Router Teldat Protocolo SSH

Router Teldat
Protocolo SSH
Doc. DM787 Rev. 10.80
Agosto, 2011
ÍNDICE
Capítulo 1 Introducción ....................................................................................................1
1.
Introducción al protocolo ................................................................................................... 2
Fases de una conexión SSH .................................................................................... 3
2.
Servidor SSH ...................................................................................................................... 5
2.1.
Autenticación del servidor ...................................................................................... 5
2.2.
Autenticación del cliente ......................................................................................... 5
3.
Cliente SSH ........................................................................................................................ 7
1.1.
Capítulo 2 Configuración..................................................................................................8
1.
2.
2.1.
2.2.
2.3.
2.4.
2.5.
2.6.
3.
3.1.
3.2.
3.3.
3.4.
Acceso al menú de configuración de SSH ......................................................................... 9
Menú principal del protocolo SSH ..................................................................................... 10
? (AYUDA) ............................................................................................................. 10
HOST-KEY............................................................................................................. 10
a)
HOST-KEY DSA GENERATE ................................................................................. 12
b)
HOST-KEY DSA INSERT........................................................................................ 12
c)
HOST-KEY RSA GENERATE [NUM_BITS] .......................................................... 13
d)
HOST-KEY RSA INSERT ........................................................................................ 13
e)
HOST-KEY RSA1 GENERATE [NUM_BITS] ........................................................ 14
f)
HOST-KEY RSA1 INSERT ...................................................................................... 14
LIST ........................................................................................................................ 15
a)
LIST ALL ................................................................................................................. 15
b)
LIST HOST-KEY ..................................................................................................... 18
•
LIST HOST-KEY ALL ............................................................................... 18
•
LIST HOST-KEY DSA ............................................................................... 20
•
LIST HOST-KEY RSA ............................................................................... 20
•
LIST HOST-KEY RSA1 ............................................................................. 22
c)
LIST SERVER.......................................................................................................... 23
NO ........................................................................................................................... 23
a)
NO HOST-KEY ....................................................................................................... 23
•
NO HOST-KEY DSA .................................................................................. 24
•
NO HOST-KEY RSA .................................................................................. 24
•
NO HOST-KEY RSA1 ................................................................................ 24
SERVER ................................................................................................................. 24
EXIT ....................................................................................................................... 25
Menú del servidor SSH ...................................................................................................... 26
ACCOUNTING ...................................................................................................... 26
a)
ACCOUNTING COMMANDS ................................................................................ 27
b)
ACCOUNTING EXEC ............................................................................................ 27
AUTH-TIME .......................................................................................................... 27
AUTHENTICATION ............................................................................................. 27
a)
AUTHENTICATION PASSWORD .......................................................................... 28
b)
AUTHENTICATION PUBLIC-KEY ........................................................................ 28
•
ENABLE ..................................................................................................... 29
•
KEY [NOMBRE] ........................................................................................ 29
•
NO ............................................................................................................... 31
•
EXIT ............................................................................................................ 32
c)
AUTHENTICATION RSA ....................................................................................... 32
•
ENABLE ..................................................................................................... 33
•
KEY [NOMBRE] ........................................................................................ 33
•
NO ............................................................................................................... 35
•
EXIT ............................................................................................................ 36
AUTHORIZATION ................................................................................................ 36
a)
AUTHORIZATION EXEC ....................................................................................... 36
b)
AUTHORIZATION COMMANDS ........................................................................... 37
- ii -
3.5.
a)
3.6.
a)
b)
3.7.
a)
b)
c)
3.8.
3.9.
a)
b)
3.10.
3.11.
a)
b)
c)
d)
e)
f)
g)
h)
i)
j)
k)
l)
m)
n)
3.12.
3.13.
a)
3.14.
3.15.
3.16.
a)
b)
c)
d)
e)
f)
g)
h)
i)
j)
k)
CIPHERS ................................................................................................................ 37
CIPHERS [NOMBRE] ............................................................................................ 37
CLIENT-ALIVE ..................................................................................................... 38
CLIENT-ALIVE INTERVAL [TIEMPO] ................................................................. 38
CLIENT-ALIVE MAX-COUNT [CONTADOR] ...................................................... 38
COMPRESSION..................................................................................................... 39
COMPRESSION YES .............................................................................................. 39
COMPRESSION NO ............................................................................................... 39
COMPRESSION DELAYED ................................................................................... 39
ENABLE ................................................................................................................. 40
EPHEMERAL-KEY ............................................................................................... 41
EPHEMERAL-KEY BITS [NUM_BITS] ................................................................. 41
EPHEMERAL-KEY REGENERATION-INTERVAL [TIEMPO] ............................. 41
KEEP-ALIVE ......................................................................................................... 41
LIST ........................................................................................................................ 42
LIST ALL ................................................................................................................. 42
LIST AUTH-TIME ................................................................................................... 44
LIST AUTHENTICATION....................................................................................... 44
•
LIST AUTHENTICATION PASSWORD .................................................. 45
•
LIST AUTHENTICATION PUBLIC-KEY ................................................ 46
•
LIST AUTHENTICATION RSA ................................................................ 46
LIST CIPHERS........................................................................................................ 47
LIST CLIENT-ALIVE .............................................................................................. 47
•
LIST CLIENT-ALIVE INTERVAL............................................................ 47
•
LIST CLIENT-ALIVE MAX-COUNT ....................................................... 47
LIST COMPRESSION ............................................................................................. 48
LIST ENABLE ......................................................................................................... 48
LIST EPHEMERAL-KEY ........................................................................................ 48
•
LIST EPHEMERAL-KEY BITS ................................................................. 48
•
LIST EPHEMERAL-KEY REGENERATION-INTERVAL ...................... 49
LIST KEEP-ALIVE.................................................................................................. 49
LIST MACS ............................................................................................................. 49
LIST MAX-AUTH-TRIES ........................................................................................ 49
LIST MAX-CONNECTIONS ................................................................................... 50
LIST PORT .............................................................................................................. 50
LIST VERSION........................................................................................................ 50
LOGIN .................................................................................................................... 50
MACS ..................................................................................................................... 51
MACS [NOMBRE] .................................................................................................. 51
MAX-AUTH-TRIES .............................................................................................. 51
MAX-CONNECTIONS .......................................................................................... 52
NO ........................................................................................................................... 52
NO ACCOUNTING ................................................................................................. 53
NO AUTH-TIME ..................................................................................................... 53
NO AUTHENTICATION PASSWORD.................................................................... 53
NO AUTHORIZATION ........................................................................................... 53
NO CIPHERS .......................................................................................................... 54
NO CLIENT-ALIVE ................................................................................................ 54
•
NO CLIENT-ALIVE INTERVAL .............................................................. 54
•
NO CLIENT-ALIVE MAX-COUNT .......................................................... 55
NO COMPRESSION ............................................................................................... 55
NO ENABLE ........................................................................................................... 55
NO EPHEMERAL-KEY .......................................................................................... 55
•
NO EPHEMERAL-KEY BITS.................................................................... 56
•
NO EPHEMERAL-KEY REGENERATION-INTERVAL ........................ 56
NO KEEP-ALIVE .................................................................................................... 56
NO LOGIN .............................................................................................................. 56
- iii -
l)
m)
n)
o)
p)
NO MACS................................................................................................................ 56
NO MAX-AUTH-TRIES .......................................................................................... 57
NO MAX-CONNECTIONS ..................................................................................... 57
NO PORT ................................................................................................................ 57
NO VERSION .......................................................................................................... 57
3.17.
PORT ...................................................................................................................... 58
3.18.
VERSION ............................................................................................................... 58
3.19.
EXIT ....................................................................................................................... 58
4.
Pasos para una buena configuración de SSH...................................................................... 60
4.1.
Configuración del servidor...................................................................................... 60
a)
Creación de usuario y contraseña .......................................................................... 60
b)
Compatibilidad de versiones ................................................................................... 61
c)
Elección de las host-keys ........................................................................................ 61
d)
Activación del servidor ........................................................................................... 63
e)
Opciones avanzadas del servidor............................................................................ 64
f)
Sobre Telnet ............................................................................................................ 65
g)
Guardado de la configuración ................................................................................ 65
h)
Reiniciado de equipo............................................................................................... 67
Capítulo 3 Monitorización ................................................................................................68
1.
Monitorización de conexiones SSH ................................................................................... 69
- iv -
Capítulo 1
Introducción
1. Introducción al protocolo
SSH (Secure Shell) es un protocolo para acceso (login) remoto con seguridad, además de otros
servicios de red seguros sobre una red no segura.
La arquitectura de SSH está formada por tres componentes:
•
•
•
Protocolo de nivel de transporte: Proporciona autenticación del servidor, por lo que el cliente
puede verificar la autenticidad del servidor al que se conecta. Aporta también a la conexión
confidencialidad e integridad con Perfect Forward Secrecy. Esta propiedad indica que las
claves empleadas en cada sesión se generan a partir de un material único, y se consigue
gracias a un intercambio de claves de Diffie-Hellman.
Protocolo de autenticación de usuario: El cliente se autentica frente al servidor, de forma que
únicamente se establece una conexión con usuarios permitidos por el servidor en su
configuración.
Protocolo de conexión: Multiplexa la conexión encriptada y autenticada en un conjunto de
canales lógicos. Proporciona una serie de servicios, entre los que se encuentra el acceso a
terminal remoto.
El tráfico de SSH se intercambia típicamente sobre una conexión TCP/IP. El puerto de escucha del
servidor SSH asignado por IANA (Internet Assigned Numbers Authority) es el 22.
El protocolo SSH dispone de dos versiones en la actualidad:
•
•
La primera versión, la originaria históricamente, no se encuentra estandarizada por el IETF
(Internet Engineering Task Force). Inicialmente se distribuyó con licencia libre, pero los
siguientes desarrollos, aún pertenecientes a la primera versión, dejaron de ser libres. Estaban
además sujetos a patentes y restricciones gubernamentales, permitiendo su uso sólo para fines
no comerciales. Por otra parte, se han descrito un conjunto de vulnerabilidades que hacen esta
versión no recomendable.
La segunda versión ha sido estandarizada por el IETF bajo el nombre de SSH, apoyada
también por el proyecto OpenSSH, cuyo objetivo era desarrollar una implementación libre y
portable del protocolo. La mayoría de las distribuciones de SSH presentes en el mercado, tanto
de clientes como servidores, usan esta versión, que soluciona los riesgos encontrados en la
primera, además de emplear mecanismos de cifrado más robustos.
ROUTER TELDAT – Introducción Protocolo SSH
I-2
Doc.DM787
Rev.10.80
1.1. Fases de una conexión SSH
En primer lugar, una vez establecida la conexión TCP/IP, cliente y servidor se intercambian una
cadena de caracteres en la que se notifican sus versiones de SSH. Cuando el servidor soporta tanto la
versión 1 como la 2, indica que tiene implementada la versión “SSH-1.99”. Si las versiones de ambos
son compatibles, se inicia una negociación de parámetros. A continuación se describe el resto del
proceso para SSHv2.
Entre los parámetros negociados se encuentran los algoritmos de intercambio de claves KEX (Key
EXchange), el tipo de clave del servidor, los algoritmos de cifrado posibles, los algoritmos disponibles
de detección de errores MAC (Message Authentication Code), métodos de compresión, etc. Si ambas
partes llegan a un acuerdo, se inicia el intercambio de claves, en el que se autentica el servidor y se
genera una clave de cifrado a emplear en esta sesión únicamente.
Esta clave es la que se emplea para el cifrado de toda la comunicación, hasta que se considere
oportuno un nuevo intercambio de claves, bien por tiempo transcurrido o por tráfico enviado. A partir
de este momento se considera que la conexión proporciona confidencialidad e integridad entre cliente
y servidor.
ROUTER TELDAT – Introducción Protocolo SSH
I-3
Doc.DM787
Rev.10.80
Una vez que la conexión es segura, el cliente intenta autenticarse frente al servidor, empleando uno de
los métodos permitidos por este último. Para dificultar la autenticación de clientes no deseados, el
servidor limita tanto los intentos de autenticación como el tiempo disponible para realizarla.
En último lugar, cuando se ha comprobado la identidad del cliente, éste intenta acceder al conjunto de
servicios proporcionados por el servidor sobre la conexión segura. Corresponde al servidor la tarea de
permitirle el acceso a dichos servicios según los privilegios de acceso del cliente, o según las
funcionalidades que deseen ofertarse.
ROUTER TELDAT – Introducción Protocolo SSH
I-4
Doc.DM787
Rev.10.80
2. Servidor SSH
Un servidor SSH proporciona una conexión de red segura a un cliente SSH. Como mínimo, pone a
disposición del cliente el acceso por consola o terminal remoto al equipo servidor, que es la
funcionalidad que da nombre al protocolo (Consola Segura). La especificación del protocolo ofrece
actualmente un mayor abanico de servicios opcionales, entre los que se encuentran la transferencia de
ficheros sobre SSH (SFTP), o el Port-Forwarding, que proporciona un túnel seguro para el
intercambio de datos entre otras aplicaciones.
En cuanto a las versiones del protocolo, el servidor puede ser compatible con SSHv1, con SSHv2 o
con ambos. Aunque se aconseja emplear SSHv2 por el riesgo de seguridad detectado en la primera
versión, existen todavía implementaciones de clientes que sólo soportan SSHv1, forzando la
compatibilidad hacia atrás en muchos servidores SSH.
2.1. Autenticación del servidor
Para la autenticación del servidor, es necesario que éste disponga de una clave que lo identifique
unívocamente en la red, la host-key. Según la versión de SSH soportada, dicha clave ha de ser de un
tipo específico. En la primera versión, el servidor debe contar con una clave RSA, habitualmente
llamada RSA1 en este caso. Para la segunda versión, la clave puede ser RSA o DSA (Digital
Signature Algorithm), teniendo la posibilidad de negociarse una u otra. Con el fin de posibilitar el
acceso a clientes que exijan un tipo concreto, el servidor podría contar con una clave de cada tipo.
Estas claves se descomponen en una parte pública y otra privada. La parte pública se debe distribuir a
todos los clientes que deseen iniciar una conexión SSH, de forma que verifiquen que el servidor al que
se intentan conectar es el esperado. Las diferentes distribuciones de clientes existentes en el mercado
almacenan dicha información tras la primera vez que se inicia una conexión con un servidor,
recordando su dirección IP y puerto. En ese momento avisan de que el servidor es desconocido, siendo
obligación del cliente verificar que la clave pública recibida se asocia al servidor deseado. En las
sucesivas conexiones SSH que se inicien desde el mismo cliente con dicho servidor, se comprueba que
la clave pública obtenida es igual que la almacenada; en caso contrario, la aplicación alerta de una
posible brecha en la seguridad, siendo de nuevo responsabilidad del cliente la decisión de confiar en la
nueva clave recibida, reconocible por su huella (fingerprint).
En cuanto a la parte privada, el servidor debe protegerla celosamente para que otro servidor
“malicioso” no pueda usurpar su identidad. Aunque el método de almacenar la clave privada es
dependiente de la implementación, es habitual guardar la información de la clave pública junto con la
privada. Para añadir confidencialidad a la clave, se almacena cifrada.
2.2. Autenticación del cliente
Una vez que se ha establecido una comunicación segura, el cliente debe autenticarse frente al servidor,
por lo que este último debe registrar cuentas de acceso para los posibles clientes permitidos, junto con
sus restricciones o privilegios. No resulta coherente con la filosofía de SSH permitir el acceso a
ROUTER TELDAT – Introducción Protocolo SSH
I-5
Doc.DM787
Rev.10.80
usuarios no registrados, o sin contraseña, ya que, aunque el canal esté cifrado, cualquier cliente tendría
acceso al servidor, perdiendo el control sobre los usuarios permitidos.
El servidor puede limitar el tiempo disponible para la autenticación, así como establecer un número
máximo de intentos. Existen múltiples métodos de autenticación, todos ellos formados por un nombre
de usuario y otro componente, que se explica más adelante. A menudo, la implementación del servidor
no permite cambiar este nombre de usuario para cada nuevo intento, por lo que si se ha introducido un
nombre de usuario erróneo, sería necesario reiniciar la conexión.
Entre los mecanismos existentes, se encuentran:
•
•
•
Contraseña (password). El servidor comprueba que los campos de usuario y contraseña
proporcionados por el cliente, que ya se transmiten cifrados, se corresponden con los
registrados; se asignan al usuario los permisos asociados.
Autenticación por clave pública RSA para SSHv1. El servidor almacena en su configuración
la parte pública de la clave RSA1 del cliente, de forma que podrá identificarle una vez que
éste use su parte privada para crear una firma.
Autenticación por clave pública (public key) para SSHv2. Dicha clave puede ser de nuevo
RSA o DSA, y el mecanismo es similar al anterior, aunque varía la forma de guardar la clave.
El cliente tiene la opción de elegir qué método de autenticación emplear entre los que el servidor
ponga a su disposición, pudiendo requerir el uso de más de uno.
ROUTER TELDAT – Introducción Protocolo SSH
I-6
Doc.DM787
Rev.10.80
3. Cliente SSH
La configuración del cliente SSH es, según la implementación, muy significativa. Mientras que el
servidor restringe las opciones posibles para los parámetros de la negociación (cifrado, métodos de
autenticación, etc.), el cliente es el que escoge de entre dichas opciones a partir de un sistema de
prioridades. Por ejemplo, un servidor permite el uso de compresión, pero el cliente se configura para
no emplearla, lo que prevalece sobre las preferencias del servidor. El parámetro principal a configurar
es la versión de SSH con la que establecer la conexión.
Para la autenticación del servidor, el cliente guarda un registro de las claves públicas de los servidores
SSH a los que se ha conectado. La primera vez avisa al usuario de que la clave es desconocida, y si en
una próxima ocasión no coincide con el valor almacenado, alerta de un posible riesgo de seguridad.
En cuanto a la autenticación del cliente, éste tiene la opción de escoger entre los mecanismos
permitidos por el servidor. En el apartado referente al servidor SSH se han comentado algunos de los
métodos de autenticación estandarizados, que en primer lugar necesitan un nombre de usuario;
habitualmente no se puede modificar dicho nombre en sucesivos intentos de autenticación. Para los
métodos mencionados, la perspectiva del cliente es:
•
•
•
Contraseña (password). La aplicación cliente almacena la contraseña con la que autenticarse
frente al servidor o bien se la pide al usuario en cada intento de autenticación que se realice.
Autenticación por clave pública RSA para SSHv1. El cliente guarda en su configuración la
ruta al archivo con la clave privada RSA1, que tiene formato estándar. Para poder utilizar su
clave para autenticarse, debe configurar previamente el servidor, registrando en él su clave
pública; durante el proceso, si la clave está protegida por contraseña, se le pide al usuario que
la introduzca si quiere utilizarla. Por otra parte, los clientes SSH suelen tener asociada una
aplicación para la generación de claves, e incluso agentes para tener las claves ya cargadas y
que no sea necesario escribir su contraseña (passphrase).
Autenticación por clave pública (public key) para SSHv2. Como con la clave RSA1, el cliente
debe almacenar la ruta al archivo con la clave privada a usar, cuyo formato varía según el
cliente; entre los formatos más destacados: OpenSSH (formato PEM de OpenSSL), ssh.com
(marca comercial) y Putty. Sigue siendo necesario configurar en el servidor la parte pública de
la clave, para que éste la acepte, así como introducir su contraseña en tiempo de ejecución si
está protegida.
Por último, si el objeto de la conexión es abrir una consola remota, el cliente debe crear un terminal
con el que permitir la interacción entre el usuario y el equipo servidor.
ROUTER TELDAT – Introducción Protocolo SSH
I-7
Doc.DM787
Rev.10.80
Capítulo 2
Configuración
1. Acceso al menú de configuración de SSH
En este capítulo se describen los pasos requeridos para configurar el protocolo SSH, comenzando por
el acceso al menú del protocolo. Los siguientes apartados describen el proceso de configuración con
más detalle.
En primer lugar, se debe entrar en el menú de configuración del equipo. Para el caso de querer
modificar la configuración estática:
*config
Config>
Para acceder al entorno de configuración SSH, desde el prompt Config> (configuración estática), o
desde Config$ (configuración dinámica), se debe introducir el siguiente comando:
Config>feature ssh
-- SSH protocol configuration -SSH Config>
ROUTER TELDAT – Configuración Protocolo SSH
II - 9
Doc.DM787
Rev.10.80
2. Menú principal del protocolo SSH
En este apartado se listan y explican los comandos del menú de configuración de SSH. Actualmente,
sólo se dispone del servidor SSH, que necesita a su vez de unas claves propias del equipo (host-keys).
Dado que dichas claves identifican a todo el equipo, no sólo al servidor, se encuentran en un comando
aparte. A continuación se muestran los comandos disponibles en el menú principal del protocolo:
Comando
Función
? (AYUDA)
Lista los comandos disponibles o las opciones asociadas con un comando
específico.
Permite generar o insertar claves de equipo.
Muestra los valores de cada uno de los parámetros de configuración,
incluyendo las claves privadas del equipo.
Borra el valor configurado de un parámetro, dejándolo a su valor por defecto.
En el caso de claves, las elimina completamente.
Entra en el menú de configuración del servidor SSH.
Vuelve al prompt Config>.
HOST-KEY
LIST
NO
SERVER
EXIT
2.1. ? (AYUDA)
Use el comando ? (AYUDA) para listar los comandos que están disponibles en el nivel donde se está
programando el router. También puede utilizarse a continuación de un comando específico para listar
sus opciones. Está disponible para todos los submenús y comandos.
Sintaxis:
SSH config>?
Ejemplo:
SSH Config>?
host-key
list
no
server
exit
SSH Config>
Host key configuration
Display protocol configuration
Negate a command or set its defaults
Server configuration
2.2. HOST-KEY
Mediante el comando HOST-KEY, que es sólo estático, se posibilita la generación de nuevas claves o
su inserción a partir de claves previamente generadas. Se encuentran los siguientes subcomandos:
Comando
Función
DSA
RSA
RSA1
Host-key de tipo DSA (para versión 2).
Host-key de tipo RSA (para versión 2).
Host-key de tipo RSA1 (para versión 1).
ROUTER TELDAT – Configuración Protocolo SSH
II - 10
Doc.DM787
Rev.10.80
El equipo sólo puede tener una host-key de cada tipo, aunque su existencia no es siempre obligatoria.
Si el servidor sólo va a ser compatible con SSHv2, no es necesaria una clave RSA1; análogamente, si
sólo va a ser compatible con SSHv1 (no se recomienda), no son necesarias las claves DSA ni RSA.
Por otra parte, cuando la versión del servidor incluye SSHv2, no hacen falta las dos claves de la
versión (RSA y DSA); así que, en la mayoría de los casos, es suficiente con disponer de una host-key
RSA o DSA. El motivo de tener ambas es permitir la interoperabilidad con un cliente SSH que le
exigiera al servidor emplear un tipo de clave concreto.
Por defecto, el equipo no dispone de ninguna host-key, pero cuando se habilita el servidor SSH, se
generan automáticamente las mínimas claves necesarias según la versión de SSH. Si está configurado
para operar con SSHv1 y SSHv2, se generan las claves RSA1 y RSA con 1024 bits; si sólo una
versión está habilitada, se genera la clave correspondiente. Por defecto, no se genera la clave DSA. En
el caso de que el usuario borre las host-keys configuradas, estando el servidor habilitado, cuando éste
arranca al reiniciar el equipo, intenta cargar las claves; si no encuentra alguna de las necesarias, las
genera automáticamente, correspondiendo al usuario la tarea de salvar la configuración dinámica si
quiere conservarlas.
Una host-key está formada por una parte pública y otra privada. En la host-key se guarda toda la
información, de forma que, junto con la parte privada, se encuentra también la pública. A pesar de que
la parte pública se distribuye libremente, ya que cualquier cliente que inicie una conexión SSH con el
servidor la obtiene, la parte privada debe protegerse. En consecuencia, el contenido de la host-key no
debe divulgarse, y se protege mediante cifrado.
En cuanto a la forma de almacenar las claves, las host-keys se guardan en el archivo de configuración,
de forma que el equipo siempre conserve sus mismas host-keys. Si se modificase alguna de ellas, los
clientes que hubieran registrado dicha clave pública antigua del servidor, informan de que no coincide
con la almacenada. Aunque se guardan en la configuración, no se muestran al usuario al emplear el
comando SHOW CONFIG, dado que no le aportan información relevante y no deben portarse entre
equipos diferentes. Las claves deben ser únicas para cada equipo, con tal de que lo identifiquen
unívocamente, pero aún así se proporcionan mecanismos para conservar dichas claves entre distintas
configuraciones.
Para mostrar el contenido de las host-keys, se debe usar el comando LIST HOST-KEY [TIPO],
mientras que para introducir en el equipo una clave previa, se dispone de HOST-KEY [TIPO]
INSERT. Por último, como se ha indicado anteriormente, las host-keys se guardan también en el
archivo de configuración; por tanto, si éste se copia en distintos equipos, hay que prestar atención a
generar unas claves únicas para cada uno de ellos.
Dentro de cada subcomando, para cada uno de los tipos de claves, se encuentran las siguientes
opciones:
Comando
Función
GENERATE
INSERT
Genera una host-key del tipo indicado.
Permite insertar una host-key previamente generada mediante pegado de texto.
El proceso de generación de claves requiere un tiempo que varía en función del número de bits, del
algoritmo empleado y del equipo, y puede llegar a durar varios minutos en el caso más desfavorable.
Sin embargo, esta generación de claves no debe realizarse más de una vez por equipo. Una vez
generada la host-key, se muestra por consola la clave pública y el fingerprint o huella. Al menos este
fingerprint, resultante de realizar un MD5 de la clave pública, ha de suministrarse a los futuros clientes
SSH, para que verifiquen visualmente la autenticidad del servidor.
ROUTER TELDAT – Configuración Protocolo SSH
II - 11
Doc.DM787
Rev.10.80
a) HOST-KEY DSA GENERATE
Genera la host-key del tipo DSA (también llamado DSS) con 1024 bits, para SSHv2. La longitud es
fija, ha de tener 1024 bits. Si el equipo ya disponía de ella, se sobrescribe la antigua.
Sintaxis:
SSH config>host-key dsa generate
Ejemplo:
SSH Config>host-key dsa generate
Generating public/private dsa key pair...
Please wait for a few seconds.
Key generation done.
Public key:
ssh-dss AAAAB3NzaC1kc3MAAACBAMBl0OdknSG228cLtQ+6z/BwizJo2ijElXRI
JkoLAFO0q+ACbA6fe8wo+9Hy4RjAyoO6HWtUXbuuO7fDFoIqOWLYLM0t5jNfI1g+
yiezyrNyRFcffwslKezZ6XjV6CQESGX2zj+SQxWKeVx++FdsIx2NG4zaCRNmtTdX
MDfLIRrFAAAAFQDod41UuyTQ9tIvdOF+tXvf5ZyzoQAAAIEAvYPpolQj6lbrhIhp
q7U+b1SJTBQIruXRco11bym2O91kHM0EVIZm0ZyHaBvwkyEeCno8WCE6KI9X52XK
ROow2Es45FqsvGR1sJleDyVxsjbLU4eRwHLLSgQ1ORdzTH1ic+oFpplaPZOmvZeu
uCHoRnUne/jgJHaF4rSquBrn+aYAAACBAJu1xPY74hvhi1fy9L6HP5v5bu3lAxQK
W2eH+zYONKhNHOrC2Xs8Mt7adhPDQRabXxtPA4PLwo0uVKuBcufvqaKLs/llzNaJ
ghxwS1wR9W3IdAX4FQkJ6HZ7plQx1lT+ZwIA7JpZcKNChDwMPNM/iDHcoRO0+Kga
9X12KiA5Bcew
The key fingerprint is:
97:53:9d:25:21:8b:76:49:09:5d:e9:6c:4c:f6:8e:56
SSH Config>
Para más información sobre la clave privada, consultar el comando LIST HOST-KEY DSA.
b) HOST-KEY DSA INSERT
Permite la inserción de una host-key conocida de tipo DSA en el equipo, que debe haber sido generada
por un equipo Teldat. En caso contrario, no se muestra ningún error al usuario, pero cuando el servidor
intenta cargarla al iniciarse, la clave no se considera válida; en ese momento, se genera una nueva
clave, avisando de ello mediante un evento.
Sintaxis:
SSH config>host-key dsa insert
Ejemplo:
SSH Config>host-key dsa insert
Enter the host key (PEM format)
<cr> to escape
-----BEGIN DSA PRIVATE KEY----Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,82AECC6A19793195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-----END DSA PRIVATE KEY----SSH Config>
ROUTER TELDAT – Configuración Protocolo SSH
II - 12
Doc.DM787
Rev.10.80
Para más información sobre la clave privada, consultar el comando LIST HOST-KEY DSA.
c) HOST-KEY RSA GENERATE [NUM_BITS]
Genera la host-key del tipo RSA con el número de bits especificado, entre 768 y 2048, para SSHv2.
Una longitud de 1024 bits debe ser suficiente en la mayoría de los casos. Si el equipo ya disponía de la
clave, se sobrescribe la antigua.
Sintaxis:
SSH config>host-key rsa generate <num_bits>
Ejemplo:
SSH Config>host-key rsa generate 2048
Generating public/private rsa key pair...
Please wait for a few seconds.
Key generation done.
Public key:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA0ayDS70qND+k4ZtyFs8LifniAHFR
InD/Ygii0CoSj8YCXdr2e8ahEFmt0fvc9N53+blBDPGdo7cVBrC1BmY4ocWH+ZRp
dpsTjD4mQ33ARJcvypyQq1ipfwXsp2E1QeQD6CiNAoZAl2qAlvBxBkbIt6UZBfVe
Vo0LzbXCDzzLOvCXSwxxiLf2ktwFsY9XBak9jYJcDs8nEwwhwDNnfhn8tJ8ZnNjv
mmSfjykdqbCSiUUImY4xjBSsgIZbuPeBLnjGQTcxhZiZ58ASw+799FScBwcjVxjZ
Ae6iZlbQmycElpun0DEjEDsdcqJgfypq0XgDaUsOnBjF+axgTN5AlTouvQ==
The key fingerprint is:
23:08:e1:2a:ad:fe:37:3e:8f:a0:67:ed:00:f2:3c:24
SSH Config>
Para más información sobre la clave privada, consultar el comando LIST HOST-KEY RSA.
d) HOST-KEY RSA INSERT
Permite la inserción de una host-key conocida de tipo RSA en el equipo, que debe haber sido generada
por un equipo Teldat. En caso contrario, no se muestra ningún error al usuario, pero cuando el servidor
intenta cargarla al iniciarse, la clave no se considera válida; en ese momento, se genera una nueva
clave, avisando de ello mediante un evento.
Sintaxis:
SSH config>host-key rsa insert
Ejemplo:
SSH Config>host-key rsa insert
Enter the host key (PEM format)
<cr> to escape
-----BEGIN RSA PRIVATE KEY----Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,6A1846834A4DA3FC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 TELDAT – Configuración Protocolo SSH
II - 13
Doc.DM787
Rev.10.80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-----END RSA PRIVATE KEY----SSH Config>
Para más información sobre la clave privada, consultar el comando LIST HOST-KEY RSA.
e) HOST-KEY RSA1 GENERATE [NUM_BITS]
Genera la host-key del tipo RSA1 con el número de bits especificado, entre 768 y 2048, para SSHv1.
Una longitud de 1024 bits debe ser suficiente en la mayoría de los casos. Si el equipo ya disponía de la
clave, se sobrescribe la antigua. Se denomina RSA1, aunque siga siendo una clave del tipo RSA,
porque varía el formato de la host-key tanto al almacenarla como al extraer su parte pública.
Sintaxis:
SSH config>host-key rsa1 generate <num_bits>
Ejemplo:
SSH Config>host-key rsa1 generate 1024
Generating public/private rsa1 key pair...
Please wait for a few seconds.
Key generation done.
Public key:
1024 35 16057888365265681865728790368262211474338653261286008675
3628160808512552132051029598278952540746252528629815617734902917
8821544308825001420149285869943190521116608433238376868953453749
7051077146768055525370142830251653520888464591301926980173404970
0790695642285984523750486329852429527057770945907085394177099
The key fingerprint is:
a2:94:6a:b9:39:d5:75:73:5a:f4:d8:cd:35:3c:3e:08
SSH Config>
Se observa que el formato de la parte pública difiere del propio de la clave RSA (SSHv2). Se compone
en este caso de la longitud del módulo, seguida de exponente y módulo, todos en base decimal. Para
más información sobre la clave privada, consultar el comando LIST HOST-KEY RSA1.
f) HOST-KEY RSA1 INSERT
Permite la inserción de una host-key conocida de tipo RSA1 en el equipo, que debe haber sido
generada por un equipo Teldat. En caso contrario, no se muestra ningún error al usuario, pero cuando
el servidor intenta cargarla al iniciarse, la clave no se considera válida; en ese momento, se genera una
nueva clave, avisando de ello mediante un evento.
Sintaxis:
SSH config>host-key rsa1 insert
ROUTER TELDAT – Configuración Protocolo SSH
II - 14
Doc.DM787
Rev.10.80
Ejemplo:
SSH Config>host-key rsa1 insert
Enter the host key (base64)
<cr> to escape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 Config>
Para más información sobre la clave privada, consultar el comando LIST HOST-KEY RSA1.
2.3. LIST
Este comando muestra todo el contenido de la configuración de SSH. Dispone de varios subcomandos
para focalizar la parte de la configuración que se desea observar. No se indican los cambios hechos en
la configuración por defecto, dado que para ese objetivo existe el comando SHOW CONFIG. En vez
de ello, se listan los valores de los parámetros de configuración del protocolo, ya sean valores por
defecto o modificados por el usuario. Se dispone de los siguientes subcomandos:
Comando
Función
ALL
HOST-KEY
SERVER
Lista toda la configuración del protocolo.
Muestra las host-keys completas presentes en el equipo.
Presenta la configuración del servidor SSH.
Debe observarse que, dependiendo de en qué menú de configuración se ejecute el comando, se
muestra la configuración estática o dinámica. Al iniciarse el router, ambas configuraciones coinciden.
La excepción se presenta en el caso de que el servidor esté habilitado, no haya host-keys guardadas en
configuración, y al no encontrarlas, el servidor las genere, almacenándose en configuración dinámica.
El servidor en ejecución hace uso de esas claves, y debe salvarse dicha configuración para
conservarlas, además de evitar que el equipo deba generarlas de nuevo cada vez que se inicie.
a) LIST ALL
Muestra la información completa de la configuración del protocolo. Es similar a realizar un LIST
SERVER ALL seguido de un LIST HOST-KEY ALL.
Sintaxis:
SSH config>list all
Ejemplo:
SSH Config>list all
SSH Server configuration:
Server status: enabled
ROUTER TELDAT – Configuración Protocolo SSH
II - 15
Doc.DM787
Rev.10.80
Version compatibility: SSHv1 and SSHv2
Listening port:
22
Payload compression: enabled
Ciphers:
3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
aes128-ctr
aes192-ctr
aes256-ctr
arcfour128
arcfour256
arcfour
blowfish-cbc
cast128-cbc
:
:
:
:
:
:
:
:
:
:
:
:
available
available
available
available
available
available
available
available
available
available
available
available
Message Authentication
hmac-md5 :
hmac-sha1 :
hmac-ripemd160 :
hmac-sha1-96 :
hmac-md5-96 :
Codes:
available
available
available
available
available
Authentication methods:
Password : available
Public-key : available
Key : pubkey1
Users :
admin
ssh-dss AAAAB3NzaC1kc3MAAACAdQpx45QBksY+YdceMCv1a7
OYFT/nKkFghAcEE3fGbz4vPJjXpSOIkgTARylPx+uEkmokN9nv
RY0CT53r/+QlfxIBW1Z8Nu1TvI8qm0Ea0OYyDI6oEhMZhWFWKH
HQmUQy1oCl3ndqgMT4rr3fEl2hbZeujJzrNVY4EQsfSF9KhV8A
AAAVAI3hGhP6mxl/FEE7Xva+JfraCwHPAAAAgGMNblPcZeM5Dg
bj1Vj/VEhpvAyvCW5E30X8jMl8YvSr7w/qaJoGAIEkgHb8efKT
uUBt9nzot+QhLAiTwEe3Nf4GxeH9ifHLRrYTh/jPKTpYucK66O
cU4X/9JJzcyUl+eqQDgDWhEPHviUb3EPQTuP19nOA65TBFj3ZB
xv+tsftTAAAAgGtEZEcLQmDxsnM5pjelVtdnu7N/MHBTQTw8I+
Pm+BKEOjCiBMFKB/4l5+TL1T1ocP0QCIttx15A9QRCkab4VEJ8
pNIPnrkkNvyuk2BLgnNijwBpdVNfWEi7JSZrzadIJjlXGOcuez
tvggqF9CR0f9WveLE2VMiLq7Jf2cp79yt9 dsa-key-2008012
8
Key : pubkey2
Users :
client
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAn+U+8tigcZ7FkW
lRjEjPW5nMqlH2LMA9SJqJxE1+UVzCrb0VGYmCQkn5fC6ZoRld
B2kIPUNjNxss3KU2rRZLPx+k9Jlf9lyz2+LT8oMVKHzN0G7Nh+
ZKakJu8HFweb83VnngW08gf27hy5Cn/lO1dy9t9Ib4dAlWhvf2
n0ozMCach5xRkaDrq8mj1tuGE+OOGEVu8SZIY4NXUw0buJ3Bfi
MPMaWnCH7WbhuwtfyqYvY7X9yq5grOf9qTfKXjQ8iZJPdXSNw1
e9FdD1ueLjLZx72a5Pz7UcHJMUwyDmAxGa6jZJYNtiAJobnIV3
HLo+T2r3V5sR5L9qMTR3VN4RNSnw==
RSA : available
Key : rsa_k
Users :
client2
1023 37 798458743537890626287808985236489077472652
66812863492943900643652158257944058563390058992294
51173715639607846263338310423413858715325915964374
01387845850415306821103328404262154828502339630126
28427593070313403301129101805661224245159936059098
97875549304327234412468874787807675754117378368916
ROUTER TELDAT – Configuración Protocolo SSH
II - 16
Doc.DM787
Rev.10.80
5017928211763217 rsa-key-20080128
Maximum number of authentication attempts: 6
Maximum time to complete authentication:
2m0s
Maximum number of SSH connections: 4
Keep-alive activated: yes
Client-alive message parameters:
Maximum number of messages sent without response:
Interval between messages:
15s
3
Ephemeral server key parameters:
Number of bits:
768
Interval to regenerate server key: 1h0m0s
SSH Host keys:
RSA1 (only for SSHv1)
Host key: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 (only for SSHv2)
Host key:
-----BEGIN RSA PRIVATE KEY----Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,6A1846834A4DA3FC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-----END RSA PRIVATE KEY----DSA (only for SSHv2)
Host key:
ROUTER TELDAT – Configuración Protocolo SSH
II - 17
Doc.DM787
Rev.10.80
-----BEGIN DSA PRIVATE KEY----Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,82AECC6A19793195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-----END DSA PRIVATE KEY----SSH Config>
Se describe cada parte del resultado presentado con cada subcomando posible de LIST.
b) LIST HOST-KEY
Presenta en la consola las claves propias del equipo. Se dispone a su vez de las siguientes opciones:
Comando
Función
ALL
DSA
RSA
RSA1
Lista todas las host-keys presentes en el equipo.
Host-key de tipo DSA (para versión 2).
Host-key de tipo RSA (para versión 2).
Host-key de tipo RSA1 (para versión 1).
En este subcomando queda más patente la diferencia entre configuración estática y dinámica. En la
primera, se muestra la host-key completa únicamente, que es lo que se guarda en configuración. En la
segunda, además de la host-key, se presenta la clave pública con su fingerprint, que se extrae de dicha
host-key. Sólo se realiza para la configuración dinámica, a partir de las claves cargadas por el servidor
SSH. Dado que los comandos de configuración de host-keys son estáticos, las claves no se pueden
modificar ni borrar en configuración dinámica; por tanto, con este listado se presenta la clave pública
de la host-key que identifica al equipo en el momento actual.
• LIST HOST-KEY ALL
Muestra toda la configuración de las claves del equipo. En el caso de que una de ellas no esté presente,
se indica que no la ha encontrado. El resultado de este comando es similar a ejecutar seguidamente los
comandos LIST HOST-KEY RSA1, LIST HOST-KEY RSA y LIST HOST-KEY DSA. En este
ejemplo, se ejecuta el comando en configuración dinámica (distinguible porque el prompt acaba en
“$”).
Sintaxis:
SSH config$list host-key all
Ejemplo:
SSH Config$list host-key all
SSH Host keys:
RSA1 (only for SSHv1)
Host key:
ROUTER TELDAT – Configuración Protocolo SSH
II - 18
Doc.DM787
Rev.10.80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 key:
1024 35 16057888365265681865728790368262211474338653261286008675
3628160808512552132051029598278952540746252528629815617734902917
8821544308825001420149285869943190521116608433238376868953453749
7051077146768055525370142830251653520888464591301926980173404970
0790695642285984523750486329852429527057770945907085394177099
Key fingerprint:
a2:94:6a:b9:39:d5:75:73:5a:f4:d8:cd:35:3c:3e:08
RSA (only for SSHv2)
Host key:
Host key not found
Public key not found
DSA (only for SSHv2)
Host key:
-----BEGIN DSA PRIVATE KEY----Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,82AECC6A19793195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-----END DSA PRIVATE KEY----Public key:
ssh-dss AAAAB3NzaC1kc3MAAACBAMBl0OdknSG228cLtQ+6z/BwizJo2ijElXRI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Key fingerprint:
97:53:9d:25:21:8b:76:49:09:5d:e9:6c:4c:f6:8e:56
SSH Config$
En este ejemplo, el equipo no dispone de clave RSA, por lo que indica que no se ha encontrado. Es
más relevante notar la estructura de la información mostrada. Para cada tipo de clave, se indica en
primer lugar el título “Host key:”. La host-key propiamente dicha es el contenido mostrado en las
líneas siguientes hasta llegar a “Public key:” (para el caso de configuración dinámica), sin considerar
las líneas en blanco inicial y final.
ROUTER TELDAT – Configuración Protocolo SSH
II - 19
Doc.DM787
Rev.10.80
• LIST HOST-KEY DSA
Este comando describe la clave DSA, si es que existe. En este ejemplo se ha ejecutado el comando en
configuración estática. En configuración dinámica, se muestra además la clave pública y el fingerprint,
como se observa en el ejemplo de LIST HOST-KEY ALL.
Sintaxis:
SSH config>list host-key dsa
Ejemplo:
SSH Config>list host-key dsa
DSA (only for SSHv2)
Host key:
-----BEGIN DSA PRIVATE KEY----Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,82AECC6A19793195
hU6tMIxW/GDAuugsnC++ROI3NDZcGNIlJFaoXhrhYuWHINXSXwihfKT0UgBtG7F2
FutmdkEYAytkog5MLDK0+DCEmWs/9M/UkRmcYlYkJachv+UWvgDpMvfbVk50zRo/
X3Oq6TAuT4voArLcb71GOtqHQKEeGi1lhUy3UffkN0WJYbqoImFzMa8cQTVaDDvH
4DwnHSOlLWUIy/dCJOJiz0FuGNVqmp0Y5mZthcG7LdFWoHoQrlsa3+El0191/zAM
Yq3yMkvUkp4KrxDkOA5jvHJGu/futCXq2dvGatQog1041DAqVZKiRT8RHVr8xK0m
oSglm3KpW13rxpwfCAFbgHJMXPX447zr/tXOKS9P0Srl/YW0msbwRdw1uRnHKbWH
bO6XtfJld98Z2QdUcxrMdc9dvxtDqAF9q84TjxqofrX+ZB/q83iYtcBR55IFh3eh
NrBZgivEw5ZOJxIhZ0stBafsxn8hBloDdReVzxbyODfChLUKKtID8njuV1AH/O1j
3rWrer7nZnaquvRDGvYw+UBGrZL6X/0el0lbMjjJvHegqg1KLRT/Vj3lNqiPWnMz
gRBMIws4n1IkH138mm83YrKEOq3Agaa4
-----END DSA PRIVATE KEY----SSH Config>
La host-key tiene el formato PEM de OpenSSL, lo que obliga a que siga ciertas pautas. Debe estar
delimitado por las líneas (cabecera y pie):
-----BEGIN DSA PRIVATE KEY-----
y
-----END DSA PRIVATE KEY-----
Para añadir confidencialidad a la host-key, está cifrada. Esto fuerza también a la presencia de las
primeras líneas:
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC, ...
A continuación debe haber una línea en blanco, y después el contenido de la clave propiamente, que
está codificado en Base 64, además de estar cifrado con el algoritmo DES-EDE3-CBC.
Si se desea replicar la host-key en otra configuración, debe copiarse toda la clave, incluyendo los
delimitadores (cabecera y pie), y pegarla en la configuración de destino usando el comando HOSTKEY DSA INSERT. La presencia de espacios en blanco al inicio de la línea no supone inconveniente,
pero debe prestarse atención a no incluir tabulaciones.
• LIST HOST-KEY RSA
Este comando describe la clave RSA, si es que existe. En este ejemplo se ha ejecutado el comando en
configuración dinámica. En configuración estática, no se muestran ni la clave pública ni el fingerprint.
ROUTER TELDAT – Configuración Protocolo SSH
II - 20
Doc.DM787
Rev.10.80
Sintaxis:
SSH config$list host-key rsa
Ejemplo:
SSH Config$list host-key rsa
RSA (only for SSHv2)
Host key:
-----BEGIN RSA PRIVATE KEY----Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC,6A1846834A4DA3FC
++QKlzwaKAL8u9G/eYkutMjQPpBIZoV5eQMxNfFzWRlE47T1myBRqFrCFvDXiI4G
1ZMrmvbua0S1GUBZCcGkNpJHk0jP7/AYNMIW1XCHnKPafZ2DkquAZ5BU/IhY4ztz
/GZLyVB+AULhG1rQil9P82cqqGp5Cv4VkZdwRJHnLLslij5B5ToCO/ap6krtsCUH
rEXfRXf3kXkBvwsNnAve7DMU3EXWzq3TS//u4NRPeVNEVAHp6zooPZhp8LzHPpxh
E2ki/h6yBW0+P8/Rzg1jWV8oreaDJfFzPvzhrOdWN4aNJSXZbSXL1hwYdWgouJ+u
doaCX1YZzrLLdGcasY3kmSC3N9OwalFnc4i2xyN+lgM/HbYmoljJPJfMV0RCK5S0
KljWhlk4oiRLcmEzIM4+1UjCPP1VWTanxCMmkCMfgmtjun+Dcfq3JGz34xN3GNap
e2voWH3vwG196yXmOlHLF0/WsJgQuFkBu1/rrDx65ztNsKumoAAbCEAz5fkHf1T1
2UlZu347I+A4FDUw7/VOluJu9Ey1ffBfQPvc+7Y0IDvxVTkiAHk5ChtUjoWMFCsz
iU3I794EJ/YgFoldkg1DT+07pmQTvzTldv078hXKzkWa8JKc+GbE7u08bHVWYV/E
7P8wrwP4tXjH22zRyycS7uRvsX3859A29KwQxFU1fX264SjmLBwdFY6GaLURBIvV
OLUxdjnFaDtcsTFjbvxT6/FgWk2dDVrxJJOl+bfxGLgNpFQk16SYJsQwM7LtFQsW
7LkXuuZIwOmTxI1mX7jdGW4VTp7sm8anmRCGCNpEz7n7yyNHKf9KR0rsWZw5sfiN
I8opvHfl6ZFpBBweLLtByl5og0WWrbjPcNMNRYPCnKLCP1F9ph+271Mf3PBXMTaj
RshZboZLKJqfOE/LYSJjjC3IgHngC4goSd0+4PT0nlCmAW89lrmMKmuUAG2utELy
40IMg8VYAWjZ+sdz+XDgLOKOqud2L7RnsMED67V7ZgrFTWF8AsLwMNmcouLzHNE3
d5DUD7c9MVSISYQvM+XaXo2BE9TzeT7T4xvD03fiQxrv9ncrkwUHutwEENbjOmLL
3fW8bZeNTBudy4j/cJKtLuqHtbrNJNasTcgEicR5G80+Vdjoy7qpd6+zYn5zlSZt
fxDoIC3AFX+4BG+iS782dx1moA6IZJjnrn4BxPjPu+iP/Db0XTvn5Q41Z8LRx6Dq
XtEFG6i3NTLy84VDKL4V+3wpazrV+tSrLd9KNypfDGJHcBF8gSeJnoq0qP9RaH9U
b14qVHCfOP/CMOJeBxMPvz6WHZklpXpaHhCudkHnbABrBYGZ1L1QaPL4hdVtin0b
T/l+nPV2HIeYm7nWaZJHp5wtQ8x6hwaW9++AQCpVsWoufbfamipAwfJpet3kkBUI
x0Ms5Dg9jzFluR/U2YoQuK2KnXsjmKtmt3f2UuvWrzNSWOAJlGn/H9n1A9UNmjcy
+P+ZYO/TirddJockBb/Yy0xDb9nk9zTn5Fyl98H7/UPRPwF2wXgjGHsCR06Y81UV
0Pu0n5lA8d31UXNW00hmC/o9I5xOkn9yz2RBIZ6tH1g0VaDUx2+ZdQ==
-----END RSA PRIVATE KEY----Public key:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA0ayDS70qND+k4ZtyFs8LifniAHFR
InD/Ygii0CoSj8YCXdr2e8ahEFmt0fvc9N53+blBDPGdo7cVBrC1BmY4ocWH+ZRp
dpsTjD4mQ33ARJcvypyQq1ipfwXsp2E1QeQD6CiNAoZAl2qAlvBxBkbIt6UZBfVe
Vo0LzbXCDzzLOvCXSwxxiLf2ktwFsY9XBak9jYJcDs8nEwwhwDNnfhn8tJ8ZnNjv
mmSfjykdqbCSiUUImY4xjBSsgIZbuPeBLnjGQTcxhZiZ58ASw+799FScBwcjVxjZ
Ae6iZlbQmycElpun0DEjEDsdcqJgfypq0XgDaUsOnBjF+axgTN5AlTouvQ==
Key fingerprint:
23:08:e1:2a:ad:fe:37:3e:8f:a0:67:ed:00:f2:3c:24
SSH Config$
La host-key tiene el formato PEM de OpenSSL, al igual que la clave DSA, por lo que se imponen las
mismas pautas con un cambio en los delimitadores (cabecera y pie):
-----BEGIN RSA PRIVATE KEY-----
y
-----END RSA PRIVATE KEY-----
Para añadir confidencialidad a la host-key, está cifrada. Esto fuerza también a la presencia de las
primeras líneas:
ROUTER TELDAT – Configuración Protocolo SSH
II - 21
Doc.DM787
Rev.10.80
Proc-Type: 4,ENCRYPTED
DEK-Info: DES-EDE3-CBC, ...
A continuación debe haber una línea en blanco, y después el contenido de la clave propiamente, que
está codificado en Base 64, además de estar cifrado con el algoritmo DES-EDE3-CBC.
Si se desea replicar la host-key en otra configuración, debe copiarse toda la clave, incluyendo los
delimitadores (cabecera y pie), y pegarla en la configuración de destino usando el comando HOSTKEY RSA INSERT. La presencia de espacios en blanco al inicio de la línea no supone inconveniente,
pero debe prestarse atención a no incluir tabulaciones.
• LIST HOST-KEY RSA1
Este comando describe la clave RSA1, si es que existe. En este ejemplo se ha ejecutado el comando en
configuración estática. En dinámica, se listan además su clave pública y el fingerprint.
Sintaxis:
SSH config>list host-key rsa1
Ejemplo:
SSH Config>list host-key rsa1
RSA1 (only for SSHv1)
Host key:
U1NIIFBSSVZBVEUgS0VZIEZJTEUgRk9STUFUIDEuMQoAAwAAAAAAAAQABADkrAMA
VHLs6btQpuo/JU3e0t4ZGqaxdeUmNk23hKFzfXGYVOMeA1qvSBvHlnvTHKg7oIah
Of6zkTofLnUW3i+okfnAqK2XRJ98woh/enW8Fj6DKk9Pd4Ek1KnuKn8BWPEOU+dJ
7caGmgbfQj1t2crgcqiAYdjGN6LsToT9ytnsSwAGIwAAAA11bmtub3duX3VzZXJA
h18uq51TTPQG+P9u7O/fU69F2EGdS5k28PW5wPExDPyiHWGz+D1Z/uHV51XBT+3K
CMjnrWPRaiXvnDwAJ1B+isEtUuke1kykQZ6pSTppivQj6oynNPxGSQPcCJqaxLy4
0/9g+tRZW0Kfz+/ELXtuzXl7cc1VZi9uVgFdjCqi+qRbUxmcS/QpgpbJTph895MZ
zxVNGSOoR6iA32tyNcJlanpRauN7xAipbrNEQflVZu+H0k67EUb3T1JQ+jJmrZC+
nsB0iBOgXo6s2KM+TdYxU+NQwa7DH0Ag6UJczAvbj+KhofTGIOskztC8Z+k4aVuz
8YvMprTjkoJ+dcjAatCttyGZDMeM9xdYbNQyHAsyXLCvRojB7laS1yG6lZKyUgC1
E3rm52XicGkN5+Yl4pWUZcKdeEUO7GOVn/erkXAcnNaEYUGyKkxLc2Su8Hdhn7tT
SSH Config>
La host-key ya no tiene el formato PEM de OpenSSL, sino que sigue el formato empleado para RSA1
en muchas implementaciones: OpenSSH, ssh.com, Putty, etc. Propiamente, la host-key, que incluye las
partes pública y privada, se almacena en código binario, pero para facilitar su manejo por consola, se
presenta en Base 64, sin cabeceras ni otros campos.
En cuanto al contenido codificado en Base 64, se incluye en primer lugar el texto:
“SSH PRIVATE KEY FILE FORMAT 1.1\n”
Seguidamente se encuentra información del cifrado, los campos de la clave pública y, por último, los
parámetros propios de la clave privada, cifrados con el algoritmo indicado al principio.
Si se desea replicar la host-key en otra configuración, debe copiarse todo el texto en Base 64, y pegarlo
en la configuración de destino usando el comando HOST-KEY RSA1 INSERT. La presencia de
espacios en blanco al inicio de la línea no supone inconveniente, pero debe prestarse atención a no
incluir tabulaciones. La longitud de cada línea insertada no debe sobrepasar los 190 caracteres; si es
necesario, ha de dividirse en líneas de menor longitud. Se considera que la clave introducida está
completa cuando se inserta una línea vacía.
ROUTER TELDAT – Configuración Protocolo SSH
II - 22
Doc.DM787
Rev.10.80
c) LIST SERVER
Este comando, seguido de las posibles opciones, lista los valores de los diversos parámetros de
configuración posibles del servidor SSH. La funcionalidad de este comando se encuentra duplicada en
el comando LIST presente en el menú de configuración del servidor (SSHS>), con la única diferencia
de que en el menú principal en el que nos encontramos se debe incluir el término “SERVER”.
Sintaxis:
SSH config>list server <opciones>
El uso y opciones de este comando se explican en el apartado de configuración del servidor SSH, al
describir el comando LIST.
2.4. NO
El comando estático NO borra de la configuración un parámetro o restablece su valor por defecto. El
subcomando disponible es:
Comando
Función
HOST-KEY
Borra una de las host-keys presentes en el equipo.
a) NO HOST-KEY
Elimina de la configuración la host-key seleccionada como opción. En caso de no existir, no realiza
ninguna acción. Las posibles opciones para definir el comando completo:
Comando
Función
DSA
RSA
RSA1
Elimina la host-key de tipo DSA (para versión 2).
Elimina la host-key de tipo RSA (para versión 2).
Elimina la host-key de tipo RSA1 (para versión 1).
Antes de usar este comando, debe observarse que la host-key es eliminada completamente de la
configuración; dicho cambio se convierte en definitivo si se guardan los cambios ejecutando SAVE en
el menú principal de configuración del equipo. Si posteriormente desea emplearse de nuevo la misma
clave y no una nueva, sólo es posible si el usuario la ha salvado en un archivo de configuración
anterior o copiando el texto presentado al ejecutar LIST HOST-KEY [TIPO].
Se advierte también que, en el caso de no generar intencionadamente ninguna clave nueva, y si el
servidor SSH se encuentra habilitado, la próxima vez que el equipo se inicie, el servidor busca entre
las host-keys de la configuración. Si no encuentra alguna de las claves que necesita porque ha sido
eliminada o porque ha aumentado la compatibilidad, la genera automáticamente, dando lugar a un
retardo en el tiempo de arranque del servidor; además, el equipo se identifica frente a los clientes con
la nueva clave que, si no se guarda desde la configuración dinámica, se pierde en la siguiente vez que
el equipo se reinicie.
ROUTER TELDAT – Configuración Protocolo SSH
II - 23
Doc.DM787
Rev.10.80
• NO HOST-KEY DSA
Elimina la host-key de tipo DSA, utilizable para SSHv2.
Sintaxis:
SSH config>no host-key dsa
Ejemplo:
SSH Config>no host-key dsa
SSH Config>
• NO HOST-KEY RSA
Elimina la host-key de tipo RSA, utilizable para SSHv2.
Sintaxis:
SSH config>no host-key rsa
Ejemplo:
SSH Config>no host-key rsa
SSH Config>
• NO HOST-KEY RSA1
Elimina la host-key de tipo RSA1, utilizable para SSHv1.
Sintaxis:
SSH config>no host-key rsa1
Ejemplo:
SSH Config>no host-key rsa1
SSH Config>
2.5. SERVER
Mediante este comando se entra en un nuevo menú de configuración, el del servidor SSH. Se describe
en un nuevo apartado (Menú del Servidor SSH).
Sintaxis:
SSH config>server
Ejemplo:
SSH Config>server
-- SSH Server -SSHS>?
accounting
auth-time
authentication
authorization
ciphers
client-alive
compression
enable
ephemeral-key
keep-alive
Set AAA accounting options
Maximum interval to complete authentication
Available client authentication methods
Set AAA authorization options
Allowed ciphers (v2)
Client-alive messages (v2)
Packet payload compression
Enable SSH server
Ephemeral server key (v1)
Send TCP Keep-alive messages
ROUTER TELDAT – Configuración Protocolo SSH
II - 24
Doc.DM787
Rev.10.80
list
login
macs
max-auth-tries
max-connections
no
port
version
exit
SSHS>
Server configuration
Set AAA login options
Allowed Message Authentication Codes (v2)
Maximum number of authentication attemps
Maximum number of SSH connections
Negate a command or set its defaults
Listening port
Version compatibility
En el prompt ahora aparece el texto “SSHS”, abreviatura de “Secure Shell Server”.
2.6. EXIT
Use el comando EXIT para volver al prompt de configuración.
Sintaxis:
SSH Config>exit
Ejemplo:
SSH Config>exit
Config>
ROUTER TELDAT – Configuración Protocolo SSH
II - 25
Doc.DM787
Rev.10.80
3. Menú del servidor SSH
El objetivo de este nuevo apartado es describir los comandos para configurar el servidor SSH, que son:
Comando
Función
ACCOUNTING
AUTH-TIME
AUTHENTICATION
AUTHORIZATION
CIPHERS
CLIENT-ALIVE
COMPRESSION
ENABLE
EPHEMERAL-KEY
KEEP-ALIVE
LIST
LOGIN
MACS
MAX-AUTH-TRIES
MAX-CONNECTIONS
NO
PORT
VERSION
EXIT
Configura las opciones de contabilización por AAA.
Tiempo máximo permitido para completar la autenticación de un cliente.
Métodos posibles para la autenticación del cliente.
Configura las opciones de autorización por AAA.
Algoritmos de cifrado permitidos (SSHv2).
Mensajes para comprobar que la conexión sigue operativa (SSHv2).
Compresión de los datos en paquetes SSH.
Activación del servidor SSH.
Clave efímera del servidor (SSHv1).
Envío de paquetes de Keep-alive de TCP.
Listado de la configuración del servidor.
Configura las opciones de autenticación por AAA.
Algoritmos de autenticación del mensaje (SSHv2).
Máximo número de intentos de autenticación de cliente permitidos.
Máximo número de conexiones simultáneas SSH permitidas.
Restablece el valor por defecto de un parámetro.
Número de puerto TCP en el que escucha el servidor SSH.
Compatibilidad con versiones SSHv1 y SSHv2.
Vuelve al prompt SSH Config>.
3.1. ACCOUNTING
Este comando asocia una lista de métodos de tipo accounting exec o commands que ha sido definida
utilizando la facilidad AAA. De esta forma el servicio SSH aplica los métodos de la lista accounting
exec cuando registra un acceso a la Shell, y los métodos de accounting commands cuando se registra
un comando ejecutado. Cuenta con las siguientes opciones:
Comando
Función
COMMANDS
EXEC
Asocia una lista de métodos de tipo accounting commands.
Asocia una lista de métodos de tipo accounting exec.
Las listas de métodos sólo pueden ser aplicadas si se encuentra la facilidad AAA habilitada. Por ello,
una vez finalizada la configuración de AAA se debe habilitar para poder aplicar las listas a los
distintos servicios. La información sobre como configurar la facilidad AAA se puede encontrar en el
manual “Dm800 Facilidad AAA”.
ROUTER TELDAT – Configuración Protocolo SSH
II - 26
Doc.DM787
Rev.10.80
a) ACCOUNTING COMMANDS
Asocia una lista de métodos de tipo accounting commands.
Sintaxis:
SSHS config>accounting commands <level> <listname>
<level>:
Nivel de acceso de los de comandos que se desean
contabilizar.
Identificador de la lista de métodos de contabilización.
<listname>:
Ejemplo:
SSHS config>accounting commands 5 AccCmds
SSHS config>
En el ejemplo se configura la lista de métodos AccCmds para que sea usada cuando se realiza la
contabilización de un comando de nivel 5 ejecutado desde SSH.
b) ACCOUNTING EXEC
Sintaxis:
SSHS config>accounting exec <listname>
<listname>:
Identificador de la lista de métodos de contabilización.
Ejemplo:
SSHS config>accounting exec AccExec
SSHS config>
En el ejemplo se configura la lista de métodos AccExec para que sea usada cuando se realiza la
contabilización de un acceso a la Shell de SSH.
3.2. AUTH-TIME
Use este comando para establecer el máximo tiempo permitido para que los clientes SSH se
autentiquen correctamente frente al servidor. El tiempo comienza a contar desde el inicio del proceso,
una vez establecida la conexión TCP/IP. Si se sobrepasa el intervalo máximo fijado sin que el usuario
haya podido autenticarse, el servidor inicia el proceso de desconexión. Por defecto, este tiempo es de 2
minutos.
Sintaxis:
SSHS>auth-time <intervalo>
Ejemplo:
SSHS>auth-time 8m30s
SSHS>
3.3. AUTHENTICATION
Este comando, que para ejecutarse necesita ir seguido de una opción, configura los métodos de
autenticación disponibles para el cliente. Los métodos implementados son: password, RSA (clave
ROUTER TELDAT – Configuración Protocolo SSH
II - 27
Doc.DM787
Rev.10.80
pública para SSHv1) y Public-key (clave pública para SSHv2). Las opciones de este comando son, por
tanto:
Comando
Función
PASSWORD
PUBLIC-KEY
RSA
Autenticación por contraseña (SSHv1 y SSHv2).
Autenticación mediante clave pública RSA o DSA (SSHv2).
Autenticación mediante clave pública RSA1 (SSHv1).
Es necesaria la existencia de usuarios configurados en el equipo para que se pueda llevar a cabo una
autenticación por parte del cliente. El equipo debe conocer al usuario que desea conectarse,
asociándole cierto nivel de privilegio. En el caso de no existir usuarios configurados en el equipo,
deben añadirse usando el comando USER del menú raíz de configuración del equipo.
Las únicas dos excepciones a lo anterior son:
•
Que la autenticación se haga por contraseña y dejar que la facilidad AAA la gestione.
•
Que la autenticación se haga por contraseña y se emplee un servidor RADIUS, externo a la
funcionalidad AAA, que tenga los usuarios configurados.
En esos casos particulares, no es necesario que haya ningún usuario en el equipo, aunque si en el
segundo caso se pierde la conexión con el servidor RADIUS, el equipo puede quedar inaccesible por
SSH.
a) AUTHENTICATION PASSWORD
Habilita la autenticación del cliente por contraseña. Por defecto se encuentra operativa.
Sintaxis:
SSHS>authentication password
Ejemplo:
SSHS>authentication password
SSHS>
Para desactivarla, use el comando NO AUTHENTICATION PASSWORD.
b) AUTHENTICATION PUBLIC-KEY
Se accede a un submenú para la configuración de la autenticación de cliente por clave pública, para
SSHv2. El motivo de crear un nuevo submenú, al igual que ocurre con AUTHENTICATION RSA
(SSHv1), es la necesidad de introducir en la configuración las claves públicas de los clientes. Este
comando es dinámico, de forma que esta característica puede configurarse mientras el servidor está
ejecutándose.
Sintaxis:
SSHS>authentication public-key
Ejemplo:
SSHS>authentication public-key
-- Public-Key configuration in SSH server -SSHS PK>?
enable
Enable this authentication method
ROUTER TELDAT – Configuración Protocolo SSH
II - 28
Doc.DM787
Rev.10.80
key
no
exit
SSHS PK>
New client key
Negate a command or set its defaults
Se puede observar que el prompt ha cambiado a “SSHS PK>”. Dentro de este submenú se encuentran
los siguientes comandos:
Comando
Función
ENABLE
KEY
NO
EXIT
Habilita el mecanismo de autenticación por clave pública (SSHv2).
Permite configurar la clave pública de un cliente.
Elimina un parámetro o restablece su valor por defecto.
Vuelve al prompt SSHS>.
• ENABLE
Habilita la autenticación por clave pública, que por defecto está habilitada.
Sintaxis:
SSHS PK>enable
Ejemplo:
SSHS PK>enable
SSHS PK>
Para deshabilitar este método, use NO ENABLE en este mismo submenú.
• KEY [NOMBRE]
Accede a un nuevo submenú para crear una clave pública con el nombre pasado como parámetro; en el
caso de que ya exista, en dicho submenú se permite su modificación. El nombre debe constar de, como
mucho, 10 caracteres.
Sintaxis:
SSHS PK>key <nombre>
Ejemplo:
SSHS PK>key pubkey1
SSHS KEY pubkey1>?
add
Add line of data of the key
end
Last line of data of the key
insert
Paste client public key
no
Negate a command or set its defaults
user
Associate user with this key
exit
SSHS KEY pubkey1>
En el propio prompt, se indica el nombre de la clave. Los comandos disponibles en el submenú de la
clave:
Comando
Función
ADD
Añade una línea, que no es la última, de la clave pública.
ROUTER TELDAT – Configuración Protocolo SSH
II - 29
Doc.DM787
Rev.10.80
END
Añade la última línea de la clave pública.
INSERT
Permite introducir una clave pública mediante pegado.
NO
Elimina un parámetro o restablece su valor por defecto.
USER
Permite que un usuario pueda hacer uso de esta clave pública.
EXIT
Vuelve al prompt SSHS PK>.
La finalidad de estos comandos es añadir una clave pública, que memoriza con el nombre del
submenú. Para eliminar una clave, debe usarse NO KEY [NOMBRE], del menú SSHS PK>.
ADD [LINEA]
Añade una línea (la primera o intermedia) de una clave pública. Para el usuario, se recomienda el uso
del comando INSERT, que hace comprobaciones de la clave pública y que, a su vez, emplea
internamente el comando ADD para almacenar la clave en configuración.
END [LINEA]
Añade la última línea de una clave pública. Para el usuario, se recomienda el uso del comando
INSERT, que hace comprobaciones de la clave pública y que, a su vez, emplea internamente el
comando END para almacenar la clave en configuración.
INSERT
Permite el pegado de una clave pública de un cliente. Éste, que ya ha generado la clave de tipo RSA o
DSA que desea emplear en su autenticación, debe configurar el servidor para que considere como
válida la parte pública de la clave generada. No es necesario indicar el tipo de la clave, ya que dicha
información va implícita. El comando permite insertar la clave troceada en líneas de menos de 190
caracteres si está en formato OpenSSH, o pegando directamente el contenido del archivo con la clave
pública si el formato es el descrito en la RFC4716.
Sintaxis:
SSHS KEY <nombre>>insert
Ejemplo 1:
SSHS KEY pubkey1>insert
Enter the public key (type + base64)
<cr> to escape
ssh-dss AAAAB3NzaC1kc3MAAACAdQpx45QBksY+YdceMCv1a7OYFT/nKkFghAcEE3fGbz4vPJjXpSOI
kgTARylPx+uEkmokN9nvRY0CT53r/+QlfxIBW1Z8Nu1TvI8qm0Ea0OYyDI6oEhMZhWFWKHHQmUQy1oCl
3ndqgMT4rr3fEl2hbZeujJzrNVY4EQsfSF9KhV8AAAAVAI3hGhP6mxl/FEE7Xva+JfraCwHPAAAAgGMN
blPcZeM5Dgbj1Vj/VEhpvAyvCW5E30X8jMl8YvSr7w/qaJoGAIEkgHb8efKTuUBt9nzot+QhLAiTwEe3
Nf4GxeH9ifHLRrYTh/jPKTpYucK66OcU4X/9JJzcyUl+eqQDgDWhEPHviUb3EPQTuP19nOA65TBFj3ZB
xv+tsftTAAAAgGtEZEcLQmDxsnM5pjelVtdnu7N/MHBTQTw8I+Pm+BKEOjCiBMFKB/4l5+TL1T1ocP0Q
CIttx15A9QRCkab4VEJ8pNIPnrkkNvyuk2BLgnNijwBpdVNfWEi7JSZrzadIJjlXGOcueztvggqF9CR0
f9WveLE2VMiLq7Jf2cp79yt9 dsa-key-20080128
SSHS KEY pubkey1>
Se explican brevemente los dos posibles formatos. El primero es el que se pide al usuario al indicar
Enter the public key (type + base64)
Es sencillo y familiar para los usuarios de OpenSSH. Está formado por una única línea, que comienza
con el string “ssh-dss” si la clave es DSA, o con “ssh-rsa” si es RSA. A continuación, tras un espacio
en blanco, se encuentra toda la clave pública, codificada en Base 64. Por último, y de forma opcional,
hay un comentario sólo utilizado para facilitar al usuario la identificación de la clave pública. A nivel
interno no se emplea, ni tampoco se requiere en caso de omitirse. Habitualmente, la longitud total de la
línea sobrepasa los 190 caracteres estipulados como máximo, por lo que debe insertarse fragmentada
en líneas más cortas, como se muestra en el Ejemplo 1.
ROUTER TELDAT – Configuración Protocolo SSH
II - 30
Doc.DM787
Rev.10.80
Ejemplo 2:
SSHS KEY pubkey2>insert
Enter the public key (type + base64)
<cr> to escape
---- BEGIN SSH2 PUBLIC KEY ---Comment: "rsa-key-20080128"
AAAAB3NzaC1yc2EAAAABJQAAAQEAn+U+8tigcZ7FkWlRjEjPW5nMqlH2LMA9SJqJ
xE1+UVzCrb0VGYmCQkn5fC6ZoRldB2kIPUNjNxss3KU2rRZLPx+k9Jlf9lyz2+LT
8oMVKHzN0G7Nh+ZKakJu8HFweb83VnngW08gf27hy5Cn/lO1dy9t9Ib4dAlWhvf2
n0ozMCach5xRkaDrq8mj1tuGE+OOGEVu8SZIY4NXUw0buJ3BfiMPMaWnCH7Wbhuw
tfyqYvY7X9yq5grOf9qTfKXjQ8iZJPdXSNw1e9FdD1ueLjLZx72a5Pz7UcHJMUwy
DmAxGa6jZJYNtiAJobnIV3HLo+T2r3V5sR5L9qMTR3VN4RNSnw==
---- END SSH2 PUBLIC KEY ---SSHS KEY pubkey2>
El segundo formato permitido es el indicado en la RFC4716. Su contenido viene delimitado por las
líneas:
---- BEGIN SSH2 PUBLIC KEY ----
y
---- END SSH2 PUBLIC KEY ----
No hay distinción en los delimitadores para RSA / DSA. Entre ambas líneas se encuentra la clave,
codificada en Base 64; opcionalmente, puede venir precedida de un comentario indicado por el texto
“Comment:”, que se ignora. Aunque una clave pública se introdujera con este formato, se traduce al
primero para su guardado en la configuración. En este caso, el archivo de origen ya tiene delimitada la
longitud de cada línea, por lo que no es necesaria su fragmentación.
NO USER [USUARIO]
Permite eliminar usuarios de entre aquéllos ya asociados a la clave actual.
Sintaxis:
SSHS KEY <nombre>>no user <usuario>
USER [USUARIO]
Asocia un usuario a la clave pública actual. Si no hay ningún usuario asociado, un cliente en poder de
la clave privada correspondiente puede autenticarse como cualquier usuario válido del equipo. En
cambio, gracias a este comando, el uso de esta clave para la autenticación se puede restringir a los
usuarios que se desee. Habitualmente, se asocia un único usuario a una clave.
Sintaxis:
SSHS KEY <nombre>>user <usuario>
Ejemplo 1:
SSHS KEY pubkey1>user admin
SSHS KEY pubkey1>
EXIT
Retorna al menú de configuración de las claves públicas para SSHv2.
• NO
Restablece el valor por defecto de un parámetro o elimina un elemento de la configuración. En este
submenú, hay dos opciones posibles:
ROUTER TELDAT – Configuración Protocolo SSH
II - 31
Doc.DM787
Rev.10.80
Comando
Función
ENABLE
KEY
No permite la autenticación mediante clave pública (SSHv2).
Elimina la clave pública que se indique mediante su nombre.
NO ENABLE
Deshabilita el método de autenticación de SSHv2 de clave pública, que por defecto se encuentra
habilitado.
Sintaxis:
SSHS PK>no enable
Ejemplo:
SSHS PK> no enable
SSHS PK>
Si se desea volver a habilitar este mecanismo, emplee el comando ENABLE de este submenú.
NO KEY [NOMBRE]
Borra de la configuración la clave pública identificada por el nombre que se indica. Si no se encuentra
ninguna clave con dicho nombre, no realiza nada.
Sintaxis:
SSHS PK>no key <nombre>
Ejemplo:
SSHS PK>no key pubkey1
SSHS PK>
• EXIT
Retorna al menú de configuración del servidor SSH.
Sintaxis:
SSHS PK>exit
Ejemplo:
SSHS PK>exit
SSHS>
c) AUTHENTICATION RSA
Se accede a un submenú para la configuración de la autenticación de cliente por clave pública, para
SSHv1, denominado método RSA en dicha versión del protocolo. Se configura en un nuevo submenú
para introducir en la configuración las claves públicas RSA1 de los clientes. Este comando es
dinámico, de forma que esta característica puede configurarse mientras el servidor está ejecutándose.
Sintaxis:
SSHS>authentication rsa
Ejemplo:
SSHS>authentication rsa
-- RSA configuration in SSH server --
ROUTER TELDAT – Configuración Protocolo SSH
II - 32
Doc.DM787
Rev.10.80
SSHS RSA>?
enable
key
no
exit
SSHS RSA>
Enable this authentication method
New client key
Negate a command or set its defaults
Se puede observar que el prompt ha cambiado a “SSHS RSA>”. Dentro de este submenú se
encuentran los siguientes comandos:
Comando
Función
ENABLE
KEY
NO
EXIT
Habilita el mecanismo de autenticación por RSA (SSHv1).
Permite configurar la clave pública RSA1 de un cliente.
Elimina un parámetro o restablece su valor por defecto.
Vuelve al prompt SSHS>.
• ENABLE
Habilita la autenticación por RSA, que por defecto está habilitada.
Sintaxis:
SSHS RSA>enable
Ejemplo:
SSHS RSA>enable
SSHS RSA>
Para deshabilitar este método, use NO ENABLE en este mismo submenú.
• KEY [NOMBRE]
Accede a un nuevo submenú para crear una clave pública RSA1 con el nombre pasado como
parámetro; en el caso de que ya exista, en dicho submenú se permite su modificación. El nombre debe
constar de, como mucho, 10 caracteres.
Sintaxis:
SSHS RSA>key <nombre>
Ejemplo:
SSHS RSA>key rsa_k
SSHS KEY rsa_k>?
add
Add line of data of the key
end
Last line of data of the key
insert
Paste client RSA public key
no
Negate a command or set its defaults
user
Associate user with this key
exit
SSHS KEY rsa_k>
En el propio prompt, se indica el nombre de la clave. Los comandos disponibles en el submenú de la
clave:
ROUTER TELDAT – Configuración Protocolo SSH
II - 33
Doc.DM787
Rev.10.80
Comando
Función
ADD
END
INSERT
NO
USER
EXIT
Añade una línea, que no es la última, de la clave pública RSA1.
Añade la última línea de la clave pública RSA1.
Permite introducir una clave pública RSA1 mediante pegado.
Elimina un parámetro o restablece su valor por defecto.
Permite que un usuario pueda hacer uso de esta clave pública RSA1.
Vuelve al prompt SSHS RSA>.
La finalidad de estos comandos es añadir una clave pública RSA1, que memoriza con el nombre del
submenú. Para eliminar una clave, debe usarse NO KEY [NOMBRE], del menú SSHS RSA>.
ADD [LINEA]
Añade una línea (la primera o intermedia) de una clave pública RSA1. Para el usuario, se recomienda
el uso del comando INSERT, que hace comprobaciones en el formato de la clave pública RSA1 y
que, a su vez, emplea internamente el comando ADD para almacenar la clave en configuración.
END [LINEA]
Añade la última línea de una clave pública. Para el usuario, se recomienda el uso del comando
INSERT, que hace comprobaciones de la clave pública y que, a su vez, emplea internamente el
comando END para almacenar la clave en configuración.
INSERT
Permite el pegado de una clave pública de tipo RSA1 de un cliente. Éste, que ya ha generado la clave
que desea emplear en su autenticación, debe configurar el servidor para que considere como válida la
parte pública de la clave generada. A diferencia de la configuración de clave pública para SSHv2
(AUTHENTICATION PUBLIC-KEY), en la que había dos posibles formatos para la clave pública,
el formato de la clave pública de RSA1 es único.
Sintaxis:
SSHS KEY <nombre>>insert
Ejemplo:
SSHS KEY rsa_k>insert
Enter the RSA public key (3 decimal numbers)
<cr> to escape
1023 37 798458743537890626287808985236489077472652668128634929439006436521582579
44058563390058992294511737156396078462633383104234138587153259159643740138784585
04153068211033284042621548285023396301262842759307031340330112910180566122424515
9936059098978755493043272344124688747878076757541173783689165017928211763217
" rsa-key-20080128"
SSHS KEY rsa_k>
El formato que ha de tener la clave pública de tipo RSA1 consta principalmente de tres números en
base decimal, separados por espacios en blanco; corresponden a la longitud del módulo. Al igual que
con las claves públicas de SSHv2, al final de la clave puede haber un comentario, de utilidad
únicamente para el usuario. En el caso de que se introduzca en una nueva línea, debe escribirse entre
ROUTER TELDAT – Configuración Protocolo SSH
II - 34
Doc.DM787
Rev.10.80
comillas dejando un espacio al inicio, como en el ejemplo, para que se reconozca que no forma parte
de la clave.
NO USER [USUARIO]
Permite únicamente eliminar usuarios de entre aquéllos ya asociados a la clave actual.
Sintaxis:
SSHS KEY <nombre>>no user <usuario>
USER [USUARIO]
Asocia un usuario a la clave pública RSA1 actual. Si no hay ningún usuario asociado, un cliente en
poder de la clave privada correspondiente puede autenticarse como cualquier usuario válido del
equipo. En cambio, gracias a este comando, el uso de esta clave para la autenticación se puede
restringir a los usuarios que se desee. Habitualmente, se asocia un único usuario a una clave.
Sintaxis:
SSHS KEY <nombre>>user <usuario>
Ejemplo 1:
SSHS KEY rsa_k>user admin
SSHS KEY rsa_k>
EXIT
Retorna al menú de configuración de las claves públicas RSA para SSHv1.
• NO
Restablece el valor por defecto de un parámetro o elimina un elemento de la configuración. En este
submenú, hay dos opciones posibles:
Comando
Función
ENABLE
KEY
No permite la autenticación mediante clave pública.
Elimina la clave pública que se indique mediante su nombre.
NO ENABLE
Deshabilita el método de autenticación RSA de SSHv1, por clave pública, que por defecto se
encuentra habilitado.
Sintaxis:
SSHS RSA>no enable
Ejemplo:
SSHS RSA> no enable
SSHS RSA>
Si se desea volver a habilitar este mecanismo, emplee el comando ENABLE de este submenú.
ROUTER TELDAT – Configuración Protocolo SSH
II - 35
Doc.DM787
Rev.10.80
NO KEY [NOMBRE]
Borra de la configuración la clave pública RSA1 identificada por el nombre que se indica. Si no se
encuentra ninguna clave con dicho nombre, no realiza nada.
Sintaxis:
SSHS RSA>no key <nombre>
Ejemplo:
SSHS RSA>no key rsa_k
SSHS RSA>
• EXIT
Retorna al menú de configuración del servidor SSH.
Sintaxis:
SSHS RSA>exit
Ejemplo:
SSHS RSA>exit
SSHS>
3.4. AUTHORIZATION
Este comando asocia una lista de métodos de tipo authorization exec o commands que ha sido definida
utilizando la facilidad AAA. De esta forma el servicio SSH aplica los métodos de la lista authorization
exec cuando requiera autorización de la Shell y authorization commands cuando requiera autorización
de un comando. Cuenta con las siguientes opciones:
Comando
Función
COMMANDS
EXEC
Asocia una lista de métodos de tipo authorization commands.
Asocia una lista de métodos de tipo authorization exec.
Las listas de métodos sólo pueden ser aplicadas si se encuentra la facilidad AAA habilitada. Por ello,
una vez finalizada la configuración de AAA se debe habilitar para poder aplicar las listas a los
distintos servicios. La información sobre como configurar la facilidad AAA se puede encontrar en el
manual “Dm800 Facilidad AAA”.
a) AUTHORIZATION EXEC
Asocia una lista de métodos de tipo authorization exec.
Sintaxis:
SSHS config>authorization exec <listname>
<listname>:
Identificador de la lista de métodos de autorización.
Ejemplo:
SSHS config>authorization exec AuthorExec
SSHS config>
ROUTER TELDAT – Configuración Protocolo SSH
II - 36
Doc.DM787
Rev.10.80
En el ejemplo se configura la lista de métodos AuthorExec para que sea usada cuando se requiera
autorización de la Shell de SSH.
b) AUTHORIZATION COMMANDS
Asocia una lista de métodos de tipo authorization commands.
Sintaxis:
SSHS config>authorization commands <level> <listname>
<level>:
Nivel de acceso de los de comandos que requieren
autorización.
Identificador de la lista de métodos de autorización.
<listname>:
Ejemplo:
SSHS config>authorization commands 10 AuthorCmds
SSHS config>
En el ejemplo se configura la lista de métodos AuthorCmds para que sea usada cuando se requiera
autorización de los comandos de nivel 10.
3.5. CIPHERS
Mediante este comando se seleccionan los algoritmos de cifrado permitidos para encriptar la conexión
SSH en la versión SSHv2. Por defecto, se encuentran todos habilitados, de forma que queda a elección
del cliente el uso de uno u otro. Los algoritmos implementados son:
Comando
Función
3DES-CBC
AES128-CBC
AES128-CTR
AES192-CBC
AES192-CTR
AES256-CBC
AES256-CTR
ARCFOUR
ARCFOUR128
ARCFOUR256
BLOWFISH-CBC
CAST128-CBC
Triple DES con cipher-block chaining.
AES con cipher-block chaining y clave de 128 bits.
AES con cifrado con contador y clave de 128 bits.
AES con cipher-block chaining y clave de 192 bits.
AES con cifrado con contador y clave de 192 bits.
AES con cipher-block chaining y clave de 256 bits.
AES con cifrado con contador y clave de 256 bits.
Alleged-RC4.
Alleged-RC4 con clave de 128 bits.
Alleged-RC4 con clave de 256 bits.
Blowfish con cipher-block chaining.
CAST con cipher-block chaining y clave de 128 bits.
Para deshabilitar un algoritmo de cifrado, ejecute NO CIPHERS [NOMBRE].
a) CIPHERS [NOMBRE]
Habilita el algoritmo de cifrado con el nombre indicado.
ROUTER TELDAT – Configuración Protocolo SSH
II - 37
Doc.DM787
Rev.10.80
Sintaxis:
SSHS>ciphers <nombre>
Ejemplo:
SSHS>ciphers aes256-cbc
SSHS>
3.6. CLIENT-ALIVE
En este punto se describe la configuración de la funcionalidad Client-Alive de SSHv2, que realiza la
comprobación periódica de que el cliente SSH sigue activo. Para ello, el servidor envía mensajes de
Client-Alive con una frecuencia determinada en la configuración; cuando, de acuerdo con otro
parámetro, se sobrepase un número de mensajes no respondidos por el cliente, se considera que la
conexión se ha cortado y el servidor cierra la conexión. Los subcomandos a emplear se listan a
continuación.
Comando
Función
INTERVAL
MAX-COUNT
Periodo de tiempo entre dos mensajes Client-Alive consecutivos.
Máximo número de mensajes enviados sin respuesta.
a) CLIENT-ALIVE INTERVAL [TIEMPO]
Establece el intervalo de tiempo a esperar para enviar un mensaje de Client-Alive si no hay tráfico en
la conexión. Si se establece un periodo de 0 segundos, la funcionalidad queda deshabilitada. Por
defecto, tiene un valor de 15 segundos.
Sintaxis:
SSHS>client-alive interval <tiempo>
Ejemplo:
SSHS>client-alive interval 1m30s
SSHS>
b) CLIENT-ALIVE MAX-COUNT [CONTADOR]
Si no se recibe respuesta para el número especificado de mensajes de Client-Alive consecutivos, el
servidor cierra la conexión porque considera que el cliente ya no está conectado. Este parámetro se
inicializa a 3 mensajes por defecto.
Sintaxis:
SSHS>client-alive max-count <contador>
Ejemplo:
SSHS>client-alive max-count 5
SSHS>
ROUTER TELDAT – Configuración Protocolo SSH
II - 38
Doc.DM787
Rev.10.80
3.7. COMPRESSION
Configura los permisos establecidos por el servidor para la negociación y el posterior uso de la
compresión en la conexión SSH. Las opciones de este parámetro, que por defecto es YES, son que no
haya compresión, compresión aplazada, y compresión general (desde el principio):
Comando
Función
YES
NO
DELAYED
Se permiten la compresión y la compresión aplazada.
No se permite ninguna compresión
Se permite la compresión sólo después de la autenticación del cliente (usada
en OpenSSH como [email protected]).
Es frecuente que los clientes SSH no usen ninguna compresión por defecto, aunque en el servidor está
habilitada.
a) COMPRESSION YES
Habilita los métodos de compresión normal y aplazada (a después de la autenticación del cliente). Ésta
es la configuración por defecto.
Sintaxis:
SSHS>compression yes
Ejemplo:
SSHS>compression yes
SSHS>
b) COMPRESSION NO
Deshabilita cualquier forma de compresión de los paquetes de SSH. Aunque el cliente desee establecer
una conexión con compresión, el servidor no se lo permite.
Sintaxis:
SSHS>compression no
Ejemplo:
SSHS>compression no
SSHS>
c) COMPRESSION DELAYED
Sólo se permite el método de compresión aplazada, conocido como [email protected], que consiste
en que el contenido de los paquetes SSH se cifra una vez que el cliente está correctamente autenticado
frente al servidor. Únicamente los clientes que soporten dicho método pueden hacer uso de ella; en
caso contrario, no se usa compresión.
Sintaxis:
SSHS>compression delayed
Ejemplo:
SSHS>compression delayed
SSHS>
ROUTER TELDAT – Configuración Protocolo SSH
II - 39
Doc.DM787
Rev.10.80
3.8. ENABLE
Este parámetro es especialmente importante, dado que habilita globalmente el servidor SSH. El
comando es estático, por lo que el servidor no arranca hasta que el equipo se reinicie de nuevo. Por
defecto, el servidor se encuentra deshabilitado, por lo que es necesario ejecutar este comando para
hacer uso del protocolo.
Sintaxis:
SSHS>enable
Ejemplo:
SSHS>enable
Hostkeys for SSHv1 and SSHv2 not found in config
Generating public/private rsa1 key pair...
Please wait for a few seconds.
Key generation done.
Public key:
1024 35 15685565868756260999715007850262116530368743067586711683
2218478882683304393593354392076905683976501521944254253934902054
6719671617081391152157849392020780407658902426863532682350773354
5527254355183603870202925777149805173824280734879681682602503569
1993500883799434553852193298247418895281943943053504296554551
The key fingerprint is:
c2:c4:54:e2:2e:c6:35:be:b0:be:d4:16:83:4f:3b:9d
Generating public/private rsa key pair...
Please wait for a few seconds.
Key generation done.
Public key:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAyMEOF3crF4aP9HqXXCAljVYqMGLk
2KicRzqxvy+d+CyKo0bwb5T8Wg11ksPntnGku5s0284Ou1uzTyxZMSAqG8fdSgzf
UL8Ow8FfH3GjyrSBoS55gkyKm0jQXJQAQDruEkVP/Bug2L+QynuAELo+B4hYi7Gg
IO5NttdTL6Uck7k=
The key fingerprint is:
49:41:e6:c5:9c:60:73:b2:4c:60:eb:01:29:a4:fc:21
Hostkeys have been generated. Remember to save config!
SSHS>
Se observa que el comando ha desencadenado la generación de las host-keys del equipo. Esto se
produce porque en la configuración no se encontraban las claves necesarias. Mediante el comando
VERSION se establecen las versiones compatibles del servidor (por defecto, SSHv1 y SSHv2). Al
ejecutar este comando, comprueba la versión configurada y las host-keys presentes en el equipo. Si no
encuentra alguna de las necesarias, crea una clave de 1024 bits RSA1 o RSA, según la versión. En el
ejemplo, se notifica que no ha encontrado una clave ni para SSHv1 ni SSHv2, y por tanto, se generan
las dos.
Si desea emplear alguna host-key utilizada anteriormente en otras configuraciones, se recomienda que
haga uso del comando HOST-KEY [TIPO] INSERT antes de ejecutar este comando ENABLE. De
esa forma, en la configuración se hallan las claves necesarias, y el comando actual no desencadena
ningún proceso de generación de claves.
ROUTER TELDAT – Configuración Protocolo SSH
II - 40
Doc.DM787
Rev.10.80
Si desea deshabilitar de nuevo el servidor (su estado por defecto), use el comando NO ENABLE del
menú SSHS>.
3.9. EPHEMERAL-KEY
Este comando configura la clave efímera del servidor, empleada en las conexiones SSHv1. Se crea una
nueva clave con el número de bits configurado cuando el servidor se inicia. Y se llama efímera porque
se vuelve a generar periódicamente según un intervalo establecido, si es que los clientes hacen uso de
ella. Si ningún cliente se conecta, el servidor no utiliza dicha clave y no es necesaria su renovación.
Dos clientes que se conecten al servidor, transcurrido un periodo de tiempo mayor al que aquí se
configura, emplean distintas claves efímeras. Los parámetros configurables se indican a continuación.
Comando
Función
BITS
REGENERATION-INTERVAL
Número de bits de la clave, entre 512 y 2048 bits.
Periodo de tiempo para generar de nuevo de la clave.
a) EPHEMERAL-KEY BITS [NUM_BITS]
Establece el número de bits que ha de tener la clave efímera. Su valor por defecto es de 768 bits.
Sintaxis:
SSHS>ephemeral-key bits <num_bits>
Ejemplo:
SSHS>ephemeral-key bits 1536
SSHS>
b) EPHEMERAL-KEY REGENERATION-INTERVAL [TIEMPO]
Configura el periodo de tiempo que transcurre desde la primera vez que se emplea una clave efímera
hasta que se vuelve a generar para hacerla más robusta. Si un segundo cliente inicia una conexión
antes de que expire dicho tiempo, se emplea la misma clave. Se hace constar que el proceso de
generación de la clave conlleva un retardo, por lo que no se recomienda un intervalo muy breve. Por
defecto, está fijado a una hora.
Sintaxis:
SSHS>ephemeral-key regeneration-interval <tiempo>
Ejemplo:
SSHS>ephemeral-key regeneration-interval 30m
SSHS>
3.10. KEEP-ALIVE
Activa el envío de paquetes de Keep-alive de TCP. De esta forma, se comprueba periódicamente que
la conexión TCP sigue establecida entre cliente y servidor. Por defecto, se encuentra activada.
Sintaxis:
SSHS>keep-alive
ROUTER TELDAT – Configuración Protocolo SSH
II - 41
Doc.DM787
Rev.10.80
Ejemplo:
SSHS>keep-alive
SSHS>
Para desactivar esta funcionalidad, emplear NO KEEP-ALIVE.
3.11. LIST
Muestra por consola los valores de los parámetros configurables en el servidor SSH. No se listan
únicamente los configurados, sino también los restantes, que tienen su valor por defecto. El uso de este
comando es igual que el de LIST SERVER, ubicado en el menú principal de configuración de SSH,
SSH Config>. Se puede hacer un listado completo de la configuración (LIST ALL) o bien focalizar
sobre parámetros concretos. Las opciones disponibles son:
Comando
Función
ALL
AUTH-TIME
AUTHENTICATION
CIPHERS
CLIENT-ALIVE
COMPRESSION
ENABLE
EPHEMERAL-KEY
KEEP-ALIVE
MACS
MAX-AUTH-TRIES
MAX-CONNECTIONS
PORT
VERSION
Lista la configuración completa del servidor SSH.
Tiempo máximo permitido para completar la autenticación de un cliente.
Métodos posibles para la autenticación del cliente.
Algoritmos de cifrado permitidos (SSHv2).
Mensajes para comprobar que la conexión sigue operativa (SSHv2).
Compresión de los datos en paquetes SSH.
Activación del servidor SSH.
Clave efímera del servidor (SSHv1).
Envío de paquetes de Keep-alive de TCP.
Algoritmos de autenticación del mensaje (SSHv2).
Máximo número de intentos de autenticación de cliente permitidos.
Máximo número de conexiones simultáneas SSH permitidas.
Número de puerto TCP en el que escucha el servidor SSH.
Compatibilidad con versiones SSHv1 y SSHv2.
a) LIST ALL
Se describe toda la configuración del servidor SSH. El resultado es similar a hacer un listado
consecutivo de cada una de las restantes opciones.
Sintaxis:
SSHS>list all
Ejemplo:
SSHS>list all
SSH Server configuration:
Server status: enabled
Version compatibility: SSHv1 and SSHv2
Listening port:
22
ROUTER TELDAT – Configuración Protocolo SSH
II - 42
Doc.DM787
Rev.10.80
Payload compression: enabled
Ciphers:
3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
aes128-ctr
aes192-ctr
aes256-ctr
arcfour128
arcfour256
arcfour
blowfish-cbc
cast128-cbc
:
:
:
:
:
:
:
:
:
:
:
:
available
available
available
available
available
available
available
available
available
available
available
available
Message Authentication
hmac-md5 :
hmac-sha1 :
hmac-ripemd160 :
hmac-sha1-96 :
hmac-md5-96 :
Codes:
available
available
available
available
available
Authentication methods:
Password : available
Public-key : available
Key : pubkey1
Users :
admin
ssh-dss AAAAB3NzaC1kc3MAAACAdQpx45QBksY+YdceMCv1a7
OYFT/nKkFghAcEE3fGbz4vPJjXpSOIkgTARylPx+uEkmokN9nv
RY0CT53r/+QlfxIBW1Z8Nu1TvI8qm0Ea0OYyDI6oEhMZhWFWKH
HQmUQy1oCl3ndqgMT4rr3fEl2hbZeujJzrNVY4EQsfSF9KhV8A
AAAVAI3hGhP6mxl/FEE7Xva+JfraCwHPAAAAgGMNblPcZeM5Dg
bj1Vj/VEhpvAyvCW5E30X8jMl8YvSr7w/qaJoGAIEkgHb8efKT
uUBt9nzot+QhLAiTwEe3Nf4GxeH9ifHLRrYTh/jPKTpYucK66O
cU4X/9JJzcyUl+eqQDgDWhEPHviUb3EPQTuP19nOA65TBFj3ZB
xv+tsftTAAAAgGtEZEcLQmDxsnM5pjelVtdnu7N/MHBTQTw8I+
Pm+BKEOjCiBMFKB/4l5+TL1T1ocP0QCIttx15A9QRCkab4VEJ8
pNIPnrkkNvyuk2BLgnNijwBpdVNfWEi7JSZrzadIJjlXGOcuez
tvggqF9CR0f9WveLE2VMiLq7Jf2cp79yt9 dsa-key-2008012
8
Key : pubkey2
Users :
client
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAn+U+8tigcZ7FkW
lRjEjPW5nMqlH2LMA9SJqJxE1+UVzCrb0VGYmCQkn5fC6ZoRld
B2kIPUNjNxss3KU2rRZLPx+k9Jlf9lyz2+LT8oMVKHzN0G7Nh+
ZKakJu8HFweb83VnngW08gf27hy5Cn/lO1dy9t9Ib4dAlWhvf2
n0ozMCach5xRkaDrq8mj1tuGE+OOGEVu8SZIY4NXUw0buJ3Bfi
MPMaWnCH7WbhuwtfyqYvY7X9yq5grOf9qTfKXjQ8iZJPdXSNw1
e9FdD1ueLjLZx72a5Pz7UcHJMUwyDmAxGa6jZJYNtiAJobnIV3
HLo+T2r3V5sR5L9qMTR3VN4RNSnw==
RSA : available
Key : rsa_k
Users :
client2
1023 37 798458743537890626287808985236489077472652
66812863492943900643652158257944058563390058992294
51173715639607846263338310423413858715325915964374
01387845850415306821103328404262154828502339630126
28427593070313403301129101805661224245159936059098
97875549304327234412468874787807675754117378368916
5017928211763217 rsa-key-20080128
ROUTER TELDAT – Configuración Protocolo SSH
II - 43
Doc.DM787
Rev.10.80
Maximum number of authentication attempts: 6
Maximum time to complete authentication:
2m0s
Maximum number of SSH connections: 4
Keep-alive activated: yes
Client-alive message parameters:
Maximum number of messages sent without response:
Interval between messages:
15s
3
Ephemeral server key parameters:
Number of bits:
768
Interval to regenerate server key: 1h0m0s
SSHS>
El resultado de la ejecución muestra una configuración por defecto a la que simplemente se han
añadido claves públicas de clientes.
b) LIST AUTH-TIME
Use este comando para visualizar el tiempo disponible para realizar una autenticación.
Sintaxis:
SSHS>list auth-time
Ejemplo:
SSHS>list auth-time
Maximum time to complete authentication:
2m0s
SSHS>
c) LIST AUTHENTICATION
Informa de los mecanismos de autenticación de cliente disponibles.
Sintaxis:
SSHS>list authentication
Ejemplo:
SSHS>list authentication
Authentication methods:
Password : available
Public-key : available
Key : pubkey1
Users :
admin
ssh-dss AAAAB3NzaC1kc3MAAACAdQpx45QBksY+YdceMCv1a7
OYFT/nKkFghAcEE3fGbz4vPJjXpSOIkgTARylPx+uEkmokN9nv
RY0CT53r/+QlfxIBW1Z8Nu1TvI8qm0Ea0OYyDI6oEhMZhWFWKH
HQmUQy1oCl3ndqgMT4rr3fEl2hbZeujJzrNVY4EQsfSF9KhV8A
AAAVAI3hGhP6mxl/FEE7Xva+JfraCwHPAAAAgGMNblPcZeM5Dg
bj1Vj/VEhpvAyvCW5E30X8jMl8YvSr7w/qaJoGAIEkgHb8efKT
uUBt9nzot+QhLAiTwEe3Nf4GxeH9ifHLRrYTh/jPKTpYucK66O
cU4X/9JJzcyUl+eqQDgDWhEPHviUb3EPQTuP19nOA65TBFj3ZB
xv+tsftTAAAAgGtEZEcLQmDxsnM5pjelVtdnu7N/MHBTQTw8I+
Pm+BKEOjCiBMFKB/4l5+TL1T1ocP0QCIttx15A9QRCkab4VEJ8
pNIPnrkkNvyuk2BLgnNijwBpdVNfWEi7JSZrzadIJjlXGOcuez
ROUTER TELDAT – Configuración Protocolo SSH
II - 44
Doc.DM787
Rev.10.80
tvggqF9CR0f9WveLE2VMiLq7Jf2cp79yt9 dsa-key-2008012
8
Key : pubkey2
Users :
client
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAn+U+8tigcZ7FkW
lRjEjPW5nMqlH2LMA9SJqJxE1+UVzCrb0VGYmCQkn5fC6ZoRld
B2kIPUNjNxss3KU2rRZLPx+k9Jlf9lyz2+LT8oMVKHzN0G7Nh+
ZKakJu8HFweb83VnngW08gf27hy5Cn/lO1dy9t9Ib4dAlWhvf2
n0ozMCach5xRkaDrq8mj1tuGE+OOGEVu8SZIY4NXUw0buJ3Bfi
MPMaWnCH7WbhuwtfyqYvY7X9yq5grOf9qTfKXjQ8iZJPdXSNw1
e9FdD1ueLjLZx72a5Pz7UcHJMUwyDmAxGa6jZJYNtiAJobnIV3
HLo+T2r3V5sR5L9qMTR3VN4RNSnw==
RSA : available
Key : rsa_k
Users :
client2
1023 37 798458743537890626287808985236489077472652
66812863492943900643652158257944058563390058992294
51173715639607846263338310423413858715325915964374
01387845850415306821103328404262154828502339630126
28427593070313403301129101805661224245159936059098
97875549304327234412468874787807675754117378368916
5017928211763217 rsa-key-20080128
SSHS>
Se presenta, además de la disponibilidad de cada método, cada una de las claves públicas admitidas en
los métodos Public-Key y RSA, junto con los usuarios que pueden hacer uso de ellas. En cuanto a la
configuración de los usuarios y contraseñas, no forma parte del protocolo SSH, sino que es general
para todo el equipo. El comando a emplear para dicho propósito es USER, del menú raíz de
configuración.
Se puede listar cada método de autenticación por separado añadiendo una opción:
Comando
Función
PASSWORD
PUBLIC-KEY
RSA
Uso de contraseña.
Uso de clave pública RSA / DSA (SSHv2) y claves admitidas.
Uso de RSA (SSHv1) y claves admitidas.
• LIST AUTHENTICATION PASSWORD
Informa del permiso para que el cliente emplee contraseña en su autenticación.
Sintaxis:
SSHS>list authentication password
Ejemplo:
SSHS>list authentication password
Password : available
SSHS>
ROUTER TELDAT – Configuración Protocolo SSH
II - 45
Doc.DM787
Rev.10.80
• LIST AUTHENTICATION PUBLIC-KEY
Informa del permiso para que el cliente emplee clave pública (SSHv2) en su autenticación, y lista las
admitidas. Con cada clave se especifican los usuarios asociados.
Sintaxis:
SSHS>list authentication public-key
Ejemplo:
SSHS>list authentication public-key
Public-key : available
Key : pubkey1
Users :
admin
ssh-dss AAAAB3NzaC1kc3MAAACAdQpx45QBksY+YdceMCv1a7
OYFT/nKkFghAcEE3fGbz4vPJjXpSOIkgTARylPx+uEkmokN9nv
RY0CT53r/+QlfxIBW1Z8Nu1TvI8qm0Ea0OYyDI6oEhMZhWFWKH
HQmUQy1oCl3ndqgMT4rr3fEl2hbZeujJzrNVY4EQsfSF9KhV8A
AAAVAI3hGhP6mxl/FEE7Xva+JfraCwHPAAAAgGMNblPcZeM5Dg
bj1Vj/VEhpvAyvCW5E30X8jMl8YvSr7w/qaJoGAIEkgHb8efKT
uUBt9nzot+QhLAiTwEe3Nf4GxeH9ifHLRrYTh/jPKTpYucK66O
cU4X/9JJzcyUl+eqQDgDWhEPHviUb3EPQTuP19nOA65TBFj3ZB
xv+tsftTAAAAgGtEZEcLQmDxsnM5pjelVtdnu7N/MHBTQTw8I+
Pm+BKEOjCiBMFKB/4l5+TL1T1ocP0QCIttx15A9QRCkab4VEJ8
pNIPnrkkNvyuk2BLgnNijwBpdVNfWEi7JSZrzadIJjlXGOcuez
tvggqF9CR0f9WveLE2VMiLq7Jf2cp79yt9 dsa-key-2008012
8
Key : pubkey2
Users :
client
ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAn+U+8tigcZ7FkW
lRjEjPW5nMqlH2LMA9SJqJxE1+UVzCrb0VGYmCQkn5fC6ZoRld
B2kIPUNjNxss3KU2rRZLPx+k9Jlf9lyz2+LT8oMVKHzN0G7Nh+
ZKakJu8HFweb83VnngW08gf27hy5Cn/lO1dy9t9Ib4dAlWhvf2
n0ozMCach5xRkaDrq8mj1tuGE+OOGEVu8SZIY4NXUw0buJ3Bfi
MPMaWnCH7WbhuwtfyqYvY7X9yq5grOf9qTfKXjQ8iZJPdXSNw1
e9FdD1ueLjLZx72a5Pz7UcHJMUwyDmAxGa6jZJYNtiAJobnIV3
HLo+T2r3V5sR5L9qMTR3VN4RNSnw==
SSHS>
• LIST AUTHENTICATION RSA
Informa del permiso para que el cliente emplee clave pública RSA en su autenticación, con formato
RSA1 (SSHv1); se listan además las claves admitidas. Con cada clave se especifican los usuarios
asociados.
Sintaxis:
SSHS>list authentication rsa
Ejemplo:
SSHS>list authentication rsa
RSA : available
Key : rsa_k
Users :
client2
ROUTER TELDAT – Configuración Protocolo SSH
II - 46
Doc.DM787
Rev.10.80
1023 37 798458743537890626287808985236489077472652
66812863492943900643652158257944058563390058992294
51173715639607846263338310423413858715325915964374
01387845850415306821103328404262154828502339630126
28427593070313403301129101805661224245159936059098
97875549304327234412468874787807675754117378368916
5017928211763217 rsa-key-20080128
SSHS>
d) LIST CIPHERS
Presenta la disponibilidad de cada uno de los algoritmos de cifrado implementados.
Sintaxis:
SSHS>list ciphers
Ejemplo:
SSHS>list ciphers
Ciphers:
3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc
aes128-ctr
aes192-ctr
aes256-ctr
arcfour128
arcfour256
arcfour
blowfish-cbc
cast128-cbc
:
:
:
:
:
:
:
:
:
:
:
:
available
available
available
available
available
available
available
available
available
available
available
available
SSHS>
e) LIST CLIENT-ALIVE
Este comando ha de ejecutarse seguido de una de estas dos opciones:
Comando
Función
INTERVAL
MAX-COUNT
Periodo de tiempo entre dos mensajes Client-Alive consecutivos.
Máximo número de mensajes enviados sin respuesta.
• LIST CLIENT-ALIVE INTERVAL
Indica cada cuánto tiempo sin tráfico de datos se envían los mensajes de Client-Alive.
Sintaxis:
SSHS>list client-alive interval
Ejemplo:
SSHS>list client-alive interval
Client-alive message parameters:
Interval between messages:
15s
SSHS>
• LIST CLIENT-ALIVE MAX-COUNT
Indica el número de mensajes de Client-Alive sin respuesta que se permiten antes de que el servidor
cierre la conexión.
ROUTER TELDAT – Configuración Protocolo SSH
II - 47
Doc.DM787
Rev.10.80
Sintaxis:
SSHS>list client-alive max-count
Ejemplo:
SSHS>list client-alive max-count
Client-alive message parameters:
Maximum number of messages sent without response:
3
SSHS>
f) LIST COMPRESSION
Muestra si se permite la compresión de los datos en los paquetes SSH, ya sea incluyendo compresión
estandarizada (zlib), o sólo con la aplazada a después de la autenticación ([email protected]).
Sintaxis:
SSHS>list compression
Ejemplo:
SSHS>list compression
Payload compression: enabled
SSHS>
g) LIST ENABLE
Use este comando para saber si el servidor SSH está habilitado o no.
Sintaxis:
SSHS>list enable
Ejemplo:
SSHS>list enable
Server status: enabled
SSHS>
h) LIST EPHEMERAL-KEY
Ejecute este comando seguido de una de estas dos opciones:
Comando
Función
BITS
REGENERATION-INTERVAL
Longitud en bits de la clave efímera.
Periodo establecido para generar de nuevo la clave efímera.
• LIST EPHEMERAL-KEY BITS
Informa el número de bits con que se genera la clave efímera de SSHv1.
Sintaxis:
SSHS>list ephemeral-key bits
ROUTER TELDAT – Configuración Protocolo SSH
II - 48
Doc.DM787
Rev.10.80
Ejemplo:
SSHS>list ephemeral-key bits
Ephemeral server key parameters:
Number of bits:
768
SSHS>
• LIST EPHEMERAL-KEY REGENERATION-INTERVAL
Indica el tiempo que transcurre desde que se usa una clave efímera hasta que se vuelve a generar.
Sintaxis:
SSHS>list ephemeral-key regeneration-interval
Ejemplo:
SSHS>list ephemeral-key regeneration-interval
Ephemeral server key parameters:
Interval to regenerate server key: 1h0m0s
SSHS>
i) LIST KEEP-ALIVE
Informa de la configuración del envío de paquetes de Keep-Alive de TCP, empleados para asegurar
que la conexión está establecida.
Sintaxis:
SSHS>list keep-alive
Ejemplo:
SSHS> list keep-alive
Keep-alive activated: yes
SSHS>
j) LIST MACS
Presenta la disponibilidad de cada uno de los algoritmos de autenticación de mensaje (MAC)
implementados.
Sintaxis:
SSHS>list macs
Ejemplo:
SSHS>list macs
Message Authentication
hmac-md5 :
hmac-sha1 :
hmac-ripemd160 :
hmac-sha1-96 :
hmac-md5-96 :
Codes:
available
available
available
available
available
SSHS>
k) LIST MAX-AUTH-TRIES
Devuelve el máximo número de intentos de autenticación de cliente permitidos. Cuando se alcanza
dicho valor con intentos fallidos, el servidor cierra la conexión.
ROUTER TELDAT – Configuración Protocolo SSH
II - 49
Doc.DM787
Rev.10.80
Sintaxis:
SSHS>list max-auth-tries
Ejemplo:
SSHS>list max-auth-tries
Maximum number of authentication attempts:
6
SSHS>
l) LIST MAX-CONNECTIONS
Número máximo de conexiones SSH simultáneas que el servidor admite.
Sintaxis:
SSHS>list max-connections
Ejemplo:
SSHS>list max-connections
Maximum number of SSH connections:
4
SSHS>
m) LIST PORT
Muestra el número de puerto TCP en el que escucha el servidor SSH.
Sintaxis:
SSHS>list port
Ejemplo:
SSHS>list port
Listening port:
22
SSHS>
n) LIST VERSION
Informa de la compatibilidad del servidor con versiones SSHv1 y SSHv2.
Sintaxis:
SSHS>list version
Ejemplo:
SSHS>list version
Version compatibility: SSHv1 and SSHv2
SSHS>
3.12. LOGIN
Este comando asocia una lista de métodos de tipo authentication login que ha sido definida utilizando
la facilidad AAA. De esta forma el servicio SSH aplica los métodos de la lista asociada cuando
necesite realizar la autenticación de algún usuario.
Sintaxis:
SSHS config>login authentication <listname>
<listname>:
Identificador de la lista de métodos de autenticación.
ROUTER TELDAT – Configuración Protocolo SSH
II - 50
Doc.DM787
Rev.10.80
Ejemplo:
SSHS config>login authentication AutheLogin
SSHS config>
En el ejemplo se configura la lista de métodos AutheLogin para que sea usada cuando se requiera
autenticación a un usuario accediendo por SSH.
Las listas de métodos sólo pueden ser aplicadas si se encuentra la facilidad AAA habilitada. Por ello,
una vez finalizada la configuración de AAA se debe habilitar para poder aplicar las listas a los
distintos servicios. La información sobre como configurar la facilidad AAA se puede encontrar en el
manual “Dm800 Facilidad AAA”.
3.13. MACS
Mediante este comando se seleccionan los algoritmos de autenticación de mensaje (Message
Authentication Codes) permitidos, usados para verificar la integridad de los paquetes en SSHv2. Por
defecto, se encuentran todos habilitados, de forma que queda a elección del cliente el uso de uno u
otro. Los algoritmos implementados son:
Comando
Función
HMAC-MD5
HMAC-MD5-96
HMAC-RIPEMD160
HMAC-SHA1
HMAC-SHA1-96
Algoritmo hash MD5.
Algoritmo hash MD5 con truncado a 96 bits.
Algoritmo hash RIPEMD de 160 bits.
Algoritmo hash SHA-1.
Algoritmo hash SHA-1 con truncado a 96 bits.
Para deshabilitar un algoritmo de cifrado, ejecutar NO MACS [NOMBRE].
a) MACS [NOMBRE]
Habilita el algoritmo de autenticación de mensaje con el nombre indicado.
Sintaxis:
SSHS>macs <nombre>
Ejemplo:
SSHS>macs hmac-md5
SSHS>
3.14. MAX-AUTH-TRIES
Establece el número máximo de intentos de autenticación de cliente. Una vez que el número de
intentos fallidos iguala a este valor, el servidor cierra la conexión. Por defecto, este parámetro se inicia
a 6 intentos.
Sintaxis:
SSHS>max-auth-tries <numero>
ROUTER TELDAT – Configuración Protocolo SSH
II - 51
Doc.DM787
Rev.10.80
Ejemplo:
SSHS>max-auth-tries 3
SSHS>
Debe tenerse en cuenta también el tiempo máximo de autenticación (AUTH-TIME), dado que si este
intervalo se sobrepasa, la conexión se cierra igualmente, aunque no se haya alcanzado el máximo de
intentos. Por último, se hace constar que al cliente no le es posible autenticarse con un nombre de
usuario diferente si ése fue el parámetro erróneo, por lo que debe prestarse atención al introducir el
nombre usuario.
3.15. MAX-CONNECTIONS
Fija el número máximo de conexiones simultáneas SSH que el servidor está dispuesto a mantener.
Puede haber, por tanto, tantos clientes SSH conectados como marque el valor de este parámetro. Por
defecto, el número máximo de conexiones es 4.
Sintaxis:
SSHS>max-connections <numero>
Ejemplo:
SSHS>max-connections 10
SSHS>
En el caso de que, al configurar dinámicamente este parámetro, el nuevo máximo sea inferior al
número de conexiones SSH que están operativas, no se cierra ninguna de las conexiones; sin embargo,
el servidor no admite nuevos clientes hasta que el número de las conexiones en curso sea menor que el
nuevo máximo establecido.
Otro aspecto, pero en este caso no configurable, es el número máximo de clientes conectados al
servidor pero no autenticados. Dicho valor es de 4 conexiones no autenticadas. Así que, cuando un
nuevo cliente intenta conectarse al servidor, éste rechaza la conexión si se había alcanzado dicho
máximo. Conforme los clientes aún no autenticados completan satisfactoriamente el proceso de
autenticación o se cierran sus conexiones, el servidor vuelve a aceptar nuevas conexiones hasta llegar
al máximo establecido en MAX-CONNECTIONS.
3.16. NO
Restablece el valor por defecto o deshabilita una funcionalidad del servidor SSH. Dado que no todos
los comandos de este menú son estáticos, tampoco están disponibles todas las opciones en el menú
dinámico.
Comando
Función
ACCOUNTING
AUTH-TIME
AUTHENTICATION
AUTHORIZATION
CIPHERS
CLIENT-ALIVE
Configura las opciones de contabilización AAA.
Valor por defecto del tiempo máximo permitido para la autenticación.
Deshabilita un método de autenticación de cliente.
Configura las opciones de autorización AAA.
Prohíbe el uso de un algoritmo de cifrado.
Valor por defecto de un parámetro de Client-Alive.
ROUTER TELDAT – Configuración Protocolo SSH
II - 52
Doc.DM787
Rev.10.80
COMPRESSION
ENABLE
EPHEMERAL-KEY
KEEP-ALIVE
LOGIN
MACS
MAX-AUTH-TRIES
MAX-CONNECTIONS
PORT
VERSION
Valor por defecto de la compresión (compresión permitida).
Deshabilita el servidor SSH.
Valor por defecto de un parámetro de la clave efímera.
Desactiva el envío de paquetes TCP de Keep-Alive.
Configura las opciones de autenticación AAA.
Prohíbe el uso de un método de autenticación de mensaje.
Valor por defecto de máximo de intentos de autenticación.
Valor por defecto de máximo de conexiones SSH simultáneas.
Valor por defecto de puerto TCP de escucha del servidor.
Valor por defecto de compatibilidad (ambas versiones habilitadas).
a) NO ACCOUNTING
Elimina una lista de métodos que ha sido definida utilizando AAA para contabilización de SSH.
Sintaxis:
SSHS>no accounting {commands <privilege-level> | exec}
Ejemplo:
SSHS>no accounting commands 10
SSHS>
b) NO AUTH-TIME
Restablece el valor por defecto del tiempo máximo permitido para la autenticación, que es de 2
minutos.
Sintaxis:
SSHS>no auth-time
Ejemplo:
SSHS>no auth-time
SSHS>
c) NO AUTHENTICATION PASSWORD
Deshabilita la autenticación del cliente mediante usuario y contraseña, que por defecto está habilitada.
Sintaxis:
SSHS>no authentication password
Ejemplo:
SSHS>no authentication password
SSHS>
En cuanto al resto de métodos de autenticación (Public-Key y RSA), los comandos de NO
correspondientes se encuentran dentro de los menús SSHS PK> y SSHS RSA>. Para más información,
consultar los comandos AUTHENTICATION PUBLIC-KEY y AUTHENTICATION RSA del
menú de configuración del servidor SSHS>.
d) NO AUTHORIZATION
Elimina una lista de métodos que ha sido definida utilizando AAA para autorización de SSH.
ROUTER TELDAT – Configuración Protocolo SSH
II - 53
Doc.DM787
Rev.10.80
Sintaxis:
SSHS>no authorization {commands <privilege-level> | exec}
Ejemplo:
SSHS>no authorization exec
SSHS>
e) NO CIPHERS
Deshabilita el método de cifrado indicado por el nombre introducido, cambiando su estado a no
permitido. Sólo es relevante para SSHv2. Por defecto, todos los algoritmos de cifrado implementados
están habilitados:
Comando
Función
3DES-CBC
AES128-CBC
AES128-CTR
AES192-CBC
AES192-CTR
AES256-CBC
AES256-CTR
ARCFOUR
ARCFOUR128
ARCFOUR256
BLOWFISH-CBC
CAST128-CBC
Sintaxis:
Triple DES con cipher-block chaining.
AES con cipher-block chaining y clave de 128 bits.
AES con cifrado con contador y clave de 128 bits.
AES con cipher-block chaining y clave de 192 bits.
AES con cifrado con contador y clave de 192 bits.
AES con cipher-block chaining y clave de 256 bits.
AES con cifrado con contador y clave de 256 bits.
Alleged-RC4.
Alleged-RC4 con clave de 128 bits.
Alleged-RC4 con clave de 256 bits.
Blowfish con cipher-block chaining.
CAST con cipher-block chaining y clave de 128 bits.
SSHS>no ciphers <nombre>
Ejemplo:
SSHS>no ciphers arcfour256
SSHS>
f) NO CLIENT-ALIVE
Restablece el valor por defecto del parámetro seleccionado. Dichos parámetros configuran el envío de
mensajes de Client-Alive que, generados por el servidor con versión SSHv2, comprueban que la
conexión SSH con el cliente sigue operativa. Las opciones posibles:
Comando
Función
INTERVAL
MAX-COUNT
Periodo de tiempo entre dos mensajes Client-Alive consecutivos.
Máximo número de mensajes enviados sin respuesta.
• NO CLIENT-ALIVE INTERVAL
Restablece el valor por defecto del intervalo entre mensajes consecutivos de Client-Alive, de 15
segundos. Es el periodo que transcurre mientras no haya tráfico de datos entre cliente y servidor.
ROUTER TELDAT – Configuración Protocolo SSH
II - 54
Doc.DM787
Rev.10.80
Sintaxis:
SSHS>no client-alive interval
Ejemplo:
SSHS>no client-alive interval
SSHS>
• NO CLIENT-ALIVE MAX-COUNT
Establece que el máximo número de mensajes de Client-Alive consecutivos sin contestación sea 3, el
valor inicial de este parámetro. Si lo que se desea es deshabilitar la funcionalidad de Client-Alive,
cambiar CLIENT-ALIVE INTERVAL a un valor de 0 segundos.
Sintaxis:
SSHS>no client-alive max-count
Ejemplo:
SSHS>no client-alive max-count
SSHS>
g) NO COMPRESSION
Establece la disponibilidad de la compresión a su valor por defecto, que consiste en permitir tanto la
compresión normal como la aplazada ([email protected]); es decir, fija un valor de YES.
Sintaxis:
SSHS>no compression
Ejemplo:
SSHS>no compression
SSHS>
h) NO ENABLE
Desactiva el servidor SSH. Este comando sólo está disponible en configuración estática, puesto que no
se puede deshabilitar el servidor en el caso de que se esté ejecutando. Éste es el estado por defecto del
servidor. Se observa que con el comando ENABLE se generan las host-keys que se consideren
necesarias, pero con el comando opuesto, NO ENABLE, no se borra ninguna host-key; de tal forma,
las mismas claves que se usaron antes son las que se emplean de nuevo para identificar el equipo. Si
desea borrar también dichas claves, haga uso del comando NO HOST-KEY [TIPO] del menú
principal de configuración de SSH.
Sintaxis:
SSHS>no enable
Ejemplo:
SSHS>no enable
SSHS>
i) NO EPHEMERAL-KEY
Cambia el parámetro seleccionado a su valor por defecto. Este comando configura en el servidor la
generación de la clave RSA que se usa para la sesión en SSHv1. Las opciones posibles:
ROUTER TELDAT – Configuración Protocolo SSH
II - 55
Doc.DM787
Rev.10.80
Comando
Función
BITS
REGENERATION-INTERVAL
Restablece la longitud de la clave efímera a 768 bits.
Periodo por defecto de 1 hora para generar la clave.
• NO EPHEMERAL-KEY BITS
Devuelve el valor por defecto a la longitud de la clave efímera de SSHv1, que es de 768 bits.
Sintaxis:
SSHS>no ephemeral-key bits
Ejemplo:
SSHS>no ephemeral-key bits
SSHS>
• NO EPHEMERAL-KEY REGENERATION-INTERVAL
Se establece que el periodo de generación de la clave efímera sea de 1 hora. El temporizador empieza
a contar desde que se usa la clave por primera vez, ya que, mientras no se emplee, sigue siendo segura
indefinidamente.
Sintaxis:
SSHS>no ephemeral-key regeneration-interval
Ejemplo:
SSHS>no ephemeral-key regeneration-interval
SSHS>
j) NO KEEP-ALIVE
Deshabilita el envío de paquetes Keep-Alive de TCP, que por defecto se encuentra habilitado. La
finalidad de dichos paquetes es comprobar que la conexión TCP sigue establecida y operativa.
Sintaxis:
SSHS>no keep-alive
Ejemplo:
SSHS>no keep-alive
SSHS>
k) NO LOGIN
Elimina una lista de métodos que ha sido definida utilizando AAA para autenticación de SSH.
Sintaxis:
SSHS>no login authentication
Ejemplo:
SSHS>no login authentication
SSHS>
l) NO MACS
Deshabilita el método de autenticación de mensaje indicado por el nombre introducido, cambiando su
estado a no permitido. Sólo es relevante para SSHv2. Por defecto, todos los algoritmos de
autenticación de mensaje (MAC) implementados están habilitados:
ROUTER TELDAT – Configuración Protocolo SSH
II - 56
Doc.DM787
Rev.10.80
Comando
Función
HMAC-MD5
HMAC-MD5-96
HMAC-RIPEMD160
HMAC-SHA1
HMAC-SHA1-96
Sintaxis:
Algoritmo hash MD5.
Algoritmo hash MD5 con truncado a 96 bits.
Algoritmo hash RIPEMD de 160 bits.
Algoritmo hash SHA-1.
Algoritmo hash SHA-1 con truncado a 96 bits.
SSHS>no macs <nombre>
Ejemplo:
SSHS>no macs hmac-sha1-96
SSHS>
m) NO MAX-AUTH-TRIES
Restablece el número máximo de intentos de autenticación por parte del cliente a su valor por defecto,
6 intentos.
Sintaxis:
SSHS>no max-auth-tries
Ejemplo:
SSHS>no max-auth-tries
SSHS>
n) NO MAX-CONNECTIONS
Fija el número máximo de conexiones SSH que el servidor permite mantener simultáneamente a su
valor inicial de 4 conexiones.
Sintaxis:
SSHS>no max-connections
Ejemplo:
SSHS>no max-connections
SSHS>
o) NO PORT
Tras emplear este comando, el servidor escucha, esperando nuevas conexiones, en el puerto TCP
asignado por IANA para el protocolo SSH. Éste es el puerto 22.
Sintaxis:
SSHS>no port
Ejemplo:
SSHS>no port
SSHS>
p) NO VERSION
Cambia la compatibilidad de versiones a su valor por defecto ANY, que permite que tanto clientes con
versión SSHv1 como los que usan SSHv2, puedan conectarse al servidor.
ROUTER TELDAT – Configuración Protocolo SSH
II - 57
Doc.DM787
Rev.10.80
Sintaxis:
SSHS>no version
Ejemplo:
SSHS>no version
SSHS>
3.17. PORT
Permite configurar el puerto TCP de escucha del servidor SSH. Por defecto, es el 22, el asignado por
IANA. El cliente debe establecer en primer lugar una conexión TCP con el servidor, empleando el
puerto configurado; es entonces cuando se procede a la negociación de SSH entre cliente y servidor.
Sintaxis:
SSHS>port <numero>
Ejemplo:
SSHS>port 2690
SSHS>
3.18. VERSION
Use este comando para seleccionar la compatibilidad con la versión de SSH deseada. Por defecto, el
servidor acepta conexiones de clientes con versiones SSHv1 y SSHv2, por lo que en ese caso se
anuncia en el mensaje inicial con versión “SSH-1.99”. El uso de SSHv1 no se recomienda, pero se
mantiene por si acaso el cliente sólo permite el empleo de dicha versión. Si se prevé que todos los
clientes soporten SSHv2, se aconseja deshabilitar dicha funcionalidad. Las opciones posibles a
introducir son:
Comando
Función
1
2
ANY
Sólo compatible con SSHv1 (NO RECOMENDADO).
Sólo compatible con SSHv2.
Compatible con SSHv1 y SSHv2 (por defecto).
Sintaxis:
SSHS>version <opcion>
Ejemplo:
SSHS>version 2
SSHS>
3.19. EXIT
Use este comando para volver al menú principal de configuración de SSH, con prompt SSH Config>.
ROUTER TELDAT – Configuración Protocolo SSH
II - 58
Doc.DM787
Rev.10.80
Sintaxis:
SSHS>exit
Ejemplo:
SSHS>exit
SSH Config>
ROUTER TELDAT – Configuración Protocolo SSH
II - 59
Doc.DM787
Rev.10.80
4. Pasos para una buena configuración de SSH
Se explican a continuación los pasos a seguir para configurar el protocolo SSH. Es necesario el
empleo de comandos que quedan fuera de la descripción de este manual, por lo que se remite al lector
a los manuales correspondientes para profundizar en el manejo de dichos comandos.
4.1. Configuración del servidor
El proceso de configuración del servidor SSH requiere la ejecución de un conjunto de comandos,
algunos de SSH y otros no. Se advierte que, si el estado del servidor se encuentra en su valor por
defecto, deshabilitado, es necesario reiniciar el equipo más adelante. Esto se debe a que una parte
significativa de los comandos son de configuración estática, por lo que es también imprescindible el
guardado de la configuración. Se presupone que el equipo ya cuenta con una dirección IP a la que los
clientes se pueden conectar.
En cuanto a la configuración de la aplicación que se emplee como cliente a la hora de conectarse al
servidor SSH del equipo Teldat, el usuario debe consultar la información suministrada por los
desarrolladores de dicha aplicación.
a) Creación de usuario y contraseña
El proceso de conexión de SSH conlleva una autenticación del cliente en el equipo servidor, para lo
que es imprescindible conocer qué usuarios están registrados. Si el equipo no dispone de usuarios, han
de crearse empleando el comando USER del menú de configuración principal. Las únicas dos
alternativas son:
•
Que la autenticación se haga por contraseña y dejar que la facilidad AAA la gestione.
•
Que la autenticación se haga por contraseña y se emplee un servidor RADIUS, externo a la
funcionalidad AAA, que tenga los usuarios configurados.
Se presenta a continuación un ejemplo de cómo crear en el equipo una cuenta de usuario con su
contraseña asociada:
*p 4
Config>user teldat password secreto
Config>
En la configuración ya no se muestra la contraseña en claro, sino cifrada:
Config>show config
; Showing Menu and Submenus Configuration for access-level 15 ...
; ATLAS50 Router 9 24 Version 10.7.12-Alfa
log-command-errors
no configuration
user teldat hash-password 17BC63FEA1F40F68187E6C435E412BB7
;
;
network ethernet0/0
; -- Ethernet Interface User Configuration --
ROUTER TELDAT – Configuración Protocolo SSH
II - 60
Doc.DM787
Rev.10.80
ip address 192.168.121.33 255.255.0.0
;
;
;
;
;
exit
;
dump-command-errors
end
Config>
Para información más avanzada, como la gestión de usuarios, consulte el manual Dm 704
Configuración y Monitorización.
b) Compatibilidad de versiones
En este momento debe decidirse con qué versiones de SSH va a ser compatible nuestro servidor. Por
defecto, está habilitada la compatibilidad con las versiones SSHv1 y SSHv2. Si no desea modificarlo,
vaya al siguiente paso.
Se recomienda no emplear la primera versión, SSHv1, por lo que si prevé que todos los clientes
potenciales soportan SSHv2, cambie la compatibilidad a la segunda versión únicamente. Por el
contrario, si desea mantener la compatibilidad hacia atrás para posibles clientes que no soporten
SSHv2, pase al siguiente punto.
Config>feature ssh
-- SSH protocol configuration -SSH Config>server
-- SSH Server -SSHS>version 2
SSHS>
c) Elección de las host-keys
Una vez determinada la compatibilidad de versiones, debe decidirse las características de las host-keys
a emplear. Si se desea insertar host-keys de configuraciones previas, consulte la descripción del
comando HOST-KEY [TIPO] INSERT.
Si es la primera vez que configura SSH, han de generarse las claves que identifican al servidor frente a
los clientes. Cuando más adelante se habilite el servidor, se generan automáticamente las claves
necesarias con 1024 bits de longitud. Si está habilitada la compatibilidad con SSHv1, se genera una
clave RSA1. Si la versión SSHv2 está incluida, se genera una clave de tipo RSA. Si el lector está
conforme con una clave RSA para SSHv2 y con que las longitudes sean de 1024 bits, pase al siguiente
punto.
Si desea realizar alguna modificación en esta generación, anticípese a la generación automática para
ahorrar tiempo en la configuración. Se analizan las posibilidades:
Si se mantiene la compatibilidad con SSHv1, necesariamente la host-key ha de ser del tipo RSA1. Si
desea que la longitud sea diferente de 1024 bits (por ejemplo, 1536 bits), ejecute lo siguiente
indicando la longitud deseada:
ROUTER TELDAT – Configuración Protocolo SSH
II - 61
Doc.DM787
Rev.10.80
Config>feature ssh
-- SSH protocol configuration -SSH Config>host-key rsa1 generate 1536
Generating public/private rsa1 key pair...
Please wait for a few seconds.
Key generation done.
Public key:
1536 35 15395870189579834143383499263836502730355937791246750842
0766640556662090823310864817025228826352441749111783489552769911
9639708956396044015448566573781658816138161042117522667342273473
1978935240109989589240939176844801249252805213735013839068027601
7515139729960831955943568873934949111279630668945662737719633606
2052591783326421206270573383292451631263917245501815548196563428
4064931566075988822771348850067450467840561217411044341822444224
15692826628915662340199
The key fingerprint is:
8e:6a:55:63:f7:65:1b:f1:02:f4:bd:54:fb:4f:35:27
SSH Config>
En cuanto a la clave de SSHv2, hay posibilidad de elección entre RSA y DSA. Por defecto, al habilitar
el servidor se genera una RSA de 1024 bits. Si desea cambiar su longitud, o bien que la host-key sea
DSA, o bien que el servidor disponga tanto de clave RSA como DSA, ejecute lo siguiente según el
caso (uno de los procedimientos o ambos), prestando atención a la longitud de la clave RSA.
RSA:
Config>feature ssh
-- SSH protocol configuration -SSH Config>host-key rsa generate 2048
Generating public/private rsa key pair...
Please wait for a few seconds.
Key generation done.
Public key:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAy8u/yoxVS8SBr99UQEX481ArzDP1
d20SrY7Cs98oe3eFcYOZGwmi1ZNUNEiyuZU46pBWilYCwCy2Xho27UGr/KkZX3vy
yH9bAlV4rwkRHXkTt/ZNgiQ3hVFGJLnvLPliyTFtyOstEbw5JJ8g2FOlvq0oRTds
1B0zt41As/Hok1xa0anPeLV29pS5LrBobQj0mKR0+PNvRjFtGe0J4Hy8v3NtRBC2
ogmQQ612H7ZhXDXAwpoMN6nQMsnYAmkizKh5b9+F/tK47keuEFYP9BHHgL601zeB
lkn3eQ+iG2/Ur9apP+e3qEAaiKcY94uJ/v7AX8Iv9wg0YKuKMKDO0AxHrw==
The key fingerprint is:
6e:13:de:32:14:fc:78:aa:6d:5a:26:05:0e:be:5c:01
SSH Config>
DSA:
SSH Config>host-key dsa generate
Generating public/private dsa key pair...
Please wait for a few seconds.
ROUTER TELDAT – Configuración Protocolo SSH
II - 62
Doc.DM787
Rev.10.80
Key generation done.
Public key:
ssh-dss AAAAB3NzaC1kc3MAAACBAJ9hGEihxgSO1BZ3t/K/d0csAxC9VubAyKjV
rkyAHl6u1snNQZM1u/HNA0vECH63T634Gpz7xzhWlce/CYl6OZbos6LWsHr/dlSR
MwOC0kF1dvkI1vDTOtf+75TlhFbID3levC1Lo2JwrOqf3W+sBcXT3qv0uMVwGCil
UGb4F7mJAAAAFQCoEF67qaVYwKsxHnj3cgRKxdu4wQAAAIBiA/4dt7nuFY41xEDD
JW95WvamLZtfRH4E/f43Je6IsL6CYv0JhdodLULy9R8HOAQ2w+s7NC3gznhwyme9
Sv4DzBIe5lUtf7DJigHAArXrbmRU45hJ6PoAmntrohmGh/nK+N9aPtRksoSTGU0N
cn1M0Q2DV8CalONcqqJMeNNFhQAAAIBg24fhfSSMBazImq6Vjr9Kqt/Qtsubws4I
lvBv14ffMpExeUS+/BAKj0GMrfFL75eDU3L8axdDVqruzqBAr2S2Ah3r+UZobQDy
VxLhtiLtHygpq8NtjZD0+DDsmobQNaPbFAblUqH8hr5H8hBq6HsVAt6cFHhYh6ue
lJCiilC8Ag==
The key fingerprint is:
6c:29:36:91:58:b7:bf:15:1b:72:54:3e:93:bc:cb:e4
SSH Config>
La generación de claves conlleva un procesado muy elevado, por lo que, según el equipo, el tipo de
clave a usar y su longitud, el tiempo requerido puede llegar a durar varios minutos. En contraposición,
este proceso de generación de claves debe realizarse sólo una vez por equipo.
d) Activación del servidor
En este paso se habilita el servidor, por lo que, cuando se guarde la configuración y se reinicie el
equipo, el servidor SSH arranca y se pone a la escucha de clientes SSH. Dependiendo de lo realizado
en el punto anterior, acerca de la elección de las host-keys, tiene lugar una generación de claves o no.
Suponiendo que no se ha generado ninguna host-key previamente, el resultado es similar a este:
Config>feature ssh
-- SSH protocol configuration -SSH Config>server
-- SSH Server -SSHS>enable
Hostkeys for SSHv1 and SSHv2 not found in config
Generating public/private rsa1 key pair...
Please wait for a few seconds.
Key generation done.
Public key:
1024 35 15432786495890011256590334136108871371683443719953266934
1669735536131263850541188761930253773041643800977721757100219858
0654115081071493764373252615104438669848742056849742709313080675
1196133356243526157859512801760325744289280950757198892914694769
1949421675284134332362671477102618739031477877190305796041081
The key fingerprint is:
07:fe:99:4c:c4:e9:bd:f8:7f:c4:e0:8a:c8:94:8a:4e
Generating public/private rsa key pair...
Please wait for a few seconds.
Key generation done.
Public key:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEA1IyO4HqZk4WghKgm9aE+1puDgCyS
hmzs8vpaf0SHdzZjKHVAbGv3UnNP7DDUUsc4LnhVbcfnmNnCJnb1yCs725E2awuH
zMc/o0B4jPmnL8H/qk8dp65vjDXj5YJD6F7824Lasb4V2VjCvjVJw589ZDG/qvLU
JFpeGJPJB9uiUp8=
ROUTER TELDAT – Configuración Protocolo SSH
II - 63
Doc.DM787
Rev.10.80
The key fingerprint is:
53:30:ff:e4:1f:04:25:2a:df:34:d1:ac:19:33:04:fd
Hostkeys have been generated. Remember to save config!
SSHS>
En el ejemplo, se han generado las dos claves RSA1 y RSA, dado que no estaban presentes en la
configuración. Hay dos claves posibles, y sólo se ha generado la clave necesaria.
Para el caso de que las claves que el servidor necesita ya estuvieran generadas, se obtiene
sencillamente:
SSH Config>server
-- SSH Server -SSHS>enable
SSHS>
e) Opciones avanzadas del servidor
La configuración por defecto del servidor SSH se puede considerar como permisiva, dando lugar a que
las características o funcionalidades implementadas estén configuradas como disponibles. Dentro del
menú del servidor, cuyo prompt es SSHS>, pueden especificarse otros valores para cada una de las
variables, habitualmente imponiendo mayores restricciones. Sin embargo, uno de los parámetros que
normalmente deben configurarse es la autenticación del cliente. Si aún así no desea realizar ningún
cambio, pase al siguiente punto.
En cuanto a la autenticación del cliente, en el primer paso se creó una cuenta de usuario con su
contraseña. Si desea que la autenticación no sea por contraseña, o bien porque le interesa contar con
otros mecanismos de autenticación, es necesario insertar en la configuración las claves públicas (para
SSHv1 ó SSHv2). Para información más completa, consultar los comandos AUTHENTICATION
PUBLIC-KEY y AUTHENTICATION RSA.
Se propone a continuación un ejemplo sencillo. Si en la aplicación cliente se desea emplear la
autenticación por Public-Key de SSHv2, y se dispone de la siguiente clave (todo es una línea):
ssh-rsa
AAAAB3NzaC1yc2EAAAABJQAAAIBOcV+xGKKNuQ4GXEMvbJ09ib9kmArxHrlvmtXtnZdnyW2KOLc
CIbwWWZoqr6O2LPuwrhE/K2/nKe0Q+7U3K8aVmNLEtv/0DR61dYZGuLsto4nX8XbwSTLg3KF3Ee
xE5AzP6ETM3tMSpd0OoJPYRxB0xUJGqrO/F+lJYu5QO0PtqQ== rsa-key-20080206
En primer lugar la troceamos:
ssh-rsa
AAAAB3NzaC1yc2EAAAABJQAAAIBOcV+xGKKNuQ4GXEMvbJ09ib9kmArxHrlv
mtXtnZdnyW2KOLcCIbwWWZoqr6O2LPuwrhE/K2/nKe0Q+7U3K8aVmNLEtv/0
DR61dYZGuLsto4nX8XbwSTLg3KF3EexE5AzP6ETM3tMSpd0OoJPYRxB0xUJG
qrO/F+lJYu5QO0PtqQ== rsa-key-20080206
La insertamos con el nombre “cliente1”:
ROUTER TELDAT – Configuración Protocolo SSH
II - 64
Doc.DM787
Rev.10.80
SSHS>authentication public-key
-- Public-Key configuration in SSH server -SSHS PK>key cliente1
SSHS KEY cliente1>insert
Enter the public key (type + base64)
<cr> to escape
ssh-rsa
AAAAB3NzaC1yc2EAAAABJQAAAIBOcV+xGKKNuQ4GXEMvbJ09ib9kmArxHrlv
mtXtnZdnyW2KOLcCIbwWWZoqr6O2LPuwrhE/K2/nKe0Q+7U3K8aVmNLEtv/0
DR61dYZGuLsto4nX8XbwSTLg3KF3EexE5AzP6ETM3tMSpd0OoJPYRxB0xUJG
qrO/F+lJYu5QO0PtqQ== rsa-key-20080206
SSHS KEY cliente1>
Le asociamos luego el nombre de usuario que puede hacer uso de la clave; por ejemplo, el usuario
creado al principio, “teldat”:
SSHS KEY cliente1>user teldat
SSHS KEY cliente1>
f) Sobre Telnet
Uno de los principales objetivos de SSH es conferir seguridad al acceso por consola a un equipo. Sin
seguridad ya existe Telnet, que está también disponible en el equipo. Puede resultar incongruente,
según el caso, agregar un elevado nivel de seguridad al acceso por consola gracias a SSH y, mientras
tanto, permitir que un cliente pueda acceder por Telnet al mismo equipo. Si, por ejemplo, se desactiva
la autenticación por contraseña en SSH porque no se considerase segura, usando Telnet aún queda esa
posibilidad.
Si concede importancia a la seguridad y no desea permitir el acceso al equipo por Telnet, debe fijarse
el número máximo de sesiones Telnet a 0, como se realiza a continuación.
*p 4
Config>set telnet
-- Telnet user configuration -Telnet config>set ?
max-telnets
Maximum number of telnet sessions you can open
port
Set port number
Telnet config>set max-telnets ?
<0..20>
Value in the specified range
Telnet config>set max-telnets 0
Telnet config>
g) Guardado de la configuración
Una vez que todo está configurado, ha de guardarse la configuración para mantener los cambios
cuando se reinicie. En el siguiente ejemplo, se crea primero el archivo SSH_SERV.CFG y después se
guarda la configuración.
Config>set file-cfg
Config Media: Flash only
A:
GENERAL
Current config: GENERAL
File name [GENERAL]? SSH_SERV
Config>save
392
01/16/08
ROUTER TELDAT – Configuración Protocolo SSH
II - 65
10:18
Flash
Doc.DM787
Rev.10.80
Save configuration (Yes/No)? y
Building configuration as text... OK
Writing configuration... OK on Flash as SSH_SERV
Config>
La configuración guardada puede verse ejecutando SHOW CONFIG:
Config>show config
; Showing Menu and Submenus Configuration for access-level 15 ...
; ATLAS50 Router 9 24 Version 10.7.12-Alfa
log-command-errors
no configuration
user teldat hash-password 17BC63FEA1F40F68187E6C435E412BB7
;
;
network ethernet0/0
; -- Ethernet Interface User Configuration -ip address 192.168.121.33 255.255.0.0
;
;
;
;
;
exit
;
;
;
;
;
set telnet
; -- Telnet user configuration -set max-telnets 0
exit
;
;
;
;
feature ssh
; -- SSH protocol configuration -server
; -- SSH Server -authentication public-key
; -- Public-Key configuration in SSH server -key cliente1
user teldat
;
add "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAIBOcV+xGKKNuQ4GXE"
add MvbJ09ib9kmArxHrlvmtXtnZdnyW2KOLcCIbwWWZoqr6O2LPuw
add rhE/K2/nKe0Q+7U3K8aVmNLEtv/0DR61dYZGuLsto4nX8XbwST
add Lg3KF3EexE5AzP6ETM3tMSpd0OoJPYRxB0xUJGqrO/F+lJYu5Q
end "O0PtqQ== rsa-key-20080206"
exit
;
exit
;
enable
exit
;
exit
;
dump-command-errors
end
Config>
De acuerdo con lo mostrado, parece que en la configuración no se guardaran las host-keys que se han
generado. El motivo es que no se muestran al hacer un SHOW CONFIG, pero forman parte del
archivo de configuración. Obteniendo el archivo por FTP, o ejecutando el comando LIST HOSTKEY ALL del menú de SSH, se comprueba que dichas claves están guardadas en la configuración. En
cuanto a la clave pública para la autenticación, es opcional y depende de las claves de los clientes.
ROUTER TELDAT – Configuración Protocolo SSH
II - 66
Doc.DM787
Rev.10.80
h) Reiniciado de equipo
La configuración estática básica está completa. Para que tome efecto, el equipo necesita ser reiniciado.
Config>end
*restart
Are you sure to restart the system(Yes/No)? y
Done
Restarting. Please wait .................................................
Una vez completado, el servidor SSH estará en funcionamiento y a la espera de nuevos clientes. Si
antes no se disponía de cuenta de usuario, se observa que ahora el equipo pide usuario y contraseña
para acceder al router por consola, si es el caso. Se recuerda que, en el ejemplo realizado, el usuario
era “teldat” y la contraseña, “secreto”.
Si desea comprobar que el servidor está a la escucha:
*p 3
Console Operator
+protocol ip
-- IP protocol monitor -IP+tcp-list
LOCAL ADDR
-------------0.0.0.0
0.0.0.0
0.0.0.0
IP+
LOCAL PORT
---------21
23
22
REMOTE ADDR
-------------0.0.0.0
0.0.0.0
0.0.0.0
REMOTE PORT
----------0
0
0
STATE
-------LISTEN
LISTEN
LISTEN
Se observa en la tabla de conexiones de TCP, que se encuentra en la monitorización del protocolo IP,
que el equipo escucha a la espera de nuevas conexiones en el puerto 22; si en la configuración de SSH
se ha cambiado el puerto de escucha por otro puerto no estandarizado, ése es el que aparece.
ROUTER TELDAT – Configuración Protocolo SSH
II - 67
Doc.DM787
Rev.10.80
Capítulo 3
Monitorización
1. Monitorización de conexiones SSH
Se dispone de un comando de monitorización para observar las conexiones SSH en curso. Para
ejecutarlo, desde el prompt de consola (+), se debe introducir el siguiente comando:
*p 3
Console Operator
+system ssh
Time unit: minutes
ID USER
LEVEL
IP ADDRESS:PORT
CONNECTION-TIME INACTIV-TIME IDLETIME TIMEOUT
--------------------------------------------------------------------------------------0
1
teldat 15
teldat 15
Local Console 06/02/08 16:15:29
192.168.51.155:4851 06/02/08 16:30:48
3
0
0
10
0
0 *
+
Este comando ha sido ejecutado desde una consola remota, por SSH. La información que se muestra
es, de izquierda a derecha:
• Un número de usuario, diferente para cada sesión de consola.
• Nombre del usuario, el que introdujo al autenticarse.
• Nivel de privilegio del usuario.
• Dirección IP origen y puerto, o “Local Console” si corresponde a la consola local.
• Instante temporal en el que se conectó.
• Tiempo de inactividad en la consola, sin intercambio de datos.
• Tiempo máximo permitido sin actividad. 0 si no hay límite.
• Tiempo máximo permitido de sesión. 0 si no hay límite.
• Asterisco en la fila que corresponde a la sesión de consola que ejecutó el comando.
En cuanto al tiempo de inactividad, si se sobrepasa el intervalo fijado en SET INACTIVITYTIMER, la sesión de consola se cierra automáticamente.
ROUTER TELDAT – Monitorización Protocolo SSH
III - 69
Doc.DM787
Rev.10.80