Sorprendentemente, la mayoría de los enrutadores e interruptores del mundo están controlados y configurados por un protocolo antiguo e inseguro, Telnet. Pero el problema con Telnet es que vuela a través de la red informática sin cifrar. Y eso hace que sea simple que incluso un hacker inexperto robe las contraseñas y controle el equipo de red. Después de que toman el control, el hacker puede redirigir cualquier tipo de tráfico para sí mismo, dejarse pasar por el firewall o simplemente apagar todo. La única herramienta de hacker necesaria para arrebatar estas contraseñas es un programa de reducción de redes o capacitación de contraseña. Varios de estos programas están disponibles gratis para descargar en Internet. En lugar de usar Telnet, los administradores de red deben usar Secure Shell para administrar su equipo porque ofrece un túnel encriptado al equipo de red que es casi imposible para los piratas informáticos. /P>
El protocolo Secure Shell (SSH) tiene muchas características excelentes, pero su forma más básica es una forma cifrada de telnet, que es lo que usan los enrutadores y los conmutadores. Aquí hay algunos pasos simples para configurar el acceso SSH en los enrutadores y los interruptores de Cisco.
Pasos para configurar Secure Shell en un enrutador o Switch
Verifique el código o el firmware
El software Cisco predeterminado, o el código como muchos administradores de red lo llaman, que Cisco envía en su equipo no admite el acceso SSH, por lo que es posible que deba actualizarse. Históricamente, Cisco cobró extra por este tipo de software porque tenían que incluir sus bibliotecas de cifrado, pero una versión de Cisco Code que solo hace el cifrado SSH se ha puesto a disposición para la mayoría de sus enrutadores e interruptores fabricados en los últimos años. Esta versión no podrá hacer otros trucos IPsec como Build VPN Tunnels.
La forma más sencilla de saber si tiene o no el código correcto es hacer una versión show Para ver el código que está ejecutando actualmente. El nombre de código tendrá K9 en algún lugar si puede usar SSH. Además, el enrutador o el interruptor no aceptarán los comandos SSH si el código no lo admite. Busque la línea que comienza con: El archivo de imagen del sistema es :
Routera> Show Version
Imagen del sistema El archivo es “Bootflash: CAT4500-IPBasek9-MZ.122-31.sga3.bin”
Observe el K9 en IPBasek9. Eso significa que este enrutador está listo para actualizar a SSH.
SSH requiere una autenticación de combinación de nombre de usuario y contraseña en lugar de solo una contraseña. Sin configurar la autenticación de nombre de usuario/contraseña de algún tipo, no podrá conectarse al dispositivo de red. Aquí hay algunas notas sobre la configuración de la autenticación si el dispositivo aún no está configurado para la autenticación. Si el código admite SSH y la autenticación ya está configurada, entonces completar la configuración de SSH es un rápido.
routera (config)# hostname myrouter
routera (config)# ip dominio-name thisdomain.com
Cifrado Las claves se identifican por nombre de DNS
routera (config)# CRYPTO KEY GENER RSA
¿Cuántos bits en el módulo [512] 1024 < /b>
Elija 1024 porque la mayoría de los clientes se resistirán a cualquier cosa menos
routera (config)# ip ssh time-out 120
Este comando limita su tiempo de autenticación a 120 segundos. Debe escribir su nombre de usuario y contraseña en dos minutos.
routera (config)# ip ssh autenticación-retries 3
Esto limita el número de la conexión fallida intenta
Routera (config)# Servicio TCP-Keepalives-In
Routera (config)# Servicio TCP-Keepalive-Out
Esto evita que sus sesiones SSH sean colgadas
Routera (config)# Line Vty 0 4
RouTera ( config-line)# Entrada de transporte SSH
Esto limita el acceso de administración entrante solo a SSH. El enrutador o el conmutador no aceptarán las conexiones de Telnet en este punto, por lo que probablemente desee probar antes de emitir este comando
Ahora que SSH está configurado, las contraseñas de red están aseguradas de los posibles piratas informáticos.
