del paquete IP. La encriptacin del paquete IP oculta los datos y las identidades de origen y de destino. ESP autentica el paquete IP interno y el encabezado ESP. La autenticacin proporciona autenticacin del origen de datos e integridad de datos. Aunque tanto la encriptacin como la autenticacin son opcionales en ESP, debe seleccionar una como mnimo.

Haga clic en el botn Estructura IPsec de la figura.

IPsec se basa en algoritmos existentes para implementar la encriptacin, la autenticacin y el intercambio de claves. Algunos de los algoritmos estndar que utiliza IPsec son:

DES: encripta y descifra los datos del paquete. 3DES: proporciona una fuerza de encriptacin importante superior al DES de 56 bits. AES: proporciona un rendimiento ms rpido y una encriptacin ms fuerte segn la longitud de la clave utilizada. MD5: autentica datos de paquetes con una clave secreta compartida de 128 bits. SHA-1: autentica datos de paquetes con una clave secreta compartida de 160 bits. DH; permite que dos partes establezcan una clave secreta compartida mediante la encriptacin y los algoritmos de hash, como DES y MD5, sobre un canal de comunicaciones no seguro.

La figura muestra cmo se configura IPsec. IPsec proporciona la estructura y el administrador elige los algoritmos utilizados para implementar los servicios de seguridad dentro de esa estructura. Existen cuatro apartados de estructura IPsec que deben completarse.

Cuando configura un gateway de IPsec para proporcionar servicios de seguridad, primero elija un protocolo IPsec. Las opciones son ESP o ESP con AH. El segundo apartado es un algoritmo de encriptacin si IPsec se implementa con ESP. Seleccione el algoritmo de encriptacin adecuado para el nivel de seguridad deseado: DES, 3DES o AES. El tercer apartado es la autenticacin. Seleccione un algoritmo de autenticacin para proporcionar la integridad de los datos: MD5 o SHA. El ltimo apartado es el grupo de algoritmos Diffie-Hellman (DH). Establece que los pares compartan la informacin de clave. Seleccione el grupo que desea utilizar: DH1 o DH2.

1 fisica Los protocolos de la capa fsica describen los medios mecnicos , elctricos , funcionales y de procedimiento para activar, mantener y desacrtivar conexiones fsicas para la transmicion de bits hacia y desde un dispositivo de red 2Enlace de datos Los protocolos de la capa de enlace de datos describen los meodos para intercambiar tramas de datos entre los dispositivos en un medio comn 3 red Proporciona servicios para intercambiar los datos individuales en la red entre los dispositivos finales identificados 4 transporte Define los servicios para segmentar, transferir y rensamblar los datos para las comunicaciones individuales entre los dispositivos finales 5 secion

Proporciona servicios de presentacin a la capa de presentacin para oranizar su dialogo y administrar el intercambio de datos 6 Presentacin Proporciona una representacin comn de los datos transferidos entre los servicios de la capa de aplicacin 7 Aplicacin Proporciona los medios para la conectividad de extremo a extremo entre los individuos de la red humana que usan redes de datos