Router Teldat - asistp.com · “malicioso” no pueda usurpar su identidad. Aunque el método de...

Router Teldat Protocolo SSH

Doc. DM787 Rev. 10.80 Agosto, 2011

- ii -

ÍNDICE Capítulo 1 Introducción .................................................................................................... 1

1. Introducción al protocolo ................................................................................................... 2 1.1. Fases de una conexión SSH .................................................................................... 3

2. Servidor SSH ...................................................................................................................... 5 2.1. Autenticación del servidor ...................................................................................... 5 2.2. Autenticación del cliente ......................................................................................... 5

3. Cliente SSH ........................................................................................................................ 7 Capítulo 2 Configuración .................................................................................................. 8

1. Acceso al menú de configuración de SSH ......................................................................... 9 2. Menú principal del protocolo SSH ..................................................................................... 10

2.1. ? (AYUDA) ............................................................................................................. 10 2.2. HOST-KEY............................................................................................................. 10

a) HOST-KEY DSA GENERATE ................................................................................. 12 b) HOST-KEY DSA INSERT ........................................................................................ 12 c) HOST-KEY RSA GENERATE [NUM_BITS] .......................................................... 13 d) HOST-KEY RSA INSERT ........................................................................................ 13 e) HOST-KEY RSA1 GENERATE [NUM_BITS] ........................................................ 14 f) HOST-KEY RSA1 INSERT ...................................................................................... 14

2.3. LIST ........................................................................................................................ 15 a) LIST ALL ................................................................................................................. 15 b) LIST HOST-KEY ..................................................................................................... 18

• LIST HOST-KEY ALL ............................................................................... 18 • LIST HOST-KEY DSA ............................................................................... 20 • LIST HOST-KEY RSA ............................................................................... 20 • LIST HOST-KEY RSA1 ............................................................................. 22

c) LIST SERVER .......................................................................................................... 23 2.4. NO ........................................................................................................................... 23

a) NO HOST-KEY ....................................................................................................... 23 • NO HOST-KEY DSA .................................................................................. 24 • NO HOST-KEY RSA .................................................................................. 24 • NO HOST-KEY RSA1 ................................................................................ 24

2.5. SERVER ................................................................................................................. 24 2.6. EXIT ....................................................................................................................... 25

3. Menú del servidor SSH ...................................................................................................... 26 3.1. ACCOUNTING ...................................................................................................... 26

a) ACCOUNTING COMMANDS ................................................................................ 27 b) ACCOUNTING EXEC ............................................................................................ 27

3.2. AUTH-TIME .......................................................................................................... 27 3.3. AUTHENTICATION ............................................................................................. 27

a) AUTHENTICATION PASSWORD .......................................................................... 28 b) AUTHENTICATION PUBLIC-KEY ........................................................................ 28

• ENABLE ..................................................................................................... 29 • KEY [NOMBRE] ........................................................................................ 29 • NO ............................................................................................................... 31 • EXIT ............................................................................................................ 32

c) AUTHENTICATION RSA ....................................................................................... 32 • ENABLE ..................................................................................................... 33 • KEY [NOMBRE] ........................................................................................ 33 • NO ............................................................................................................... 35 • EXIT ............................................................................................................ 36

3.4. AUTHORIZATION ................................................................................................ 36 a) AUTHORIZATION EXEC ....................................................................................... 36 b) AUTHORIZATION COMMANDS ........................................................................... 37

- iii -

3.5. CIPHERS ................................................................................................................ 37 a) CIPHERS [NOMBRE] ............................................................................................ 37

3.6. CLIENT-ALIVE ..................................................................................................... 38 a) CLIENT-ALIVE INTERVAL [TIEMPO] ................................................................. 38 b) CLIENT-ALIVE MAX-COUNT [CONTADOR] ...................................................... 38

3.7. COMPRESSION ..................................................................................................... 39 a) COMPRESSION YES .............................................................................................. 39 b) COMPRESSION NO ............................................................................................... 39 c) COMPRESSION DELAYED ................................................................................... 39

3.8. ENABLE ................................................................................................................. 40 3.9. EPHEMERAL-KEY ............................................................................................... 41

a) EPHEMERAL-KEY BITS [NUM_BITS] ................................................................. 41 b) EPHEMERAL-KEY REGENERATION-INTERVAL [TIEMPO] ............................. 41

3.10. KEEP-ALIVE ......................................................................................................... 41 3.11. LIST ........................................................................................................................ 42

a) LIST ALL ................................................................................................................. 42 b) LIST AUTH-TIME ................................................................................................... 44 c) LIST AUTHENTICATION ....................................................................................... 44

• LIST AUTHENTICATION PASSWORD .................................................. 45 • LIST AUTHENTICATION PUBLIC-KEY ................................................ 46 • LIST AUTHENTICATION RSA ................................................................ 46

d) LIST CIPHERS ........................................................................................................ 47 e) LIST CLIENT-ALIVE .............................................................................................. 47

• LIST CLIENT-ALIVE INTERVAL ............................................................ 47 • LIST CLIENT-ALIVE MAX-COUNT ....................................................... 47

f) LIST COMPRESSION ............................................................................................. 48 g) LIST ENABLE ......................................................................................................... 48 h) LIST EPHEMERAL-KEY ........................................................................................ 48

• LIST EPHEMERAL-KEY BITS ................................................................. 48 • LIST EPHEMERAL-KEY REGENERATION-INTERVAL ...................... 49

i) LIST KEEP-ALIVE .................................................................................................. 49 j) LIST MACS ............................................................................................................. 49 k) LIST MAX-AUTH-TRIES ........................................................................................ 49 l) LIST MAX-CONNECTIONS ................................................................................... 50 m) LIST PORT .............................................................................................................. 50 n) LIST VERSION ........................................................................................................ 50

3.12. LOGIN .................................................................................................................... 50 3.13. MACS ..................................................................................................................... 51

a) MACS [NOMBRE] .................................................................................................. 51 3.14. MAX-AUTH-TRIES .............................................................................................. 51 3.15. MAX-CONNECTIONS .......................................................................................... 52 3.16. NO ........................................................................................................................... 52

a) NO ACCOUNTING ................................................................................................. 53 b) NO AUTH-TIME ..................................................................................................... 53 c) NO AUTHENTICATION PASSWORD.................................................................... 53 d) NO AUTHORIZATION ........................................................................................... 53 e) NO CIPHERS .......................................................................................................... 54 f) NO CLIENT-ALIVE ................................................................................................ 54

• NO CLIENT-ALIVE INTERVAL .............................................................. 54 • NO CLIENT-ALIVE MAX-COUNT .......................................................... 55

g) NO COMPRESSION ............................................................................................... 55 h) NO ENABLE ........................................................................................................... 55 i) NO EPHEMERAL-KEY .......................................................................................... 55

• NO EPHEMERAL-KEY BITS .................................................................... 56 • NO EPHEMERAL-KEY REGENERATION-INTERVAL ........................ 56

j) NO KEEP-ALIVE .................................................................................................... 56 k) NO LOGIN .............................................................................................................. 56

- iv -

l) NO MACS................................................................................................................ 56 m) NO MAX-AUTH-TRIES .......................................................................................... 57 n) NO MAX-CONNECTIONS ..................................................................................... 57 o) NO PORT ................................................................................................................ 57 p) NO VERSION .......................................................................................................... 57

3.17. PORT ...................................................................................................................... 58 3.18. VERSION ............................................................................................................... 58 3.19. EXIT ....................................................................................................................... 58

4. Pasos para una buena configuración de SSH...................................................................... 60 4.1. Configuración del servidor ...................................................................................... 60

a) Creación de usuario y contraseña .......................................................................... 60 b) Compatibilidad de versiones ................................................................................... 61 c) Elección de las host-keys ........................................................................................ 61 d) Activación del servidor ........................................................................................... 63 e) Opciones avanzadas del servidor ............................................................................ 64 f) Sobre Telnet ............................................................................................................ 65 g) Guardado de la configuración ................................................................................ 65 h) Reiniciado de equipo ............................................................................................... 67

Capítulo 3 Monitorización ................................................................................................ 68 1. Monitorización de conexiones SSH ................................................................................... 69

Capítulo 1 Introducción

ROUTER TELDAT – Introducción Protocolo SSH

I - 2 Doc.DM787

Rev.10.80

1. Introducción al protocolo

SSH (Secure Shell) es un protocolo para acceso (login) remoto con seguridad, además de otros servicios de red seguros sobre una red no segura.

La arquitectura de SSH está formada por tres componentes:

• Protocolo de nivel de transporte: Proporciona autenticación del servidor, por lo que el cliente puede verificar la autenticidad del servidor al que se conecta. Aporta también a la conexión confidencialidad e integridad con Perfect Forward Secrecy. Esta propiedad indica que las claves empleadas en cada sesión se generan a partir de un material único, y se consigue gracias a un intercambio de claves de Diffie-Hellman.

• Protocolo de autenticación de usuario: El cliente se autentica frente al servidor, de forma que únicamente se establece una conexión con usuarios permitidos por el servidor en su configuración.

• Protocolo de conexión: Multiplexa la conexión encriptada y autenticada en un conjunto de canales lógicos. Proporciona una serie de servicios, entre los que se encuentra el acceso a terminal remoto.

El tráfico de SSH se intercambia típicamente sobre una conexión TCP/IP. El puerto de escucha del servidor SSH asignado por IANA (Internet Assigned Numbers Authority) es el 22.

El protocolo SSH dispone de dos versiones en la actualidad:

• La primera versión, la originaria históricamente, no se encuentra estandarizada por el IETF (Internet Engineering Task Force). Inicialmente se distribuyó con licencia libre, pero los siguientes desarrollos, aún pertenecientes a la primera versión, dejaron de ser libres. Estaban además sujetos a patentes y restricciones gubernamentales, permitiendo su uso sólo para fines no comerciales. Por otra parte, se han descrito un conjunto de vulnerabilidades que hacen esta versión no recomendable.

• La segunda versión ha sido estandarizada por el IETF bajo el nombre de SSH, apoyada también por el proyecto OpenSSH, cuyo objetivo era desarrollar una implementación libre y portable del protocolo. La mayoría de las distribuciones de SSH presentes en el mercado, tanto de clientes como servidores, usan esta versión, que soluciona los riesgos encontrados en la primera, además de emplear mecanismos de cifrado más robustos.


I - 3 Doc.DM787

Rev.10.80

1.1. Fases de una conexión SSH

En primer lugar, una vez establecida la conexión TCP/IP, cliente y servidor se intercambian una cadena de caracteres en la que se notifican sus versiones de SSH. Cuando el servidor soporta tanto la versión 1 como la 2, indica que tiene implementada la versión “SSH-1.99”. Si las versiones de ambos son compatibles, se inicia una negociación de parámetros. A continuación se describe el resto del proceso para SSHv2.

Entre los parámetros negociados se encuentran los algoritmos de intercambio de claves KEX (Key EXchange), el tipo de clave del servidor, los algoritmos de cifrado posibles, los algoritmos disponibles de detección de errores MAC (Message Authentication Code), métodos de compresión, etc. Si ambas partes llegan a un acuerdo, se inicia el intercambio de claves, en el que se autentica el servidor y se genera una clave de cifrado a emplear en esta sesión únicamente.

Esta clave es la que se emplea para el cifrado de toda la comunicación, hasta que se considere oportuno un nuevo intercambio de claves, bien por tiempo transcurrido o por tráfico enviado. A partir de este momento se considera que la conexión proporciona confidencialidad e integridad entre cliente y servidor.


I - 4 Doc.DM787

Rev.10.80

Una vez que la conexión es segura, el cliente intenta autenticarse frente al servidor, empleando uno de los métodos permitidos por este último. Para dificultar la autenticación de clientes no deseados, el servidor limita tanto los intentos de autenticación como el tiempo disponible para realizarla.

En último lugar, cuando se ha comprobado la identidad del cliente, éste intenta acceder al conjunto de servicios proporcionados por el servidor sobre la conexión segura. Corresponde al servidor la tarea de permitirle el acceso a dichos servicios según los privilegios de acceso del cliente, o según las funcionalidades que deseen ofertarse.


I - 5 Doc.DM787

Rev.10.80

2. Servidor SSH

Un servidor SSH proporciona una conexión de red segura a un cliente SSH. Como mínimo, pone a disposición del cliente el acceso por consola o terminal remoto al equipo servidor, que es la funcionalidad que da nombre al protocolo (Consola Segura). La especificación del protocolo ofrece actualmente un mayor abanico de servicios opcionales, entre los que se encuentran la transferencia de ficheros sobre SSH (SFTP), o el Port-Forwarding, que proporciona un túnel seguro para el intercambio de datos entre otras aplicaciones.

En cuanto a las versiones del protocolo, el servidor puede ser compatible con SSHv1, con SSHv2 o con ambos. Aunque se aconseja emplear SSHv2 por el riesgo de seguridad detectado en la primera versión, existen todavía implementaciones de clientes que sólo soportan SSHv1, forzando la compatibilidad hacia atrás en muchos servidores SSH.

2.1. Autenticación del servidor

Para la autenticación del servidor, es necesario que éste disponga de una clave que lo identifique unívocamente en la red, la host-key. Según la versión de SSH soportada, dicha clave ha de ser de un tipo específico. En la primera versión, el servidor debe contar con una clave RSA, habitualmente llamada RSA1 en este caso. Para la segunda versión, la clave puede ser RSA o DSA (Digital Signature Algorithm), teniendo la posibilidad de negociarse una u otra. Con el fin de posibilitar el acceso a clientes que exijan un tipo concreto, el servidor podría contar con una clave de cada tipo. Estas claves se descomponen en una parte pública y otra privada. La parte pública se debe distribuir a todos los clientes que deseen iniciar una conexión SSH, de forma que verifiquen que el servidor al que se intentan conectar es el esperado. Las diferentes distribuciones de clientes existentes en el mercado almacenan dicha información tras la primera vez que se inicia una conexión con un servidor, recordando su dirección IP y puerto. En ese momento avisan de que el servidor es desconocido, siendo obligación del cliente verificar que la clave pública recibida se asocia al servidor deseado. En las sucesivas conexiones SSH que se inicien desde el mismo cliente con dicho servidor, se comprueba que la clave pública obtenida es igual que la almacenada; en caso contrario, la aplicación alerta de una posible brecha en la seguridad, siendo de nuevo responsabilidad del cliente la decisión de confiar en la nueva clave recibida, reconocible por su huella (fingerprint).

En cuanto a la parte privada, el servidor debe protegerla celosamente para que otro servidor “malicioso” no pueda usurpar su identidad. Aunque el método de almacenar la clave privada es dependiente de la implementación, es habitual guardar la información de la clave pública junto con la privada. Para añadir confidencialidad a la clave, se almacena cifrada.

2.2. Autenticación del cliente

Una vez que se ha establecido una comunicación segura, el cliente debe autenticarse frente al servidor, por lo que este último debe registrar cuentas de acceso para los posibles clientes permitidos, junto con sus restricciones o privilegios. No resulta coherente con la filosofía de SSH permitir el acceso a


I - 6 Doc.DM787

Rev.10.80

usuarios no registrados, o sin contraseña, ya que, aunque el canal esté cifrado, cualquier cliente tendría acceso al servidor, perdiendo el control sobre los usuarios permitidos.

El servidor puede limitar el tiempo disponible para la autenticación, así como establecer un número máximo de intentos. Existen múltiples métodos de autenticación, todos ellos formados por un nombre de usuario y otro componente, que se explica más adelante. A menudo, la implementación del servidor no permite cambiar este nombre de usuario para cada nuevo intento, por lo que si se ha introducido un nombre de usuario erróneo, sería necesario reiniciar la conexión.

Entre los mecanismos existentes, se encuentran:

• Contraseña (password). El servidor comprueba que los campos de usuario y contraseña proporcionados por el cliente, que ya se transmiten cifrados, se corresponden con los registrados; se asignan al usuario los permisos asociados.

• Autenticación por clave pública RSA para SSHv1. El servidor almacena en su configuración la parte pública de la clave RSA1 del cliente, de forma que podrá identificarle una vez que éste use su parte privada para crear una firma.

• Autenticación por clave pública (public key) para SSHv2. Dicha clave puede ser de nuevo RSA o DSA, y el mecanismo es similar al anterior, aunque varía la forma de guardar la clave.

El cliente tiene la opción de elegir qué método de autenticación emplear entre los que el servidor ponga a su disposición, pudiendo requerir el uso de más de uno.


I - 7 Doc.DM787

Rev.10.80

3. Cliente SSH

La configuración del cliente SSH es, según la implementación, muy significativa. Mientras que el servidor restringe las opciones posibles para los parámetros de la negociación (cifrado, métodos de autenticación, etc.), el cliente es el que escoge de entre dichas opciones a partir de un sistema de prioridades. Por ejemplo, un servidor permite el uso de compresión, pero el cliente se configura para no emplearla, lo que prevalece sobre las preferencias del servidor. El parámetro principal a configurar es la versión de SSH con la que establecer la conexión.

Para la autenticación del servidor, el cliente guarda un registro de las claves públicas de los servidores SSH a los que se ha conectado. La primera vez avisa al usuario de que la clave es desconocida, y si en una próxima ocasión no coincide con el valor almacenado, alerta de un posible riesgo de seguridad.

En cuanto a la autenticación del cliente, éste tiene la opción de escoger entre los mecanismos permitidos por el servidor. En el apartado referente al servidor SSH se han comentado algunos de los métodos de autenticación estandarizados, que en primer lugar necesitan un nombre de usuario; habitualmente no se puede modificar dicho nombre en sucesivos intentos de autenticación. Para los métodos mencionados, la perspectiva del cliente es:

• Contraseña (password). La aplicación cliente almacena la contraseña con la que autenticarse frente al servidor o bien se la pide al usuario en cada intento de autenticación que se realice.

• Autenticación por clave pública RSA para SSHv1. El cliente guarda en su configuración la ruta al archivo con la clave privada RSA1, que tiene formato estándar. Para poder utilizar su clave para autenticarse, debe configurar previamente el servidor, registrando en él su clave pública; durante el proceso, si la clave está protegida por contraseña, se le pide al usuario que la introduzca si quiere utilizarla. Por otra parte, los clientes SSH suelen tener asociada una aplicación para la generación de claves, e incluso agentes para tener las claves ya cargadas y que no sea necesario escribir su contraseña (passphrase).

• Autenticación por clave pública (public key) para SSHv2. Como con la clave RSA1, el cliente debe almacenar la ruta al archivo con la clave privada a usar, cuyo formato varía según el cliente; entre los formatos más destacados: OpenSSH (formato PEM de OpenSSL), ssh.com (marca comercial) y Putty. Sigue siendo necesario configurar en el servidor la parte pública de la clave, para que éste la acepte, así como introducir su contraseña en tiempo de ejecución si está protegida.

Por último, si el objeto de la conexión es abrir una consola remota, el cliente debe crear un terminal con el que permitir la interacción entre el usuario y el equipo servidor.

Capítulo 2 Configuración

ROUTER TELDAT – Configuración Protocolo SSH

II - 9 Doc.DM787

Rev.10.80

1. Acceso al menú de configuración de SSH

En este capítulo se describen los pasos requeridos para configurar el protocolo SSH, comenzando por el acceso al menú del protocolo. Los siguientes apartados describen el proceso de configuración con más detalle.

En primer lugar, se debe entrar en el menú de configuración del equipo. Para el caso de querer modificar la configuración estática:

*config Config>

Para acceder al entorno de configuración SSH, desde el prompt Config> (configuración estática), o desde Config$ (configuración dinámica), se debe introducir el siguiente comando:

Config>feature ssh -- SSH protocol configuration -- SSH Config>


II - 10 Doc.DM787

Rev.10.80

2. Menú principal del protocolo SSH

En este apartado se listan y explican los comandos del menú de configuración de SSH. Actualmente, sólo se dispone del servidor SSH, que necesita a su vez de unas claves propias del equipo (host-keys). Dado que dichas claves identifican a todo el equipo, no sólo al servidor, se encuentran en un comando aparte. A continuación se muestran los comandos disponibles en el menú principal del protocolo:

Comando Función ? (AYUDA) Lista los comandos disponibles o las opciones asociadas con un comando

específico. HOST-KEY Permite generar o insertar claves de equipo. LIST Muestra los valores de cada uno de los parámetros de configuración,

incluyendo las claves privadas del equipo. NO Borra el valor configurado de un parámetro, dejándolo a su valor por defecto.

En el caso de claves, las elimina completamente. SERVER Entra en el menú de configuración del servidor SSH. EXIT Vuelve al prompt Config>.

2.1. ? (AYUDA)

Use el comando ? (AYUDA) para listar los comandos que están disponibles en el nivel donde se está programando el router. También puede utilizarse a continuación de un comando específico para listar sus opciones. Está disponible para todos los submenús y comandos.

Sintaxis:

SSH config>?

Ejemplo:

SSH Config>? host-key Host key configuration list Display protocol configuration no Negate a command or set its defaults server Server configuration exit SSH Config>

2.2. HOST-KEY

Mediante el comando HOST-KEY, que es sólo estático, se posibilita la generación de nuevas claves o su inserción a partir de claves previamente generadas. Se encuentran los siguientes subcomandos:

Comando Función DSA Host-key de tipo DSA (para versión 2). RSA Host-key de tipo RSA (para versión 2). RSA1 Host-key de tipo RSA1 (para versión 1).


II - 11 Doc.DM787

Rev.10.80

El equipo sólo puede tener una host-key de cada tipo, aunque su existencia no es siempre obligatoria. Si el servidor sólo va a ser compatible con SSHv2, no es necesaria una clave RSA1; análogamente, si sólo va a ser compatible con SSHv1 (no se recomienda), no son necesarias las claves DSA ni RSA. Por otra parte, cuando la versión del servidor incluye SSHv2, no hacen falta las dos claves de la versión (RSA y DSA); así que, en la mayoría de los casos, es suficiente con disponer de una host-key RSA o DSA. El motivo de tener ambas es permitir la interoperabilidad con un cliente SSH que le exigiera al servidor emplear un tipo de clave concreto.

Por defecto, el equipo no dispone de ninguna host-key, pero cuando se habilita el servidor SSH, se generan automáticamente las mínimas claves necesarias según la versión de SSH. Si está configurado para operar con SSHv1 y SSHv2, se generan las claves RSA1 y RSA con 1024 bits; si sólo una versión está habilitada, se genera la clave correspondiente. Por defecto, no se genera la clave DSA. En el caso de que el usuario borre las host-keys configuradas, estando el servidor habilitado, cuando éste arranca al reiniciar el equipo, intenta cargar las claves; si no encuentra alguna de las necesarias, las genera automáticamente, correspondiendo al usuario la tarea de salvar la configuración dinámica si quiere conservarlas.

Una host-key está formada por una parte pública y otra privada. En la host-key se guarda toda la información, de forma que, junto con la parte privada, se encuentra también la pública. A pesar de que la parte pública se distribuye libremente, ya que cualquier cliente que inicie una conexión SSH con el servidor la obtiene, la parte privada debe protegerse. En consecuencia, el contenido de la host-key no debe divulgarse, y se protege mediante cifrado.

En cuanto a la forma de almacenar las claves, las host-keys se guardan en el archivo de configuración, de forma que el equipo siempre conserve sus mismas host-keys. Si se modificase alguna de ellas, los clientes que hubieran registrado dicha clave pública antigua del servidor, informan de que no coincide con la almacenada. Aunque se guardan en la configuración, no se muestran al usuario al emplear el comando SHOW CONFIG, dado que no le aportan información relevante y no deben portarse entre equipos diferentes. Las claves deben ser únicas para cada equipo, con tal de que lo identifiquen unívocamente, pero aún así se proporcionan mecanismos para conservar dichas claves entre distintas configuraciones.

Para mostrar el contenido de las host-keys, se debe usar el comando LIST HOST-KEY [TIPO], mientras que para introducir en el equipo una clave previa, se dispone de HOST-KEY [TIPO] INSERT. Por último, como se ha indicado anteriormente, las host-keys se guardan también en el archivo de configuración; por tanto, si éste se copia en distintos equipos, hay que prestar atención a generar unas claves únicas para cada uno de ellos.

Dentro de cada subcomando, para cada uno de los tipos de claves, se encuentran las siguientes opciones:

Comando Función GENERATE Genera una host-key del tipo indicado. INSERT Permite insertar una host-key previamente generada mediante pegado de texto.

El proceso de generación de claves requiere un tiempo que varía en función del número de bits, del algoritmo empleado y del equipo, y puede llegar a durar varios minutos en el caso más desfavorable. Sin embargo, esta generación de claves no debe realizarse más de una vez por equipo. Una vez generada la host-key, se muestra por consola la clave pública y el fingerprint o huella. Al menos este fingerprint, resultante de realizar un MD5 de la clave pública, ha de suministrarse a los futuros clientes SSH, para que verifiquen visualmente la autenticidad del servidor.


II - 12 Doc.DM787

Rev.10.80

a) HOST-KEY DSA GENERATE Genera la host-key del tipo DSA (también llamado DSS) con 1024 bits, para SSHv2. La longitud es fija, ha de tener 1024 bits. Si el equipo ya disponía de ella, se sobrescribe la antigua.

Sintaxis:

SSH config>host-key dsa generate

Ejemplo:

SSH Config>host-key dsa generate Generating public/private dsa key pair... Please wait for a few seconds. Key generation done. Public key: ssh-dss AAAAB3NzaC1kc3MAAACBAMBl0OdknSG228cLtQ+6z/BwizJo2ijElXRI JkoLAFO0q+ACbA6fe8wo+9Hy4RjAyoO6HWtUXbuuO7fDFoIqOWLYLM0t5jNfI1g+ yiezyrNyRFcffwslKezZ6XjV6CQESGX2zj+SQxWKeVx++FdsIx2NG4zaCRNmtTdX MDfLIRrFAAAAFQDod41UuyTQ9tIvdOF+tXvf5ZyzoQAAAIEAvYPpolQj6lbrhIhp q7U+b1SJTBQIruXRco11bym2O91kHM0EVIZm0ZyHaBvwkyEeCno8WCE6KI9X52XK ROow2Es45FqsvGR1sJleDyVxsjbLU4eRwHLLSgQ1ORdzTH1ic+oFpplaPZOmvZeu uCHoRnUne/jgJHaF4rSquBrn+aYAAACBAJu1xPY74hvhi1fy9L6HP5v5bu3lAxQK W2eH+zYONKhNHOrC2Xs8Mt7adhPDQRabXxtPA4PLwo0uVKuBcufvqaKLs/llzNaJ ghxwS1wR9W3IdAX4FQkJ6HZ7plQx1lT+ZwIA7JpZcKNChDwMPNM/iDHcoRO0+Kga 9X12KiA5Bcew The key fingerprint is: 97:53:9d:25:21:8b:76:49:09:5d:e9:6c:4c:f6:8e:56 SSH Config>

Para más información sobre la clave privada, consultar el comando LIST HOST-KEY DSA.

b) HOST-KEY DSA INSERT Permite la inserción de una host-key conocida de tipo DSA en el equipo, que debe haber sido generada por un equipo Teldat. En caso contrario, no se muestra ningún error al usuario, pero cuando el servidor intenta cargarla al iniciarse, la clave no se considera válida; en ese momento, se genera una nueva clave, avisando de ello mediante un evento.

Sintaxis:

SSH config>host-key dsa insert

Ejemplo:

SSH Config>host-key dsa insert Enter the host key (PEM format) <cr> to escape -----BEGIN DSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,82AECC6A19793195 hU6tMIxW/GDAuugsnC++ROI3NDZcGNIlJFaoXhrhYuWHINXSXwihfKT0UgBtG7F2 FutmdkEYAytkog5MLDK0+DCEmWs/9M/UkRmcYlYkJachv+UWvgDpMvfbVk50zRo/ X3Oq6TAuT4voArLcb71GOtqHQKEeGi1lhUy3UffkN0WJYbqoImFzMa8cQTVaDDvH 4DwnHSOlLWUIy/dCJOJiz0FuGNVqmp0Y5mZthcG7LdFWoHoQrlsa3+El0191/zAM Yq3yMkvUkp4KrxDkOA5jvHJGu/futCXq2dvGatQog1041DAqVZKiRT8RHVr8xK0m oSglm3KpW13rxpwfCAFbgHJMXPX447zr/tXOKS9P0Srl/YW0msbwRdw1uRnHKbWH bO6XtfJld98Z2QdUcxrMdc9dvxtDqAF9q84TjxqofrX+ZB/q83iYtcBR55IFh3eh NrBZgivEw5ZOJxIhZ0stBafsxn8hBloDdReVzxbyODfChLUKKtID8njuV1AH/O1j 3rWrer7nZnaquvRDGvYw+UBGrZL6X/0el0lbMjjJvHegqg1KLRT/Vj3lNqiPWnMz gRBMIws4n1IkH138mm83YrKEOq3Agaa4 -----END DSA PRIVATE KEY----- SSH Config>


II - 13 Doc.DM787

Rev.10.80

Para más información sobre la clave privada, consultar el comando LIST HOST-KEY DSA.

c) HOST-KEY RSA GENERATE [NUM_BITS] Genera la host-key del tipo RSA con el número de bits especificado, entre 768 y 2048, para SSHv2. Una longitud de 1024 bits debe ser suficiente en la mayoría de los casos. Si el equipo ya disponía de la clave, se sobrescribe la antigua.

Sintaxis:

SSH config>host-key rsa generate <num_bits>

Ejemplo:

SSH Config>host-key rsa generate 2048 Generating public/private rsa key pair... Please wait for a few seconds. Key generation done. Public key: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA0ayDS70qND+k4ZtyFs8LifniAHFR InD/Ygii0CoSj8YCXdr2e8ahEFmt0fvc9N53+blBDPGdo7cVBrC1BmY4ocWH+ZRp dpsTjD4mQ33ARJcvypyQq1ipfwXsp2E1QeQD6CiNAoZAl2qAlvBxBkbIt6UZBfVe Vo0LzbXCDzzLOvCXSwxxiLf2ktwFsY9XBak9jYJcDs8nEwwhwDNnfhn8tJ8ZnNjv mmSfjykdqbCSiUUImY4xjBSsgIZbuPeBLnjGQTcxhZiZ58ASw+799FScBwcjVxjZ Ae6iZlbQmycElpun0DEjEDsdcqJgfypq0XgDaUsOnBjF+axgTN5AlTouvQ== The key fingerprint is: 23:08:e1:2a:ad:fe:37:3e:8f:a0:67:ed:00:f2:3c:24 SSH Config>

Para más información sobre la clave privada, consultar el comando LIST HOST-KEY RSA.

d) HOST-KEY RSA INSERT Permite la inserción de una host-key conocida de tipo RSA en el equipo, que debe haber sido generada por un equipo Teldat. En caso contrario, no se muestra ningún error al usuario, pero cuando el servidor intenta cargarla al iniciarse, la clave no se considera válida; en ese momento, se genera una nueva clave, avisando de ello mediante un evento.

Sintaxis:

SSH config>host-key rsa insert

Ejemplo:

SSH Config>host-key rsa insert Enter the host key (PEM format) <cr> to escape -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,6A1846834A4DA3FC ++QKlzwaKAL8u9G/eYkutMjQPpBIZoV5eQMxNfFzWRlE47T1myBRqFrCFvDXiI4G 1ZMrmvbua0S1GUBZCcGkNpJHk0jP7/AYNMIW1XCHnKPafZ2DkquAZ5BU/IhY4ztz /GZLyVB+AULhG1rQil9P82cqqGp5Cv4VkZdwRJHnLLslij5B5ToCO/ap6krtsCUH rEXfRXf3kXkBvwsNnAve7DMU3EXWzq3TS//u4NRPeVNEVAHp6zooPZhp8LzHPpxh E2ki/h6yBW0+P8/Rzg1jWV8oreaDJfFzPvzhrOdWN4aNJSXZbSXL1hwYdWgouJ+u doaCX1YZzrLLdGcasY3kmSC3N9OwalFnc4i2xyN+lgM/HbYmoljJPJfMV0RCK5S0 KljWhlk4oiRLcmEzIM4+1UjCPP1VWTanxCMmkCMfgmtjun+Dcfq3JGz34xN3GNap e2voWH3vwG196yXmOlHLF0/WsJgQuFkBu1/rrDx65ztNsKumoAAbCEAz5fkHf1T1 2UlZu347I+A4FDUw7/VOluJu9Ey1ffBfQPvc+7Y0IDvxVTkiAHk5ChtUjoWMFCsz iU3I794EJ/YgFoldkg1DT+07pmQTvzTldv078hXKzkWa8JKc+GbE7u08bHVWYV/E 7P8wrwP4tXjH22zRyycS7uRvsX3859A29KwQxFU1fX264SjmLBwdFY6GaLURBIvV OLUxdjnFaDtcsTFjbvxT6/FgWk2dDVrxJJOl+bfxGLgNpFQk16SYJsQwM7LtFQsW


II - 14 Doc.DM787

Rev.10.80

7LkXuuZIwOmTxI1mX7jdGW4VTp7sm8anmRCGCNpEz7n7yyNHKf9KR0rsWZw5sfiN I8opvHfl6ZFpBBweLLtByl5og0WWrbjPcNMNRYPCnKLCP1F9ph+271Mf3PBXMTaj RshZboZLKJqfOE/LYSJjjC3IgHngC4goSd0+4PT0nlCmAW89lrmMKmuUAG2utELy 40IMg8VYAWjZ+sdz+XDgLOKOqud2L7RnsMED67V7ZgrFTWF8AsLwMNmcouLzHNE3 d5DUD7c9MVSISYQvM+XaXo2BE9TzeT7T4xvD03fiQxrv9ncrkwUHutwEENbjOmLL 3fW8bZeNTBudy4j/cJKtLuqHtbrNJNasTcgEicR5G80+Vdjoy7qpd6+zYn5zlSZt fxDoIC3AFX+4BG+iS782dx1moA6IZJjnrn4BxPjPu+iP/Db0XTvn5Q41Z8LRx6Dq XtEFG6i3NTLy84VDKL4V+3wpazrV+tSrLd9KNypfDGJHcBF8gSeJnoq0qP9RaH9U b14qVHCfOP/CMOJeBxMPvz6WHZklpXpaHhCudkHnbABrBYGZ1L1QaPL4hdVtin0b T/l+nPV2HIeYm7nWaZJHp5wtQ8x6hwaW9++AQCpVsWoufbfamipAwfJpet3kkBUI x0Ms5Dg9jzFluR/U2YoQuK2KnXsjmKtmt3f2UuvWrzNSWOAJlGn/H9n1A9UNmjcy +P+ZYO/TirddJockBb/Yy0xDb9nk9zTn5Fyl98H7/UPRPwF2wXgjGHsCR06Y81UV 0Pu0n5lA8d31UXNW00hmC/o9I5xOkn9yz2RBIZ6tH1g0VaDUx2+ZdQ== -----END RSA PRIVATE KEY----- SSH Config>

Para más información sobre la clave privada, consultar el comando LIST HOST-KEY RSA.

e) HOST-KEY RSA1 GENERATE [NUM_BITS] Genera la host-key del tipo RSA1 con el número de bits especificado, entre 768 y 2048, para SSHv1. Una longitud de 1024 bits debe ser suficiente en la mayoría de los casos. Si el equipo ya disponía de la clave, se sobrescribe la antigua. Se denomina RSA1, aunque siga siendo una clave del tipo RSA, porque varía el formato de la host-key tanto al almacenarla como al extraer su parte pública.

Sintaxis:

SSH config>host-key rsa1 generate <num_bits>

Ejemplo:

SSH Config>host-key rsa1 generate 1024 Generating public/private rsa1 key pair... Please wait for a few seconds. Key generation done. Public key: 1024 35 16057888365265681865728790368262211474338653261286008675 3628160808512552132051029598278952540746252528629815617734902917 8821544308825001420149285869943190521116608433238376868953453749 7051077146768055525370142830251653520888464591301926980173404970 0790695642285984523750486329852429527057770945907085394177099 The key fingerprint is: a2:94:6a:b9:39:d5:75:73:5a:f4:d8:cd:35:3c:3e:08 SSH Config>

Se observa que el formato de la parte pública difiere del propio de la clave RSA (SSHv2). Se compone en este caso de la longitud del módulo, seguida de exponente y módulo, todos en base decimal. Para más información sobre la clave privada, consultar el comando LIST HOST-KEY RSA1.

f) HOST-KEY RSA1 INSERT Permite la inserción de una host-key conocida de tipo RSA1 en el equipo, que debe haber sido generada por un equipo Teldat. En caso contrario, no se muestra ningún error al usuario, pero cuando el servidor intenta cargarla al iniciarse, la clave no se considera válida; en ese momento, se genera una nueva clave, avisando de ello mediante un evento.

Sintaxis:

SSH config>host-key rsa1 insert


II - 15 Doc.DM787

Rev.10.80

Ejemplo:

SSH Config>host-key rsa1 insert Enter the host key (base64) <cr> to escape U1NIIFBSSVZBVEUgS0VZIEZJTEUgRk9STUFUIDEuMQoAAwAAAAAAAAQABADkrAMA VHLs6btQpuo/JU3e0t4ZGqaxdeUmNk23hKFzfXGYVOMeA1qvSBvHlnvTHKg7oIah Of6zkTofLnUW3i+okfnAqK2XRJ98woh/enW8Fj6DKk9Pd4Ek1KnuKn8BWPEOU+dJ 7caGmgbfQj1t2crgcqiAYdjGN6LsToT9ytnsSwAGIwAAAA11bmtub3duX3VzZXJA h18uq51TTPQG+P9u7O/fU69F2EGdS5k28PW5wPExDPyiHWGz+D1Z/uHV51XBT+3K CMjnrWPRaiXvnDwAJ1B+isEtUuke1kykQZ6pSTppivQj6oynNPxGSQPcCJqaxLy4 0/9g+tRZW0Kfz+/ELXtuzXl7cc1VZi9uVgFdjCqi+qRbUxmcS/QpgpbJTph895MZ zxVNGSOoR6iA32tyNcJlanpRauN7xAipbrNEQflVZu+H0k67EUb3T1JQ+jJmrZC+ nsB0iBOgXo6s2KM+TdYxU+NQwa7DH0Ag6UJczAvbj+KhofTGIOskztC8Z+k4aVuz 8YvMprTjkoJ+dcjAatCttyGZDMeM9xdYbNQyHAsyXLCvRojB7laS1yG6lZKyUgC1 E3rm52XicGkN5+Yl4pWUZcKdeEUO7GOVn/erkXAcnNaEYUGyKkxLc2Su8Hdhn7tT SSH Config>

Para más información sobre la clave privada, consultar el comando LIST HOST-KEY RSA1.

2.3. LIST

Este comando muestra todo el contenido de la configuración de SSH. Dispone de varios subcomandos para focalizar la parte de la configuración que se desea observar. No se indican los cambios hechos en la configuración por defecto, dado que para ese objetivo existe el comando SHOW CONFIG. En vez de ello, se listan los valores de los parámetros de configuración del protocolo, ya sean valores por defecto o modificados por el usuario. Se dispone de los siguientes subcomandos:

Comando Función ALL Lista toda la configuración del protocolo. HOST-KEY Muestra las host-keys completas presentes en el equipo. SERVER Presenta la configuración del servidor SSH.

Debe observarse que, dependiendo de en qué menú de configuración se ejecute el comando, se muestra la configuración estática o dinámica. Al iniciarse el router, ambas configuraciones coinciden. La excepción se presenta en el caso de que el servidor esté habilitado, no haya host-keys guardadas en configuración, y al no encontrarlas, el servidor las genere, almacenándose en configuración dinámica. El servidor en ejecución hace uso de esas claves, y debe salvarse dicha configuración para conservarlas, además de evitar que el equipo deba generarlas de nuevo cada vez que se inicie.

a) LIST ALL Muestra la información completa de la configuración del protocolo. Es similar a realizar un LIST SERVER ALL seguido de un LIST HOST-KEY ALL.

Sintaxis:

SSH config>list all

Ejemplo:

SSH Config>list all SSH Server configuration: Server status: enabled


II - 16 Doc.DM787

Rev.10.80

Version compatibility: SSHv1 and SSHv2 Listening port: 22 Payload compression: enabled Ciphers: 3des-cbc : available aes128-cbc : available aes192-cbc : available aes256-cbc : available aes128-ctr : available aes192-ctr : available aes256-ctr : available arcfour128 : available arcfour256 : available arcfour : available blowfish-cbc : available cast128-cbc : available Message Authentication Codes: hmac-md5 : available hmac-sha1 : available hmac-ripemd160 : available hmac-sha1-96 : available hmac-md5-96 : available Authentication methods: Password : available Public-key : available Key : pubkey1 Users : admin ssh-dss AAAAB3NzaC1kc3MAAACAdQpx45QBksY+YdceMCv1a7 OYFT/nKkFghAcEE3fGbz4vPJjXpSOIkgTARylPx+uEkmokN9nv RY0CT53r/+QlfxIBW1Z8Nu1TvI8qm0Ea0OYyDI6oEhMZhWFWKH HQmUQy1oCl3ndqgMT4rr3fEl2hbZeujJzrNVY4EQsfSF9KhV8A AAAVAI3hGhP6mxl/FEE7Xva+JfraCwHPAAAAgGMNblPcZeM5Dg bj1Vj/VEhpvAyvCW5E30X8jMl8YvSr7w/qaJoGAIEkgHb8efKT uUBt9nzot+QhLAiTwEe3Nf4GxeH9ifHLRrYTh/jPKTpYucK66O cU4X/9JJzcyUl+eqQDgDWhEPHviUb3EPQTuP19nOA65TBFj3ZB xv+tsftTAAAAgGtEZEcLQmDxsnM5pjelVtdnu7N/MHBTQTw8I+ Pm+BKEOjCiBMFKB/4l5+TL1T1ocP0QCIttx15A9QRCkab4VEJ8 pNIPnrkkNvyuk2BLgnNijwBpdVNfWEi7JSZrzadIJjlXGOcuez tvggqF9CR0f9WveLE2VMiLq7Jf2cp79yt9 dsa-key-2008012 8 Key : pubkey2 Users : client ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAn+U+8tigcZ7FkW lRjEjPW5nMqlH2LMA9SJqJxE1+UVzCrb0VGYmCQkn5fC6ZoRld B2kIPUNjNxss3KU2rRZLPx+k9Jlf9lyz2+LT8oMVKHzN0G7Nh+ ZKakJu8HFweb83VnngW08gf27hy5Cn/lO1dy9t9Ib4dAlWhvf2 n0ozMCach5xRkaDrq8mj1tuGE+OOGEVu8SZIY4NXUw0buJ3Bfi MPMaWnCH7WbhuwtfyqYvY7X9yq5grOf9qTfKXjQ8iZJPdXSNw1 e9FdD1ueLjLZx72a5Pz7UcHJMUwyDmAxGa6jZJYNtiAJobnIV3 HLo+T2r3V5sR5L9qMTR3VN4RNSnw== RSA : available Key : rsa_k Users : client2 1023 37 798458743537890626287808985236489077472652 66812863492943900643652158257944058563390058992294 51173715639607846263338310423413858715325915964374 01387845850415306821103328404262154828502339630126 28427593070313403301129101805661224245159936059098 97875549304327234412468874787807675754117378368916


II - 17 Doc.DM787

Rev.10.80

5017928211763217 rsa-key-20080128 Maximum number of authentication attempts: 6 Maximum time to complete authentication: 2m0s Maximum number of SSH connections: 4 Keep-alive activated: yes Client-alive message parameters: Maximum number of messages sent without response: 3 Interval between messages: 15s Ephemeral server key parameters: Number of bits: 768 Interval to regenerate server key: 1h0m0s SSH Host keys: RSA1 (only for SSHv1) Host key: U1NIIFBSSVZBVEUgS0VZIEZJTEUgRk9STUFUIDEuMQoAAwAAAAAAAAQABADkrAMA VHLs6btQpuo/JU3e0t4ZGqaxdeUmNk23hKFzfXGYVOMeA1qvSBvHlnvTHKg7oIah Of6zkTofLnUW3i+okfnAqK2XRJ98woh/enW8Fj6DKk9Pd4Ek1KnuKn8BWPEOU+dJ 7caGmgbfQj1t2crgcqiAYdjGN6LsToT9ytnsSwAGIwAAAA11bmtub3duX3VzZXJA h18uq51TTPQG+P9u7O/fU69F2EGdS5k28PW5wPExDPyiHWGz+D1Z/uHV51XBT+3K CMjnrWPRaiXvnDwAJ1B+isEtUuke1kykQZ6pSTppivQj6oynNPxGSQPcCJqaxLy4 0/9g+tRZW0Kfz+/ELXtuzXl7cc1VZi9uVgFdjCqi+qRbUxmcS/QpgpbJTph895MZ zxVNGSOoR6iA32tyNcJlanpRauN7xAipbrNEQflVZu+H0k67EUb3T1JQ+jJmrZC+ nsB0iBOgXo6s2KM+TdYxU+NQwa7DH0Ag6UJczAvbj+KhofTGIOskztC8Z+k4aVuz 8YvMprTjkoJ+dcjAatCttyGZDMeM9xdYbNQyHAsyXLCvRojB7laS1yG6lZKyUgC1 E3rm52XicGkN5+Yl4pWUZcKdeEUO7GOVn/erkXAcnNaEYUGyKkxLc2Su8Hdhn7tT RSA (only for SSHv2) Host key: -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,6A1846834A4DA3FC ++QKlzwaKAL8u9G/eYkutMjQPpBIZoV5eQMxNfFzWRlE47T1myBRqFrCFvDXiI4G 1ZMrmvbua0S1GUBZCcGkNpJHk0jP7/AYNMIW1XCHnKPafZ2DkquAZ5BU/IhY4ztz /GZLyVB+AULhG1rQil9P82cqqGp5Cv4VkZdwRJHnLLslij5B5ToCO/ap6krtsCUH rEXfRXf3kXkBvwsNnAve7DMU3EXWzq3TS//u4NRPeVNEVAHp6zooPZhp8LzHPpxh E2ki/h6yBW0+P8/Rzg1jWV8oreaDJfFzPvzhrOdWN4aNJSXZbSXL1hwYdWgouJ+u doaCX1YZzrLLdGcasY3kmSC3N9OwalFnc4i2xyN+lgM/HbYmoljJPJfMV0RCK5S0 KljWhlk4oiRLcmEzIM4+1UjCPP1VWTanxCMmkCMfgmtjun+Dcfq3JGz34xN3GNap e2voWH3vwG196yXmOlHLF0/WsJgQuFkBu1/rrDx65ztNsKumoAAbCEAz5fkHf1T1 2UlZu347I+A4FDUw7/VOluJu9Ey1ffBfQPvc+7Y0IDvxVTkiAHk5ChtUjoWMFCsz iU3I794EJ/YgFoldkg1DT+07pmQTvzTldv078hXKzkWa8JKc+GbE7u08bHVWYV/E 7P8wrwP4tXjH22zRyycS7uRvsX3859A29KwQxFU1fX264SjmLBwdFY6GaLURBIvV OLUxdjnFaDtcsTFjbvxT6/FgWk2dDVrxJJOl+bfxGLgNpFQk16SYJsQwM7LtFQsW 7LkXuuZIwOmTxI1mX7jdGW4VTp7sm8anmRCGCNpEz7n7yyNHKf9KR0rsWZw5sfiN I8opvHfl6ZFpBBweLLtByl5og0WWrbjPcNMNRYPCnKLCP1F9ph+271Mf3PBXMTaj RshZboZLKJqfOE/LYSJjjC3IgHngC4goSd0+4PT0nlCmAW89lrmMKmuUAG2utELy 40IMg8VYAWjZ+sdz+XDgLOKOqud2L7RnsMED67V7ZgrFTWF8AsLwMNmcouLzHNE3 d5DUD7c9MVSISYQvM+XaXo2BE9TzeT7T4xvD03fiQxrv9ncrkwUHutwEENbjOmLL 3fW8bZeNTBudy4j/cJKtLuqHtbrNJNasTcgEicR5G80+Vdjoy7qpd6+zYn5zlSZt fxDoIC3AFX+4BG+iS782dx1moA6IZJjnrn4BxPjPu+iP/Db0XTvn5Q41Z8LRx6Dq XtEFG6i3NTLy84VDKL4V+3wpazrV+tSrLd9KNypfDGJHcBF8gSeJnoq0qP9RaH9U b14qVHCfOP/CMOJeBxMPvz6WHZklpXpaHhCudkHnbABrBYGZ1L1QaPL4hdVtin0b T/l+nPV2HIeYm7nWaZJHp5wtQ8x6hwaW9++AQCpVsWoufbfamipAwfJpet3kkBUI x0Ms5Dg9jzFluR/U2YoQuK2KnXsjmKtmt3f2UuvWrzNSWOAJlGn/H9n1A9UNmjcy +P+ZYO/TirddJockBb/Yy0xDb9nk9zTn5Fyl98H7/UPRPwF2wXgjGHsCR06Y81UV 0Pu0n5lA8d31UXNW00hmC/o9I5xOkn9yz2RBIZ6tH1g0VaDUx2+ZdQ== -----END RSA PRIVATE KEY----- DSA (only for SSHv2) Host key:


II - 18 Doc.DM787

Rev.10.80

-----BEGIN DSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,82AECC6A19793195 hU6tMIxW/GDAuugsnC++ROI3NDZcGNIlJFaoXhrhYuWHINXSXwihfKT0UgBtG7F2 FutmdkEYAytkog5MLDK0+DCEmWs/9M/UkRmcYlYkJachv+UWvgDpMvfbVk50zRo/ X3Oq6TAuT4voArLcb71GOtqHQKEeGi1lhUy3UffkN0WJYbqoImFzMa8cQTVaDDvH 4DwnHSOlLWUIy/dCJOJiz0FuGNVqmp0Y5mZthcG7LdFWoHoQrlsa3+El0191/zAM Yq3yMkvUkp4KrxDkOA5jvHJGu/futCXq2dvGatQog1041DAqVZKiRT8RHVr8xK0m oSglm3KpW13rxpwfCAFbgHJMXPX447zr/tXOKS9P0Srl/YW0msbwRdw1uRnHKbWH bO6XtfJld98Z2QdUcxrMdc9dvxtDqAF9q84TjxqofrX+ZB/q83iYtcBR55IFh3eh NrBZgivEw5ZOJxIhZ0stBafsxn8hBloDdReVzxbyODfChLUKKtID8njuV1AH/O1j 3rWrer7nZnaquvRDGvYw+UBGrZL6X/0el0lbMjjJvHegqg1KLRT/Vj3lNqiPWnMz gRBMIws4n1IkH138mm83YrKEOq3Agaa4 -----END DSA PRIVATE KEY----- SSH Config>

Se describe cada parte del resultado presentado con cada subcomando posible de LIST.

b) LIST HOST-KEY Presenta en la consola las claves propias del equipo. Se dispone a su vez de las siguientes opciones:

Comando Función ALL Lista todas las host-keys presentes en el equipo. DSA Host-key de tipo DSA (para versión 2). RSA Host-key de tipo RSA (para versión 2). RSA1 Host-key de tipo RSA1 (para versión 1).

En este subcomando queda más patente la diferencia entre configuración estática y dinámica. En la primera, se muestra la host-key completa únicamente, que es lo que se guarda en configuración. En la segunda, además de la host-key, se presenta la clave pública con su fingerprint, que se extrae de dicha host-key. Sólo se realiza para la configuración dinámica, a partir de las claves cargadas por el servidor SSH. Dado que los comandos de configuración de host-keys son estáticos, las claves no se pueden modificar ni borrar en configuración dinámica; por tanto, con este listado se presenta la clave pública de la host-key que identifica al equipo en el momento actual.

• LIST HOST-KEY ALL Muestra toda la configuración de las claves del equipo. En el caso de que una de ellas no esté presente, se indica que no la ha encontrado. El resultado de este comando es similar a ejecutar seguidamente los comandos LIST HOST-KEY RSA1, LIST HOST-KEY RSA y LIST HOST-KEY DSA. En este ejemplo, se ejecuta el comando en configuración dinámica (distinguible porque el prompt acaba en “$”).

Sintaxis:

SSH config$list host-key all

Ejemplo:

SSH Config$list host-key all SSH Host keys: RSA1 (only for SSHv1) Host key:


II - 19 Doc.DM787

Rev.10.80

U1NIIFBSSVZBVEUgS0VZIEZJTEUgRk9STUFUIDEuMQoAAwAAAAAAAAQABADkrAMA VHLs6btQpuo/JU3e0t4ZGqaxdeUmNk23hKFzfXGYVOMeA1qvSBvHlnvTHKg7oIah Of6zkTofLnUW3i+okfnAqK2XRJ98woh/enW8Fj6DKk9Pd4Ek1KnuKn8BWPEOU+dJ 7caGmgbfQj1t2crgcqiAYdjGN6LsToT9ytnsSwAGIwAAAA11bmtub3duX3VzZXJA h18uq51TTPQG+P9u7O/fU69F2EGdS5k28PW5wPExDPyiHWGz+D1Z/uHV51XBT+3K CMjnrWPRaiXvnDwAJ1B+isEtUuke1kykQZ6pSTppivQj6oynNPxGSQPcCJqaxLy4 0/9g+tRZW0Kfz+/ELXtuzXl7cc1VZi9uVgFdjCqi+qRbUxmcS/QpgpbJTph895MZ zxVNGSOoR6iA32tyNcJlanpRauN7xAipbrNEQflVZu+H0k67EUb3T1JQ+jJmrZC+ nsB0iBOgXo6s2KM+TdYxU+NQwa7DH0Ag6UJczAvbj+KhofTGIOskztC8Z+k4aVuz 8YvMprTjkoJ+dcjAatCttyGZDMeM9xdYbNQyHAsyXLCvRojB7laS1yG6lZKyUgC1 E3rm52XicGkN5+Yl4pWUZcKdeEUO7GOVn/erkXAcnNaEYUGyKkxLc2Su8Hdhn7tT Public key: 1024 35 16057888365265681865728790368262211474338653261286008675 3628160808512552132051029598278952540746252528629815617734902917 8821544308825001420149285869943190521116608433238376868953453749 7051077146768055525370142830251653520888464591301926980173404970 0790695642285984523750486329852429527057770945907085394177099 Key fingerprint: a2:94:6a:b9:39:d5:75:73:5a:f4:d8:cd:35:3c:3e:08 RSA (only for SSHv2) Host key: Host key not found Public key not found DSA (only for SSHv2) Host key: -----BEGIN DSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,82AECC6A19793195 hU6tMIxW/GDAuugsnC++ROI3NDZcGNIlJFaoXhrhYuWHINXSXwihfKT0UgBtG7F2 FutmdkEYAytkog5MLDK0+DCEmWs/9M/UkRmcYlYkJachv+UWvgDpMvfbVk50zRo/ X3Oq6TAuT4voArLcb71GOtqHQKEeGi1lhUy3UffkN0WJYbqoImFzMa8cQTVaDDvH 4DwnHSOlLWUIy/dCJOJiz0FuGNVqmp0Y5mZthcG7LdFWoHoQrlsa3+El0191/zAM Yq3yMkvUkp4KrxDkOA5jvHJGu/futCXq2dvGatQog1041DAqVZKiRT8RHVr8xK0m oSglm3KpW13rxpwfCAFbgHJMXPX447zr/tXOKS9P0Srl/YW0msbwRdw1uRnHKbWH bO6XtfJld98Z2QdUcxrMdc9dvxtDqAF9q84TjxqofrX+ZB/q83iYtcBR55IFh3eh NrBZgivEw5ZOJxIhZ0stBafsxn8hBloDdReVzxbyODfChLUKKtID8njuV1AH/O1j 3rWrer7nZnaquvRDGvYw+UBGrZL6X/0el0lbMjjJvHegqg1KLRT/Vj3lNqiPWnMz gRBMIws4n1IkH138mm83YrKEOq3Agaa4 -----END DSA PRIVATE KEY----- Public key: ssh-dss AAAAB3NzaC1kc3MAAACBAMBl0OdknSG228cLtQ+6z/BwizJo2ijElXRI JkoLAFO0q+ACbA6fe8wo+9Hy4RjAyoO6HWtUXbuuO7fDFoIqOWLYLM0t5jNfI1g+ yiezyrNyRFcffwslKezZ6XjV6CQESGX2zj+SQxWKeVx++FdsIx2NG4zaCRNmtTdX MDfLIRrFAAAAFQDod41UuyTQ9tIvdOF+tXvf5ZyzoQAAAIEAvYPpolQj6lbrhIhp q7U+b1SJTBQIruXRco11bym2O91kHM0EVIZm0ZyHaBvwkyEeCno8WCE6KI9X52XK ROow2Es45FqsvGR1sJleDyVxsjbLU4eRwHLLSgQ1ORdzTH1ic+oFpplaPZOmvZeu uCHoRnUne/jgJHaF4rSquBrn+aYAAACBAJu1xPY74hvhi1fy9L6HP5v5bu3lAxQK W2eH+zYONKhNHOrC2Xs8Mt7adhPDQRabXxtPA4PLwo0uVKuBcufvqaKLs/llzNaJ ghxwS1wR9W3IdAX4FQkJ6HZ7plQx1lT+ZwIA7JpZcKNChDwMPNM/iDHcoRO0+Kga 9X12KiA5Bcew Key fingerprint: 97:53:9d:25:21:8b:76:49:09:5d:e9:6c:4c:f6:8e:56 SSH Config$

En este ejemplo, el equipo no dispone de clave RSA, por lo que indica que no se ha encontrado. Es más relevante notar la estructura de la información mostrada. Para cada tipo de clave, se indica en primer lugar el título “Host key:”. La host-key propiamente dicha es el contenido mostrado en las líneas siguientes hasta llegar a “Public key:” (para el caso de configuración dinámica), sin considerar las líneas en blanco inicial y final.


II - 20 Doc.DM787

Rev.10.80

• LIST HOST-KEY DSA Este comando describe la clave DSA, si es que existe. En este ejemplo se ha ejecutado el comando en configuración estática. En configuración dinámica, se muestra además la clave pública y el fingerprint, como se observa en el ejemplo de LIST HOST-KEY ALL.

Sintaxis:

SSH config>list host-key dsa

Ejemplo:

SSH Config>list host-key dsa DSA (only for SSHv2) Host key: -----BEGIN DSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,82AECC6A19793195 hU6tMIxW/GDAuugsnC++ROI3NDZcGNIlJFaoXhrhYuWHINXSXwihfKT0UgBtG7F2 FutmdkEYAytkog5MLDK0+DCEmWs/9M/UkRmcYlYkJachv+UWvgDpMvfbVk50zRo/ X3Oq6TAuT4voArLcb71GOtqHQKEeGi1lhUy3UffkN0WJYbqoImFzMa8cQTVaDDvH 4DwnHSOlLWUIy/dCJOJiz0FuGNVqmp0Y5mZthcG7LdFWoHoQrlsa3+El0191/zAM Yq3yMkvUkp4KrxDkOA5jvHJGu/futCXq2dvGatQog1041DAqVZKiRT8RHVr8xK0m oSglm3KpW13rxpwfCAFbgHJMXPX447zr/tXOKS9P0Srl/YW0msbwRdw1uRnHKbWH bO6XtfJld98Z2QdUcxrMdc9dvxtDqAF9q84TjxqofrX+ZB/q83iYtcBR55IFh3eh NrBZgivEw5ZOJxIhZ0stBafsxn8hBloDdReVzxbyODfChLUKKtID8njuV1AH/O1j 3rWrer7nZnaquvRDGvYw+UBGrZL6X/0el0lbMjjJvHegqg1KLRT/Vj3lNqiPWnMz gRBMIws4n1IkH138mm83YrKEOq3Agaa4 -----END DSA PRIVATE KEY----- SSH Config>

La host-key tiene el formato PEM de OpenSSL, lo que obliga a que siga ciertas pautas. Debe estar delimitado por las líneas (cabecera y pie):

-----BEGIN DSA PRIVATE KEY-----

y

-----END DSA PRIVATE KEY-----

Para añadir confidencialidad a la host-key, está cifrada. Esto fuerza también a la presencia de las primeras líneas:

Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC, ...

A continuación debe haber una línea en blanco, y después el contenido de la clave propiamente, que está codificado en Base 64, además de estar cifrado con el algoritmo DES-EDE3-CBC.

Si se desea replicar la host-key en otra configuración, debe copiarse toda la clave, incluyendo los delimitadores (cabecera y pie), y pegarla en la configuración de destino usando el comando HOST-KEY DSA INSERT. La presencia de espacios en blanco al inicio de la línea no supone inconveniente, pero debe prestarse atención a no incluir tabulaciones.

• LIST HOST-KEY RSA Este comando describe la clave RSA, si es que existe. En este ejemplo se ha ejecutado el comando en configuración dinámica. En configuración estática, no se muestran ni la clave pública ni el fingerprint.


II - 21 Doc.DM787

Rev.10.80

Sintaxis:

SSH config$list host-key rsa

Ejemplo:

SSH Config$list host-key rsa RSA (only for SSHv2) Host key: -----BEGIN RSA PRIVATE KEY----- Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC,6A1846834A4DA3FC ++QKlzwaKAL8u9G/eYkutMjQPpBIZoV5eQMxNfFzWRlE47T1myBRqFrCFvDXiI4G 1ZMrmvbua0S1GUBZCcGkNpJHk0jP7/AYNMIW1XCHnKPafZ2DkquAZ5BU/IhY4ztz /GZLyVB+AULhG1rQil9P82cqqGp5Cv4VkZdwRJHnLLslij5B5ToCO/ap6krtsCUH rEXfRXf3kXkBvwsNnAve7DMU3EXWzq3TS//u4NRPeVNEVAHp6zooPZhp8LzHPpxh E2ki/h6yBW0+P8/Rzg1jWV8oreaDJfFzPvzhrOdWN4aNJSXZbSXL1hwYdWgouJ+u doaCX1YZzrLLdGcasY3kmSC3N9OwalFnc4i2xyN+lgM/HbYmoljJPJfMV0RCK5S0 KljWhlk4oiRLcmEzIM4+1UjCPP1VWTanxCMmkCMfgmtjun+Dcfq3JGz34xN3GNap e2voWH3vwG196yXmOlHLF0/WsJgQuFkBu1/rrDx65ztNsKumoAAbCEAz5fkHf1T1 2UlZu347I+A4FDUw7/VOluJu9Ey1ffBfQPvc+7Y0IDvxVTkiAHk5ChtUjoWMFCsz iU3I794EJ/YgFoldkg1DT+07pmQTvzTldv078hXKzkWa8JKc+GbE7u08bHVWYV/E 7P8wrwP4tXjH22zRyycS7uRvsX3859A29KwQxFU1fX264SjmLBwdFY6GaLURBIvV OLUxdjnFaDtcsTFjbvxT6/FgWk2dDVrxJJOl+bfxGLgNpFQk16SYJsQwM7LtFQsW 7LkXuuZIwOmTxI1mX7jdGW4VTp7sm8anmRCGCNpEz7n7yyNHKf9KR0rsWZw5sfiN I8opvHfl6ZFpBBweLLtByl5og0WWrbjPcNMNRYPCnKLCP1F9ph+271Mf3PBXMTaj RshZboZLKJqfOE/LYSJjjC3IgHngC4goSd0+4PT0nlCmAW89lrmMKmuUAG2utELy 40IMg8VYAWjZ+sdz+XDgLOKOqud2L7RnsMED67V7ZgrFTWF8AsLwMNmcouLzHNE3 d5DUD7c9MVSISYQvM+XaXo2BE9TzeT7T4xvD03fiQxrv9ncrkwUHutwEENbjOmLL 3fW8bZeNTBudy4j/cJKtLuqHtbrNJNasTcgEicR5G80+Vdjoy7qpd6+zYn5zlSZt fxDoIC3AFX+4BG+iS782dx1moA6IZJjnrn4BxPjPu+iP/Db0XTvn5Q41Z8LRx6Dq XtEFG6i3NTLy84VDKL4V+3wpazrV+tSrLd9KNypfDGJHcBF8gSeJnoq0qP9RaH9U b14qVHCfOP/CMOJeBxMPvz6WHZklpXpaHhCudkHnbABrBYGZ1L1QaPL4hdVtin0b T/l+nPV2HIeYm7nWaZJHp5wtQ8x6hwaW9++AQCpVsWoufbfamipAwfJpet3kkBUI x0Ms5Dg9jzFluR/U2YoQuK2KnXsjmKtmt3f2UuvWrzNSWOAJlGn/H9n1A9UNmjcy +P+ZYO/TirddJockBb/Yy0xDb9nk9zTn5Fyl98H7/UPRPwF2wXgjGHsCR06Y81UV 0Pu0n5lA8d31UXNW00hmC/o9I5xOkn9yz2RBIZ6tH1g0VaDUx2+ZdQ== -----END RSA PRIVATE KEY----- Public key: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA0ayDS70qND+k4ZtyFs8LifniAHFR InD/Ygii0CoSj8YCXdr2e8ahEFmt0fvc9N53+blBDPGdo7cVBrC1BmY4ocWH+ZRp dpsTjD4mQ33ARJcvypyQq1ipfwXsp2E1QeQD6CiNAoZAl2qAlvBxBkbIt6UZBfVe Vo0LzbXCDzzLOvCXSwxxiLf2ktwFsY9XBak9jYJcDs8nEwwhwDNnfhn8tJ8ZnNjv mmSfjykdqbCSiUUImY4xjBSsgIZbuPeBLnjGQTcxhZiZ58ASw+799FScBwcjVxjZ Ae6iZlbQmycElpun0DEjEDsdcqJgfypq0XgDaUsOnBjF+axgTN5AlTouvQ== Key fingerprint: 23:08:e1:2a:ad:fe:37:3e:8f:a0:67:ed:00:f2:3c:24 SSH Config$

La host-key tiene el formato PEM de OpenSSL, al igual que la clave DSA, por lo que se imponen las mismas pautas con un cambio en los delimitadores (cabecera y pie):

-----BEGIN RSA PRIVATE KEY-----

y

-----END RSA PRIVATE KEY-----

Para añadir confidencialidad a la host-key, está cifrada. Esto fuerza también a la presencia de las primeras líneas:


II - 22 Doc.DM787

Rev.10.80

Proc-Type: 4,ENCRYPTED DEK-Info: DES-EDE3-CBC, ...

A continuación debe haber una línea en blanco, y después el contenido de la clave propiamente, que está codificado en Base 64, además de estar cifrado con el algoritmo DES-EDE3-CBC.

Si se desea replicar la host-key en otra configuración, debe copiarse toda la clave, incluyendo los delimitadores (cabecera y pie), y pegarla en la configuración de destino usando el comando HOST-KEY RSA INSERT. La presencia de espacios en blanco al inicio de la línea no supone inconveniente, pero debe prestarse atención a no incluir tabulaciones.

• LIST HOST-KEY RSA1 Este comando describe la clave RSA1, si es que existe. En este ejemplo se ha ejecutado el comando en configuración estática. En dinámica, se listan además su clave pública y el fingerprint.

Sintaxis:

SSH config>list host-key rsa1

Ejemplo:

SSH Config>list host-key rsa1 RSA1 (only for SSHv1) Host key: U1NIIFBSSVZBVEUgS0VZIEZJTEUgRk9STUFUIDEuMQoAAwAAAAAAAAQABADkrAMA VHLs6btQpuo/JU3e0t4ZGqaxdeUmNk23hKFzfXGYVOMeA1qvSBvHlnvTHKg7oIah Of6zkTofLnUW3i+okfnAqK2XRJ98woh/enW8Fj6DKk9Pd4Ek1KnuKn8BWPEOU+dJ 7caGmgbfQj1t2crgcqiAYdjGN6LsToT9ytnsSwAGIwAAAA11bmtub3duX3VzZXJA h18uq51TTPQG+P9u7O/fU69F2EGdS5k28PW5wPExDPyiHWGz+D1Z/uHV51XBT+3K CMjnrWPRaiXvnDwAJ1B+isEtUuke1kykQZ6pSTppivQj6oynNPxGSQPcCJqaxLy4 0/9g+tRZW0Kfz+/ELXtuzXl7cc1VZi9uVgFdjCqi+qRbUxmcS/QpgpbJTph895MZ zxVNGSOoR6iA32tyNcJlanpRauN7xAipbrNEQflVZu+H0k67EUb3T1JQ+jJmrZC+ nsB0iBOgXo6s2KM+TdYxU+NQwa7DH0Ag6UJczAvbj+KhofTGIOskztC8Z+k4aVuz 8YvMprTjkoJ+dcjAatCttyGZDMeM9xdYbNQyHAsyXLCvRojB7laS1yG6lZKyUgC1 E3rm52XicGkN5+Yl4pWUZcKdeEUO7GOVn/erkXAcnNaEYUGyKkxLc2Su8Hdhn7tT SSH Config>

La host-key ya no tiene el formato PEM de OpenSSL, sino que sigue el formato empleado para RSA1 en muchas implementaciones: OpenSSH, ssh.com, Putty, etc. Propiamente, la host-key, que incluye las partes pública y privada, se almacena en código binario, pero para facilitar su manejo por consola, se presenta en Base 64, sin cabeceras ni otros campos.

En cuanto al contenido codificado en Base 64, se incluye en primer lugar el texto:

“SSH PRIVATE KEY FILE FORMAT 1.1\n”

Seguidamente se encuentra información del cifrado, los campos de la clave pública y, por último, los parámetros propios de la clave privada, cifrados con el algoritmo indicado al principio.

Si se desea replicar la host-key en otra configuración, debe copiarse todo el texto en Base 64, y pegarlo en la configuración de destino usando el comando HOST-KEY RSA1 INSERT. La presencia de espacios en blanco al inicio de la línea no supone inconveniente, pero debe prestarse atención a no incluir tabulaciones. La longitud de cada línea insertada no debe sobrepasar los 190 caracteres; si es necesario, ha de dividirse en líneas de menor longitud. Se considera que la clave introducida está completa cuando se inserta una línea vacía.


II - 23 Doc.DM787

Rev.10.80

c) LIST SERVER Este comando, seguido de las posibles opciones, lista los valores de los diversos parámetros de configuración posibles del servidor SSH. La funcionalidad de este comando se encuentra duplicada en el comando LIST presente en el menú de configuración del servidor (SSHS>), con la única diferencia de que en el menú principal en el que nos encontramos se debe incluir el término “SERVER”.

Sintaxis:

SSH config>list server <opciones>

El uso y opciones de este comando se explican en el apartado de configuración del servidor SSH, al describir el comando LIST.

2.4. NO

El comando estático NO borra de la configuración un parámetro o restablece su valor por defecto. El subcomando disponible es:

Comando Función HOST-KEY Borra una de las host-keys presentes en el equipo.

a) NO HOST-KEY Elimina de la configuración la host-key seleccionada como opción. En caso de no existir, no realiza ninguna acción. Las posibles opciones para definir el comando completo:

Comando Función DSA Elimina la host-key de tipo DSA (para versión 2). RSA Elimina la host-key de tipo RSA (para versión 2). RSA1 Elimina la host-key de tipo RSA1 (para versión 1).

Antes de usar este comando, debe observarse que la host-key es eliminada completamente de la configuración; dicho cambio se convierte en definitivo si se guardan los cambios ejecutando SAVE en el menú principal de configuración del equipo. Si posteriormente desea emplearse de nuevo la misma clave y no una nueva, sólo es posible si el usuario la ha salvado en un archivo de configuración anterior o copiando el texto presentado al ejecutar LIST HOST-KEY [TIPO].

Se advierte también que, en el caso de no generar intencionadamente ninguna clave nueva, y si el servidor SSH se encuentra habilitado, la próxima vez que el equipo se inicie, el servidor busca entre las host-keys de la configuración. Si no encuentra alguna de las claves que necesita porque ha sido eliminada o porque ha aumentado la compatibilidad, la genera automáticamente, dando lugar a un retardo en el tiempo de arranque del servidor; además, el equipo se identifica frente a los clientes con la nueva clave que, si no se guarda desde la configuración dinámica, se pierde en la siguiente vez que el equipo se reinicie.


II - 24 Doc.DM787

Rev.10.80

• NO HOST-KEY DSA Elimina la host-key de tipo DSA, utilizable para SSHv2.

Sintaxis:

SSH config>no host-key dsa

Ejemplo:

SSH Config>no host-key dsa SSH Config>

• NO HOST-KEY RSA Elimina la host-key de tipo RSA, utilizable para SSHv2.

Sintaxis:

SSH config>no host-key rsa

Ejemplo:

SSH Config>no host-key rsa SSH Config>

• NO HOST-KEY RSA1 Elimina la host-key de tipo RSA1, utilizable para SSHv1.

Sintaxis:

SSH config>no host-key rsa1

Ejemplo:

SSH Config>no host-key rsa1 SSH Config>

2.5. SERVER

Mediante este comando se entra en un nuevo menú de configuración, el del servidor SSH. Se describe en un nuevo apartado (Menú del Servidor SSH).

Sintaxis:

SSH config>server

Ejemplo:

SSH Config>server -- SSH Server -- SSHS>? accounting Set AAA accounting options auth-time Maximum interval to complete authentication authentication Available client authentication methods authorization Set AAA authorization options ciphers Allowed ciphers (v2) client-alive Client-alive messages (v2) compression Packet payload compression enable Enable SSH server ephemeral-key Ephemeral server key (v1) keep-alive Send TCP Keep-alive messages


II - 25 Doc.DM787

Rev.10.80

list Server configuration login Set AAA login options macs Allowed Message Authentication Codes (v2) max-auth-tries Maximum number of authentication attemps max-connections Maximum number of SSH connections no Negate a command or set its defaults port Listening port version Version compatibility exit SSHS>

En el prompt ahora aparece el texto “SSHS”, abreviatura de “Secure Shell Server”.

2.6. EXIT

Use el comando EXIT para volver al prompt de configuración.

Sintaxis:

SSH Config>exit

Ejemplo:

SSH Config>exit Config>


II - 26 Doc.DM787

Rev.10.80

3. Menú del servidor SSH

El objetivo de este nuevo apartado es describir los comandos para configurar el servidor SSH, que son:

Comando Función ACCOUNTING Configura las opciones de contabilización por AAA. AUTH-TIME Tiempo máximo permitido para completar la autenticación de un cliente. AUTHENTICATION Métodos posibles para la autenticación del cliente. AUTHORIZATION Configura las opciones de autorización por AAA. CIPHERS Algoritmos de cifrado permitidos (SSHv2). CLIENT-ALIVE Mensajes para comprobar que la conexión sigue operativa (SSHv2). COMPRESSION Compresión de los datos en paquetes SSH. ENABLE Activación del servidor SSH. EPHEMERAL-KEY Clave efímera del servidor (SSHv1). KEEP-ALIVE Envío de paquetes de Keep-alive de TCP. LIST Listado de la configuración del servidor. LOGIN Configura las opciones de autenticación por AAA. MACS Algoritmos de autenticación del mensaje (SSHv2). MAX-AUTH-TRIES Máximo número de intentos de autenticación de cliente permitidos. MAX-CONNECTIONS Máximo número de conexiones simultáneas SSH permitidas. NO Restablece el valor por defecto de un parámetro. PORT Número de puerto TCP en el que escucha el servidor SSH. VERSION Compatibilidad con versiones SSHv1 y SSHv2. EXIT Vuelve al prompt SSH Config>.

3.1. ACCOUNTING

Este comando asocia una lista de métodos de tipo accounting exec o commands que ha sido definida utilizando la facilidad AAA. De esta forma el servicio SSH aplica los métodos de la lista accounting exec cuando registra un acceso a la Shell, y los métodos de accounting commands cuando se registra un comando ejecutado. Cuenta con las siguientes opciones: Comando Función COMMANDS Asocia una lista de métodos de tipo accounting commands. EXEC Asocia una lista de métodos de tipo accounting exec. Las listas de métodos sólo pueden ser aplicadas si se encuentra la facilidad AAA habilitada. Por ello, una vez finalizada la configuración de AAA se debe habilitar para poder aplicar las listas a los distintos servicios. La información sobre como configurar la facilidad AAA se puede encontrar en el manual “Dm800 Facilidad AAA”.


II - 27 Doc.DM787

Rev.10.80

a) ACCOUNTING COMMANDS Asocia una lista de métodos de tipo accounting commands.

Sintaxis: SSHS config>accounting commands <level> <listname>

<level>: Nivel de acceso de los de comandos que se desean contabilizar.

<listname>: Identificador de la lista de métodos de contabilización. Ejemplo:

SSHS config>accounting commands 5 AccCmds SSHS config>

En el ejemplo se configura la lista de métodos AccCmds para que sea usada cuando se realiza la contabilización de un comando de nivel 5 ejecutado desde SSH.

b) ACCOUNTING EXEC Sintaxis:

SSHS config>accounting exec <listname>

<listname>: Identificador de la lista de métodos de contabilización. Ejemplo:

SSHS config>accounting exec AccExec SSHS config>

En el ejemplo se configura la lista de métodos AccExec para que sea usada cuando se realiza la contabilización de un acceso a la Shell de SSH.

3.2. AUTH-TIME

Use este comando para establecer el máximo tiempo permitido para que los clientes SSH se autentiquen correctamente frente al servidor. El tiempo comienza a contar desde el inicio del proceso, una vez establecida la conexión TCP/IP. Si se sobrepasa el intervalo máximo fijado sin que el usuario haya podido autenticarse, el servidor inicia el proceso de desconexión. Por defecto, este tiempo es de 2 minutos.

Sintaxis:

SSHS>auth-time <intervalo>

Ejemplo:

SSHS>auth-time 8m30s SSHS>

3.3. AUTHENTICATION

Este comando, que para ejecutarse necesita ir seguido de una opción, configura los métodos de autenticación disponibles para el cliente. Los métodos implementados son: password, RSA (clave


II - 28 Doc.DM787

Rev.10.80

pública para SSHv1) y Public-key (clave pública para SSHv2). Las opciones de este comando son, por tanto:

Comando Función PASSWORD Autenticación por contraseña (SSHv1 y SSHv2). PUBLIC-KEY Autenticación mediante clave pública RSA o DSA (SSHv2). RSA Autenticación mediante clave pública RSA1 (SSHv1).

Es necesaria la existencia de usuarios configurados en el equipo para que se pueda llevar a cabo una autenticación por parte del cliente. El equipo debe conocer al usuario que desea conectarse, asociándole cierto nivel de privilegio. En el caso de no existir usuarios configurados en el equipo, deben añadirse usando el comando USER del menú raíz de configuración del equipo.

Las únicas dos excepciones a lo anterior son:

• Que la autenticación se haga por contraseña y dejar que la facilidad AAA la gestione.

• Que la autenticación se haga por contraseña y se emplee un servidor RADIUS, externo a la funcionalidad AAA, que tenga los usuarios configurados.

En esos casos particulares, no es necesario que haya ningún usuario en el equipo, aunque si en el segundo caso se pierde la conexión con el servidor RADIUS, el equipo puede quedar inaccesible por SSH.

a) AUTHENTICATION PASSWORD Habilita la autenticación del cliente por contraseña. Por defecto se encuentra operativa.

Sintaxis:

SSHS>authentication password

Ejemplo:

SSHS>authentication password SSHS>

Para desactivarla, use el comando NO AUTHENTICATION PASSWORD.

b) AUTHENTICATION PUBLIC-KEY Se accede a un submenú para la configuración de la autenticación de cliente por clave pública, para SSHv2. El motivo de crear un nuevo submenú, al igual que ocurre con AUTHENTICATION RSA (SSHv1), es la necesidad de introducir en la configuración las claves públicas de los clientes. Este comando es dinámico, de forma que esta característica puede configurarse mientras el servidor está ejecutándose.

Sintaxis:

SSHS>authentication public-key

Ejemplo:

SSHS>authentication public-key -- Public-Key configuration in SSH server -- SSHS PK>? enable Enable this authentication method


II - 29 Doc.DM787

Rev.10.80

key New client key no Negate a command or set its defaults exit SSHS PK>

Se puede observar que el prompt ha cambiado a “SSHS PK>”. Dentro de este submenú se encuentran los siguientes comandos:

Comando Función ENABLE Habilita el mecanismo de autenticación por clave pública (SSHv2). KEY Permite configurar la clave pública de un cliente. NO Elimina un parámetro o restablece su valor por defecto. EXIT Vuelve al prompt SSHS>.

• ENABLE Habilita la autenticación por clave pública, que por defecto está habilitada.

Sintaxis:

SSHS PK>enable

Ejemplo:

SSHS PK>enable SSHS PK>

Para deshabilitar este método, use NO ENABLE en este mismo submenú.

• KEY [NOMBRE] Accede a un nuevo submenú para crear una clave pública con el nombre pasado como parámetro; en el caso de que ya exista, en dicho submenú se permite su modificación. El nombre debe constar de, como mucho, 10 caracteres.

Sintaxis:

SSHS PK>key <nombre>

Ejemplo:

SSHS PK>key pubkey1 SSHS KEY pubkey1>? add Add line of data of the key end Last line of data of the key insert Paste client public key no Negate a command or set its defaults user Associate user with this key exit SSHS KEY pubkey1>

En el propio prompt, se indica el nombre de la clave. Los comandos disponibles en el submenú de la clave:

Comando Función ADD Añade una línea, que no es la última, de la clave pública.


II - 30 Doc.DM787

Rev.10.80

END Añade la última línea de la clave pública. INSERT Permite introducir una clave pública mediante pegado. NO Elimina un parámetro o restablece su valor por defecto. USER Permite que un usuario pueda hacer uso de esta clave pública. EXIT Vuelve al prompt SSHS PK>. La finalidad de estos comandos es añadir una clave pública, que memoriza con el nombre del submenú. Para eliminar una clave, debe usarse NO KEY [NOMBRE], del menú SSHS PK>.

ADD [LINEA] Añade una línea (la primera o intermedia) de una clave pública. Para el usuario, se recomienda el uso del comando INSERT, que hace comprobaciones de la clave pública y que, a su vez, emplea internamente el comando ADD para almacenar la clave en configuración.

END [LINEA] Añade la última línea de una clave pública. Para el usuario, se recomienda el uso del comando INSERT, que hace comprobaciones de la clave pública y que, a su vez, emplea internamente el comando END para almacenar la clave en configuración.

INSERT Permite el pegado de una clave pública de un cliente. Éste, que ya ha generado la clave de tipo RSA o DSA que desea emplear en su autenticación, debe configurar el servidor para que considere como válida la parte pública de la clave generada. No es necesario indicar el tipo de la clave, ya que dicha información va implícita. El comando permite insertar la clave troceada en líneas de menos de 190 caracteres si está en formato OpenSSH, o pegando directamente el contenido del archivo con la clave pública si el formato es el descrito en la RFC4716.

Sintaxis:

SSHS KEY <nombre>>insert

Ejemplo 1:

SSHS KEY pubkey1>insert Enter the public key (type + base64) <cr> to escape ssh-dss AAAAB3NzaC1kc3MAAACAdQpx45QBksY+YdceMCv1a7OYFT/nKkFghAcEE3fGbz4vPJjXpSOI kgTARylPx+uEkmokN9nvRY0CT53r/+QlfxIBW1Z8Nu1TvI8qm0Ea0OYyDI6oEhMZhWFWKHHQmUQy1oCl 3ndqgMT4rr3fEl2hbZeujJzrNVY4EQsfSF9KhV8AAAAVAI3hGhP6mxl/FEE7Xva+JfraCwHPAAAAgGMN blPcZeM5Dgbj1Vj/VEhpvAyvCW5E30X8jMl8YvSr7w/qaJoGAIEkgHb8efKTuUBt9nzot+QhLAiTwEe3 Nf4GxeH9ifHLRrYTh/jPKTpYucK66OcU4X/9JJzcyUl+eqQDgDWhEPHviUb3EPQTuP19nOA65TBFj3ZB xv+tsftTAAAAgGtEZEcLQmDxsnM5pjelVtdnu7N/MHBTQTw8I+Pm+BKEOjCiBMFKB/4l5+TL1T1ocP0Q CIttx15A9QRCkab4VEJ8pNIPnrkkNvyuk2BLgnNijwBpdVNfWEi7JSZrzadIJjlXGOcueztvggqF9CR0 f9WveLE2VMiLq7Jf2cp79yt9 dsa-key-20080128 SSHS KEY pubkey1>

Se explican brevemente los dos posibles formatos. El primero es el que se pide al usuario al indicar

Enter the public key (type + base64)

Es sencillo y familiar para los usuarios de OpenSSH. Está formado por una única línea, que comienza con el string “ssh-dss” si la clave es DSA, o con “ssh-rsa” si es RSA. A continuación, tras un espacio en blanco, se encuentra toda la clave pública, codificada en Base 64. Por último, y de forma opcional, hay un comentario sólo utilizado para facilitar al usuario la identificación de la clave pública. A nivel interno no se emplea, ni tampoco se requiere en caso de omitirse. Habitualmente, la longitud total de la línea sobrepasa los 190 caracteres estipulados como máximo, por lo que debe insertarse fragmentada en líneas más cortas, como se muestra en el Ejemplo 1.


II - 31 Doc.DM787

Rev.10.80

Ejemplo 2:

SSHS KEY pubkey2>insert Enter the public key (type + base64) <cr> to escape ---- BEGIN SSH2 PUBLIC KEY ---- Comment: "rsa-key-20080128" AAAAB3NzaC1yc2EAAAABJQAAAQEAn+U+8tigcZ7FkWlRjEjPW5nMqlH2LMA9SJqJ xE1+UVzCrb0VGYmCQkn5fC6ZoRldB2kIPUNjNxss3KU2rRZLPx+k9Jlf9lyz2+LT 8oMVKHzN0G7Nh+ZKakJu8HFweb83VnngW08gf27hy5Cn/lO1dy9t9Ib4dAlWhvf2 n0ozMCach5xRkaDrq8mj1tuGE+OOGEVu8SZIY4NXUw0buJ3BfiMPMaWnCH7Wbhuw tfyqYvY7X9yq5grOf9qTfKXjQ8iZJPdXSNw1e9FdD1ueLjLZx72a5Pz7UcHJMUwy DmAxGa6jZJYNtiAJobnIV3HLo+T2r3V5sR5L9qMTR3VN4RNSnw== ---- END SSH2 PUBLIC KEY ---- SSHS KEY pubkey2>

El segundo formato permitido es el indicado en la RFC4716. Su contenido viene delimitado por las líneas:

---- BEGIN SSH2 PUBLIC KEY ----

y

---- END SSH2 PUBLIC KEY ----

No hay distinción en los delimitadores para RSA / DSA. Entre ambas líneas se encuentra la clave, codificada en Base 64; opcionalmente, puede venir precedida de un comentario indicado por el texto “Comment:”, que se ignora. Aunque una clave pública se introdujera con este formato, se traduce al primero para su guardado en la configuración. En este caso, el archivo de origen ya tiene delimitada la longitud de cada línea, por lo que no es necesaria su fragmentación.

NO USER [USUARIO] Permite eliminar usuarios de entre aquéllos ya asociados a la clave actual.

Sintaxis:

SSHS KEY <nombre>>no user <usuario>

USER [USUARIO] Asocia un usuario a la clave pública actual. Si no hay ningún usuario asociado, un cliente en poder de la clave privada correspondiente puede autenticarse como cualquier usuario válido del equipo. En cambio, gracias a este comando, el uso de esta clave para la autenticación se puede restringir a los usuarios que se desee. Habitualmente, se asocia un único usuario a una clave.

Sintaxis:

SSHS KEY <nombre>>user <usuario>

Ejemplo 1:

SSHS KEY pubkey1>user admin SSHS KEY pubkey1>

EXIT Retorna al menú de configuración de las claves públicas para SSHv2.

• NO Restablece el valor por defecto de un parámetro o elimina un elemento de la configuración. En este submenú, hay dos opciones posibles:


II - 32 Doc.DM787

Rev.10.80

Comando Función ENABLE No permite la autenticación mediante clave pública (SSHv2). KEY Elimina la clave pública que se indique mediante su nombre.

NO ENABLE Deshabilita el método de autenticación de SSHv2 de clave pública, que por defecto se encuentra habilitado.

Sintaxis:

SSHS PK>no enable

Ejemplo:

SSHS PK> no enable SSHS PK>

Si se desea volver a habilitar este mecanismo, emplee el comando ENABLE de este submenú.

NO KEY [NOMBRE] Borra de la configuración la clave pública identificada por el nombre que se indica. Si no se encuentra ninguna clave con dicho nombre, no realiza nada.

Sintaxis:

SSHS PK>no key <nombre>

Ejemplo:

SSHS PK>no key pubkey1 SSHS PK>

• EXIT Retorna al menú de configuración del servidor SSH.

Sintaxis:

SSHS PK>exit

Ejemplo:

SSHS PK>exit SSHS>

c) AUTHENTICATION RSA Se accede a un submenú para la configuración de la autenticación de cliente por clave pública, para SSHv1, denominado método RSA en dicha versión del protocolo. Se configura en un nuevo submenú para introducir en la configuración las claves públicas RSA1 de los clientes. Este comando es dinámico, de forma que esta característica puede configurarse mientras el servidor está ejecutándose.

Sintaxis:

SSHS>authentication rsa

Ejemplo:

SSHS>authentication rsa -- RSA configuration in SSH server --


II - 33 Doc.DM787

Rev.10.80

SSHS RSA>? enable Enable this authentication method key New client key no Negate a command or set its defaults exit SSHS RSA>

Se puede observar que el prompt ha cambiado a “SSHS RSA>”. Dentro de este submenú se encuentran los siguientes comandos:

Comando Función ENABLE Habilita el mecanismo de autenticación por RSA (SSHv1). KEY Permite configurar la clave pública RSA1 de un cliente. NO Elimina un parámetro o restablece su valor por defecto. EXIT Vuelve al prompt SSHS>.

• ENABLE Habilita la autenticación por RSA, que por defecto está habilitada.

Sintaxis:

SSHS RSA>enable

Ejemplo:

SSHS RSA>enable SSHS RSA>

Para deshabilitar este método, use NO ENABLE en este mismo submenú.

• KEY [NOMBRE] Accede a un nuevo submenú para crear una clave pública RSA1 con el nombre pasado como parámetro; en el caso de que ya exista, en dicho submenú se permite su modificación. El nombre debe constar de, como mucho, 10 caracteres.

Sintaxis:

SSHS RSA>key <nombre>

Ejemplo:

SSHS RSA>key rsa_k SSHS KEY rsa_k>? add Add line of data of the key end Last line of data of the key insert Paste client RSA public key no Negate a command or set its defaults user Associate user with this key exit SSHS KEY rsa_k>

En el propio prompt, se indica el nombre de la clave. Los comandos disponibles en el submenú de la clave:


II - 34 Doc.DM787

Rev.10.80

Comando Función ADD Añade una línea, que no es la última, de la clave pública RSA1. END Añade la última línea de la clave pública RSA1. INSERT Permite introducir una clave pública RSA1 mediante pegado. NO Elimina un parámetro o restablece su valor por defecto. USER Permite que un usuario pueda hacer uso de esta clave pública RSA1. EXIT Vuelve al prompt SSHS RSA>.

La finalidad de estos comandos es añadir una clave pública RSA1, que memoriza con el nombre del submenú. Para eliminar una clave, debe usarse NO KEY [NOMBRE], del menú SSHS RSA>.

ADD [LINEA] Añade una línea (la primera o intermedia) de una clave pública RSA1. Para el usuario, se recomienda el uso del comando INSERT, que hace comprobaciones en el formato de la clave pública RSA1 y que, a su vez, emplea internamente el comando ADD para almacenar la clave en configuración.

END [LINEA] Añade la última línea de una clave pública. Para el usuario, se recomienda el uso del comando INSERT, que hace comprobaciones de la clave pública y que, a su vez, emplea internamente el comando END para almacenar la clave en configuración.

INSERT Permite el pegado de una clave pública de tipo RSA1 de un cliente. Éste, que ya ha generado la clave que desea emplear en su autenticación, debe configurar el servidor para que considere como válida la parte pública de la clave generada. A diferencia de la configuración de clave pública para SSHv2 (AUTHENTICATION PUBLIC-KEY), en la que había dos posibles formatos para la clave pública, el formato de la clave pública de RSA1 es único.

Sintaxis:

SSHS KEY <nombre>>insert

Ejemplo:

SSHS KEY rsa_k>insert Enter the RSA public key (3 decimal numbers) <cr> to escape 1023 37 798458743537890626287808985236489077472652668128634929439006436521582579 44058563390058992294511737156396078462633383104234138587153259159643740138784585 04153068211033284042621548285023396301262842759307031340330112910180566122424515 9936059098978755493043272344124688747878076757541173783689165017928211763217 " rsa-key-20080128" SSHS KEY rsa_k>

El formato que ha de tener la clave pública de tipo RSA1 consta principalmente de tres números en base decimal, separados por espacios en blanco; corresponden a la longitud del módulo. Al igual que con las claves públicas de SSHv2, al final de la clave puede haber un comentario, de utilidad únicamente para el usuario. En el caso de que se introduzca en una nueva línea, debe escribirse entre


II - 35 Doc.DM787

Rev.10.80

comillas dejando un espacio al inicio, como en el ejemplo, para que se reconozca que no forma parte de la clave.

NO USER [USUARIO] Permite únicamente eliminar usuarios de entre aquéllos ya asociados a la clave actual.

Sintaxis:

SSHS KEY <nombre>>no user <usuario>

USER [USUARIO] Asocia un usuario a la clave pública RSA1 actual. Si no hay ningún usuario asociado, un cliente en poder de la clave privada correspondiente puede autenticarse como cualquier usuario válido del equipo. En cambio, gracias a este comando, el uso de esta clave para la autenticación se puede restringir a los usuarios que se desee. Habitualmente, se asocia un único usuario a una clave.

Sintaxis:

SSHS KEY <nombre>>user <usuario>

Ejemplo 1:

SSHS KEY rsa_k>user admin SSHS KEY rsa_k>

EXIT Retorna al menú de configuración de las claves públicas RSA para SSHv1.

• NO Restablece el valor por defecto de un parámetro o elimina un elemento de la configuración. En este submenú, hay dos opciones posibles:

Comando Función ENABLE No permite la autenticación mediante clave pública. KEY Elimina la clave pública que se indique mediante su nombre.

NO ENABLE Deshabilita el método de autenticación RSA de SSHv1, por clave pública, que por defecto se encuentra habilitado.

Sintaxis:

SSHS RSA>no enable

Ejemplo:

SSHS RSA> no enable SSHS RSA>

Si se desea volver a habilitar este mecanismo, emplee el comando ENABLE de este submenú.


II - 36 Doc.DM787

Rev.10.80

NO KEY [NOMBRE] Borra de la configuración la clave pública RSA1 identificada por el nombre que se indica. Si no se encuentra ninguna clave con dicho nombre, no realiza nada.

Sintaxis:

SSHS RSA>no key <nombre>

Ejemplo:

SSHS RSA>no key rsa_k SSHS RSA>

• EXIT Retorna al menú de configuración del servidor SSH.

Sintaxis:

SSHS RSA>exit

Ejemplo:

SSHS RSA>exit SSHS>

3.4. AUTHORIZATION

Este comando asocia una lista de métodos de tipo authorization exec o commands que ha sido definida utilizando la facilidad AAA. De esta forma el servicio SSH aplica los métodos de la lista authorization exec cuando requiera autorización de la Shell y authorization commands cuando requiera autorización de un comando. Cuenta con las siguientes opciones: Comando Función COMMANDS Asocia una lista de métodos de tipo authorization commands. EXEC Asocia una lista de métodos de tipo authorization exec. Las listas de métodos sólo pueden ser aplicadas si se encuentra la facilidad AAA habilitada. Por ello, una vez finalizada la configuración de AAA se debe habilitar para poder aplicar las listas a los distintos servicios. La información sobre como configurar la facilidad AAA se puede encontrar en el manual “Dm800 Facilidad AAA”.

a) AUTHORIZATION EXEC Asocia una lista de métodos de tipo authorization exec.

Sintaxis: SSHS config>authorization exec <listname>

<listname>: Identificador de la lista de métodos de autorización. Ejemplo:

SSHS config>authorization exec AuthorExec SSHS config>


II - 37 Doc.DM787

Rev.10.80

En el ejemplo se configura la lista de métodos AuthorExec para que sea usada cuando se requiera autorización de la Shell de SSH.

b) AUTHORIZATION COMMANDS Asocia una lista de métodos de tipo authorization commands.

Sintaxis: SSHS config>authorization commands <level> <listname>

<level>: Nivel de acceso de los de comandos que requieren autorización.

<listname>: Identificador de la lista de métodos de autorización. Ejemplo:

SSHS config>authorization commands 10 AuthorCmds SSHS config>

En el ejemplo se configura la lista de métodos AuthorCmds para que sea usada cuando se requiera autorización de los comandos de nivel 10.

3.5. CIPHERS

Mediante este comando se seleccionan los algoritmos de cifrado permitidos para encriptar la conexión SSH en la versión SSHv2. Por defecto, se encuentran todos habilitados, de forma que queda a elección del cliente el uso de uno u otro. Los algoritmos implementados son:

Comando Función 3DES-CBC Triple DES con cipher-block chaining. AES128-CBC AES con cipher-block chaining y clave de 128 bits. AES128-CTR AES con cifrado con contador y clave de 128 bits. AES192-CBC AES con cipher-block chaining y clave de 192 bits. AES192-CTR AES con cifrado con contador y clave de 192 bits. AES256-CBC AES con cipher-block chaining y clave de 256 bits. AES256-CTR AES con cifrado con contador y clave de 256 bits. ARCFOUR Alleged-RC4. ARCFOUR128 Alleged-RC4 con clave de 128 bits. ARCFOUR256 Alleged-RC4 con clave de 256 bits. BLOWFISH-CBC Blowfish con cipher-block chaining. CAST128-CBC CAST con cipher-block chaining y clave de 128 bits.

Para deshabilitar un algoritmo de cifrado, ejecute NO CIPHERS [NOMBRE].

a) CIPHERS [NOMBRE] Habilita el algoritmo de cifrado con el nombre indicado.


II - 38 Doc.DM787

Rev.10.80

Sintaxis:

SSHS>ciphers <nombre>

Ejemplo:

SSHS>ciphers aes256-cbc SSHS>

3.6. CLIENT-ALIVE

En este punto se describe la configuración de la funcionalidad Client-Alive de SSHv2, que realiza la comprobación periódica de que el cliente SSH sigue activo. Para ello, el servidor envía mensajes de Client-Alive con una frecuencia determinada en la configuración; cuando, de acuerdo con otro parámetro, se sobrepase un número de mensajes no respondidos por el cliente, se considera que la conexión se ha cortado y el servidor cierra la conexión. Los subcomandos a emplear se listan a continuación.

Comando Función INTERVAL Periodo de tiempo entre dos mensajes Client-Alive consecutivos. MAX-COUNT Máximo número de mensajes enviados sin respuesta.

a) CLIENT-ALIVE INTERVAL [TIEMPO] Establece el intervalo de tiempo a esperar para enviar un mensaje de Client-Alive si no hay tráfico en la conexión. Si se establece un periodo de 0 segundos, la funcionalidad queda deshabilitada. Por defecto, tiene un valor de 15 segundos.

Sintaxis:

SSHS>client-alive interval <tiempo>

Ejemplo:

SSHS>client-alive interval 1m30s SSHS>

b) CLIENT-ALIVE MAX-COUNT [CONTADOR] Si no se recibe respuesta para el número especificado de mensajes de Client-Alive consecutivos, el servidor cierra la conexión porque considera que el cliente ya no está conectado. Este parámetro se inicializa a 3 mensajes por defecto.

Sintaxis:

SSHS>client-alive max-count <contador>

Ejemplo:

SSHS>client-alive max-count 5 SSHS>


II - 39 Doc.DM787

Rev.10.80

3.7. COMPRESSION

Configura los permisos establecidos por el servidor para la negociación y el posterior uso de la compresión en la conexión SSH. Las opciones de este parámetro, que por defecto es YES, son que no haya compresión, compresión aplazada, y compresión general (desde el principio):

Comando Función YES Se permiten la compresión y la compresión aplazada. NO No se permite ninguna compresión DELAYED Se permite la compresión sólo después de la autenticación del cliente (usada

en OpenSSH como [email protected]). Es frecuente que los clientes SSH no usen ninguna compresión por defecto, aunque en el servidor está habilitada.

a) COMPRESSION YES Habilita los métodos de compresión normal y aplazada (a después de la autenticación del cliente). Ésta es la configuración por defecto.

Sintaxis:

SSHS>compression yes

Ejemplo:

SSHS>compression yes SSHS>

b) COMPRESSION NO Deshabilita cualquier forma de compresión de los paquetes de SSH. Aunque el cliente desee establecer una conexión con compresión, el servidor no se lo permite.

Sintaxis:

SSHS>compression no

Ejemplo:

SSHS>compression no SSHS>

c) COMPRESSION DELAYED Sólo se permite el método de compresión aplazada, conocido como [email protected], que consiste en que el contenido de los paquetes SSH se cifra una vez que el cliente está correctamente autenticado frente al servidor. Únicamente los clientes que soporten dicho método pueden hacer uso de ella; en caso contrario, no se usa compresión.

Sintaxis:

SSHS>compression delayed

Ejemplo:

SSHS>compression delayed SSHS>


II - 40 Doc.DM787

Rev.10.80

3.8. ENABLE

Este parámetro es especialmente importante, dado que habilita globalmente el servidor SSH. El comando es estático, por lo que el servidor no arranca hasta que el equipo se reinicie de nuevo. Por defecto, el servidor se encuentra deshabilitado, por lo que es necesario ejecutar este comando para hacer uso del protocolo.

Sintaxis:

SSHS>enable

Ejemplo:

SSHS>enable Hostkeys for SSHv1 and SSHv2 not found in config Generating public/private rsa1 key pair... Please wait for a few seconds. Key generation done. Public key: 1024 35 15685565868756260999715007850262116530368743067586711683 2218478882683304393593354392076905683976501521944254253934902054 6719671617081391152157849392020780407658902426863532682350773354 5527254355183603870202925777149805173824280734879681682602503569 1993500883799434553852193298247418895281943943053504296554551 The key fingerprint is: c2:c4:54:e2:2e:c6:35:be:b0:be:d4:16:83:4f:3b:9d Generating public/private rsa key pair... Please wait for a few seconds. Key generation done. Public key: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAyMEOF3crF4aP9HqXXCAljVYqMGLk 2KicRzqxvy+d+CyKo0bwb5T8Wg11ksPntnGku5s0284Ou1uzTyxZMSAqG8fdSgzf UL8Ow8FfH3GjyrSBoS55gkyKm0jQXJQAQDruEkVP/Bug2L+QynuAELo+B4hYi7Gg IO5NttdTL6Uck7k= The key fingerprint is: 49:41:e6:c5:9c:60:73:b2:4c:60:eb:01:29:a4:fc:21 Hostkeys have been generated. Remember to save config! SSHS>

Se observa que el comando ha desencadenado la generación de las host-keys del equipo. Esto se produce porque en la configuración no se encontraban las claves necesarias. Mediante el comando VERSION se establecen las versiones compatibles del servidor (por defecto, SSHv1 y SSHv2). Al ejecutar este comando, comprueba la versión configurada y las host-keys presentes en el equipo. Si no encuentra alguna de las necesarias, crea una clave de 1024 bits RSA1 o RSA, según la versión. En el ejemplo, se notifica que no ha encontrado una clave ni para SSHv1 ni SSHv2, y por tanto, se generan las dos.

Si desea emplear alguna host-key utilizada anteriormente en otras configuraciones, se recomienda que haga uso del comando HOST-KEY [TIPO] INSERT antes de ejecutar este comando ENABLE. De esa forma, en la configuración se hallan las claves necesarias, y el comando actual no desencadena ningún proceso de generación de claves.


II - 41 Doc.DM787

Rev.10.80

Si desea deshabilitar de nuevo el servidor (su estado por defecto), use el comando NO ENABLE del menú SSHS>.

3.9. EPHEMERAL-KEY

Este comando configura la clave efímera del servidor, empleada en las conexiones SSHv1. Se crea una nueva clave con el número de bits configurado cuando el servidor se inicia. Y se llama efímera porque se vuelve a generar periódicamente según un intervalo establecido, si es que los clientes hacen uso de ella. Si ningún cliente se conecta, el servidor no utiliza dicha clave y no es necesaria su renovación. Dos clientes que se conecten al servidor, transcurrido un periodo de tiempo mayor al que aquí se configura, emplean distintas claves efímeras. Los parámetros configurables se indican a continuación.

Comando Función BITS Número de bits de la clave, entre 512 y 2048 bits. REGENERATION-INTERVAL Periodo de tiempo para generar de nuevo de la clave.

a) EPHEMERAL-KEY BITS [NUM_BITS] Establece el número de bits que ha de tener la clave efímera. Su valor por defecto es de 768 bits.

Sintaxis:

SSHS>ephemeral-key bits <num_bits>

Ejemplo:

SSHS>ephemeral-key bits 1536 SSHS>

b) EPHEMERAL-KEY REGENERATION-INTERVAL [TIEMPO] Configura el periodo de tiempo que transcurre desde la primera vez que se emplea una clave efímera hasta que se vuelve a generar para hacerla más robusta. Si un segundo cliente inicia una conexión antes de que expire dicho tiempo, se emplea la misma clave. Se hace constar que el proceso de generación de la clave conlleva un retardo, por lo que no se recomienda un intervalo muy breve. Por defecto, está fijado a una hora.

Sintaxis:

SSHS>ephemeral-key regeneration-interval <tiempo>

Ejemplo:

SSHS>ephemeral-key regeneration-interval 30m SSHS>

3.10. KEEP-ALIVE

Activa el envío de paquetes de Keep-alive de TCP. De esta forma, se comprueba periódicamente que la conexión TCP sigue establecida entre cliente y servidor. Por defecto, se encuentra activada.

Sintaxis:

SSHS>keep-alive


II - 42 Doc.DM787

Rev.10.80

Ejemplo:

SSHS>keep-alive SSHS>

Para desactivar esta funcionalidad, emplear NO KEEP-ALIVE.

3.11. LIST

Muestra por consola los valores de los parámetros configurables en el servidor SSH. No se listan únicamente los configurados, sino también los restantes, que tienen su valor por defecto. El uso de este comando es igual que el de LIST SERVER, ubicado en el menú principal de configuración de SSH, SSH Config>. Se puede hacer un listado completo de la configuración (LIST ALL) o bien focalizar sobre parámetros concretos. Las opciones disponibles son:

Comando Función ALL Lista la configuración completa del servidor SSH. AUTH-TIME Tiempo máximo permitido para completar la autenticación de un cliente. AUTHENTICATION Métodos posibles para la autenticación del cliente. CIPHERS Algoritmos de cifrado permitidos (SSHv2). CLIENT-ALIVE Mensajes para comprobar que la conexión sigue operativa (SSHv2). COMPRESSION Compresión de los datos en paquetes SSH. ENABLE Activación del servidor SSH. EPHEMERAL-KEY Clave efímera del servidor (SSHv1). KEEP-ALIVE Envío de paquetes de Keep-alive de TCP. MACS Algoritmos de autenticación del mensaje (SSHv2). MAX-AUTH-TRIES Máximo número de intentos de autenticación de cliente permitidos. MAX-CONNECTIONS Máximo número de conexiones simultáneas SSH permitidas. PORT Número de puerto TCP en el que escucha el servidor SSH. VERSION Compatibilidad con versiones SSHv1 y SSHv2.

a) LIST ALL Se describe toda la configuración del servidor SSH. El resultado es similar a hacer un listado consecutivo de cada una de las restantes opciones.

Sintaxis:

SSHS>list all

Ejemplo:

SSHS>list all SSH Server configuration: Server status: enabled Version compatibility: SSHv1 and SSHv2 Listening port: 22


II - 43 Doc.DM787

Rev.10.80

Payload compression: enabled Ciphers: 3des-cbc : available aes128-cbc : available aes192-cbc : available aes256-cbc : available aes128-ctr : available aes192-ctr : available aes256-ctr : available arcfour128 : available arcfour256 : available arcfour : available blowfish-cbc : available cast128-cbc : available Message Authentication Codes: hmac-md5 : available hmac-sha1 : available hmac-ripemd160 : available hmac-sha1-96 : available hmac-md5-96 : available Authentication methods: Password : available Public-key : available Key : pubkey1 Users : admin ssh-dss AAAAB3NzaC1kc3MAAACAdQpx45QBksY+YdceMCv1a7 OYFT/nKkFghAcEE3fGbz4vPJjXpSOIkgTARylPx+uEkmokN9nv RY0CT53r/+QlfxIBW1Z8Nu1TvI8qm0Ea0OYyDI6oEhMZhWFWKH HQmUQy1oCl3ndqgMT4rr3fEl2hbZeujJzrNVY4EQsfSF9KhV8A AAAVAI3hGhP6mxl/FEE7Xva+JfraCwHPAAAAgGMNblPcZeM5Dg bj1Vj/VEhpvAyvCW5E30X8jMl8YvSr7w/qaJoGAIEkgHb8efKT uUBt9nzot+QhLAiTwEe3Nf4GxeH9ifHLRrYTh/jPKTpYucK66O cU4X/9JJzcyUl+eqQDgDWhEPHviUb3EPQTuP19nOA65TBFj3ZB xv+tsftTAAAAgGtEZEcLQmDxsnM5pjelVtdnu7N/MHBTQTw8I+ Pm+BKEOjCiBMFKB/4l5+TL1T1ocP0QCIttx15A9QRCkab4VEJ8 pNIPnrkkNvyuk2BLgnNijwBpdVNfWEi7JSZrzadIJjlXGOcuez tvggqF9CR0f9WveLE2VMiLq7Jf2cp79yt9 dsa-key-2008012 8 Key : pubkey2 Users : client ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAn+U+8tigcZ7FkW lRjEjPW5nMqlH2LMA9SJqJxE1+UVzCrb0VGYmCQkn5fC6ZoRld B2kIPUNjNxss3KU2rRZLPx+k9Jlf9lyz2+LT8oMVKHzN0G7Nh+ ZKakJu8HFweb83VnngW08gf27hy5Cn/lO1dy9t9Ib4dAlWhvf2 n0ozMCach5xRkaDrq8mj1tuGE+OOGEVu8SZIY4NXUw0buJ3Bfi MPMaWnCH7WbhuwtfyqYvY7X9yq5grOf9qTfKXjQ8iZJPdXSNw1 e9FdD1ueLjLZx72a5Pz7UcHJMUwyDmAxGa6jZJYNtiAJobnIV3 HLo+T2r3V5sR5L9qMTR3VN4RNSnw== RSA : available Key : rsa_k Users : client2 1023 37 798458743537890626287808985236489077472652 66812863492943900643652158257944058563390058992294 51173715639607846263338310423413858715325915964374 01387845850415306821103328404262154828502339630126 28427593070313403301129101805661224245159936059098 97875549304327234412468874787807675754117378368916 5017928211763217 rsa-key-20080128


II - 44 Doc.DM787

Rev.10.80

Maximum number of authentication attempts: 6 Maximum time to complete authentication: 2m0s Maximum number of SSH connections: 4 Keep-alive activated: yes Client-alive message parameters: Maximum number of messages sent without response: 3 Interval between messages: 15s Ephemeral server key parameters: Number of bits: 768 Interval to regenerate server key: 1h0m0s SSHS>

El resultado de la ejecución muestra una configuración por defecto a la que simplemente se han añadido claves públicas de clientes.

b) LIST AUTH-TIME Use este comando para visualizar el tiempo disponible para realizar una autenticación.

Sintaxis:

SSHS>list auth-time

Ejemplo:

SSHS>list auth-time Maximum time to complete authentication: 2m0s SSHS>

c) LIST AUTHENTICATION Informa de los mecanismos de autenticación de cliente disponibles.

Sintaxis:

SSHS>list authentication

Ejemplo:

SSHS>list authentication Authentication methods: Password : available Public-key : available Key : pubkey1 Users : admin ssh-dss AAAAB3NzaC1kc3MAAACAdQpx45QBksY+YdceMCv1a7 OYFT/nKkFghAcEE3fGbz4vPJjXpSOIkgTARylPx+uEkmokN9nv RY0CT53r/+QlfxIBW1Z8Nu1TvI8qm0Ea0OYyDI6oEhMZhWFWKH HQmUQy1oCl3ndqgMT4rr3fEl2hbZeujJzrNVY4EQsfSF9KhV8A AAAVAI3hGhP6mxl/FEE7Xva+JfraCwHPAAAAgGMNblPcZeM5Dg bj1Vj/VEhpvAyvCW5E30X8jMl8YvSr7w/qaJoGAIEkgHb8efKT uUBt9nzot+QhLAiTwEe3Nf4GxeH9ifHLRrYTh/jPKTpYucK66O cU4X/9JJzcyUl+eqQDgDWhEPHviUb3EPQTuP19nOA65TBFj3ZB xv+tsftTAAAAgGtEZEcLQmDxsnM5pjelVtdnu7N/MHBTQTw8I+ Pm+BKEOjCiBMFKB/4l5+TL1T1ocP0QCIttx15A9QRCkab4VEJ8 pNIPnrkkNvyuk2BLgnNijwBpdVNfWEi7JSZrzadIJjlXGOcuez


II - 45 Doc.DM787

Rev.10.80

tvggqF9CR0f9WveLE2VMiLq7Jf2cp79yt9 dsa-key-2008012 8 Key : pubkey2 Users : client ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAn+U+8tigcZ7FkW lRjEjPW5nMqlH2LMA9SJqJxE1+UVzCrb0VGYmCQkn5fC6ZoRld B2kIPUNjNxss3KU2rRZLPx+k9Jlf9lyz2+LT8oMVKHzN0G7Nh+ ZKakJu8HFweb83VnngW08gf27hy5Cn/lO1dy9t9Ib4dAlWhvf2 n0ozMCach5xRkaDrq8mj1tuGE+OOGEVu8SZIY4NXUw0buJ3Bfi MPMaWnCH7WbhuwtfyqYvY7X9yq5grOf9qTfKXjQ8iZJPdXSNw1 e9FdD1ueLjLZx72a5Pz7UcHJMUwyDmAxGa6jZJYNtiAJobnIV3 HLo+T2r3V5sR5L9qMTR3VN4RNSnw== RSA : available Key : rsa_k Users : client2 1023 37 798458743537890626287808985236489077472652 66812863492943900643652158257944058563390058992294 51173715639607846263338310423413858715325915964374 01387845850415306821103328404262154828502339630126 28427593070313403301129101805661224245159936059098 97875549304327234412468874787807675754117378368916 5017928211763217 rsa-key-20080128 SSHS>

Se presenta, además de la disponibilidad de cada método, cada una de las claves públicas admitidas en los métodos Public-Key y RSA, junto con los usuarios que pueden hacer uso de ellas. En cuanto a la configuración de los usuarios y contraseñas, no forma parte del protocolo SSH, sino que es general para todo el equipo. El comando a emplear para dicho propósito es USER, del menú raíz de configuración.

Se puede listar cada método de autenticación por separado añadiendo una opción:

Comando Función PASSWORD Uso de contraseña. PUBLIC-KEY Uso de clave pública RSA / DSA (SSHv2) y claves admitidas. RSA Uso de RSA (SSHv1) y claves admitidas.

• LIST AUTHENTICATION PASSWORD Informa del permiso para que el cliente emplee contraseña en su autenticación.

Sintaxis:

SSHS>list authentication password

Ejemplo:

SSHS>list authentication password Password : available SSHS>


II - 46 Doc.DM787

Rev.10.80

• LIST AUTHENTICATION PUBLIC-KEY Informa del permiso para que el cliente emplee clave pública (SSHv2) en su autenticación, y lista las admitidas. Con cada clave se especifican los usuarios asociados.

Sintaxis:

SSHS>list authentication public-key

Ejemplo:

SSHS>list authentication public-key Public-key : available Key : pubkey1 Users : admin ssh-dss AAAAB3NzaC1kc3MAAACAdQpx45QBksY+YdceMCv1a7 OYFT/nKkFghAcEE3fGbz4vPJjXpSOIkgTARylPx+uEkmokN9nv RY0CT53r/+QlfxIBW1Z8Nu1TvI8qm0Ea0OYyDI6oEhMZhWFWKH HQmUQy1oCl3ndqgMT4rr3fEl2hbZeujJzrNVY4EQsfSF9KhV8A AAAVAI3hGhP6mxl/FEE7Xva+JfraCwHPAAAAgGMNblPcZeM5Dg bj1Vj/VEhpvAyvCW5E30X8jMl8YvSr7w/qaJoGAIEkgHb8efKT uUBt9nzot+QhLAiTwEe3Nf4GxeH9ifHLRrYTh/jPKTpYucK66O cU4X/9JJzcyUl+eqQDgDWhEPHviUb3EPQTuP19nOA65TBFj3ZB xv+tsftTAAAAgGtEZEcLQmDxsnM5pjelVtdnu7N/MHBTQTw8I+ Pm+BKEOjCiBMFKB/4l5+TL1T1ocP0QCIttx15A9QRCkab4VEJ8 pNIPnrkkNvyuk2BLgnNijwBpdVNfWEi7JSZrzadIJjlXGOcuez tvggqF9CR0f9WveLE2VMiLq7Jf2cp79yt9 dsa-key-2008012 8 Key : pubkey2 Users : client ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAn+U+8tigcZ7FkW lRjEjPW5nMqlH2LMA9SJqJxE1+UVzCrb0VGYmCQkn5fC6ZoRld B2kIPUNjNxss3KU2rRZLPx+k9Jlf9lyz2+LT8oMVKHzN0G7Nh+ ZKakJu8HFweb83VnngW08gf27hy5Cn/lO1dy9t9Ib4dAlWhvf2 n0ozMCach5xRkaDrq8mj1tuGE+OOGEVu8SZIY4NXUw0buJ3Bfi MPMaWnCH7WbhuwtfyqYvY7X9yq5grOf9qTfKXjQ8iZJPdXSNw1 e9FdD1ueLjLZx72a5Pz7UcHJMUwyDmAxGa6jZJYNtiAJobnIV3 HLo+T2r3V5sR5L9qMTR3VN4RNSnw== SSHS>

• LIST AUTHENTICATION RSA Informa del permiso para que el cliente emplee clave pública RSA en su autenticación, con formato RSA1 (SSHv1); se listan además las claves admitidas. Con cada clave se especifican los usuarios asociados.

Sintaxis:

SSHS>list authentication rsa

Ejemplo:

SSHS>list authentication rsa RSA : available Key : rsa_k Users : client2


II - 47 Doc.DM787

Rev.10.80

1023 37 798458743537890626287808985236489077472652 66812863492943900643652158257944058563390058992294 51173715639607846263338310423413858715325915964374 01387845850415306821103328404262154828502339630126 28427593070313403301129101805661224245159936059098 97875549304327234412468874787807675754117378368916 5017928211763217 rsa-key-20080128 SSHS>

d) LIST CIPHERS Presenta la disponibilidad de cada uno de los algoritmos de cifrado implementados.

Sintaxis:

SSHS>list ciphers

Ejemplo:

SSHS>list ciphers Ciphers: 3des-cbc : available aes128-cbc : available aes192-cbc : available aes256-cbc : available aes128-ctr : available aes192-ctr : available aes256-ctr : available arcfour128 : available arcfour256 : available arcfour : available blowfish-cbc : available cast128-cbc : available SSHS>

e) LIST CLIENT-ALIVE Este comando ha de ejecutarse seguido de una de estas dos opciones:


• LIST CLIENT-ALIVE INTERVAL Indica cada cuánto tiempo sin tráfico de datos se envían los mensajes de Client-Alive.

Sintaxis:

SSHS>list client-alive interval

Ejemplo:

SSHS>list client-alive interval Client-alive message parameters: Interval between messages: 15s SSHS>

• LIST CLIENT-ALIVE MAX-COUNT Indica el número de mensajes de Client-Alive sin respuesta que se permiten antes de que el servidor cierre la conexión.


II - 48 Doc.DM787

Rev.10.80

Sintaxis:

SSHS>list client-alive max-count

Ejemplo:

SSHS>list client-alive max-count Client-alive message parameters: Maximum number of messages sent without response: 3 SSHS>

f) LIST COMPRESSION Muestra si se permite la compresión de los datos en los paquetes SSH, ya sea incluyendo compresión estandarizada (zlib), o sólo con la aplazada a después de la autenticación ([email protected]).

Sintaxis:

SSHS>list compression

Ejemplo:

SSHS>list compression Payload compression: enabled SSHS>

g) LIST ENABLE Use este comando para saber si el servidor SSH está habilitado o no.

Sintaxis:

SSHS>list enable

Ejemplo:

SSHS>list enable Server status: enabled SSHS>

h) LIST EPHEMERAL-KEY Ejecute este comando seguido de una de estas dos opciones:

Comando Función BITS Longitud en bits de la clave efímera. REGENERATION-INTERVAL Periodo establecido para generar de nuevo la clave efímera.

• LIST EPHEMERAL-KEY BITS Informa el número de bits con que se genera la clave efímera de SSHv1.

Sintaxis:

SSHS>list ephemeral-key bits


II - 49 Doc.DM787

Rev.10.80

Ejemplo:

SSHS>list ephemeral-key bits Ephemeral server key parameters: Number of bits: 768 SSHS>

• LIST EPHEMERAL-KEY REGENERATION-INTERVAL Indica el tiempo que transcurre desde que se usa una clave efímera hasta que se vuelve a generar.

Sintaxis:

SSHS>list ephemeral-key regeneration-interval

Ejemplo:

SSHS>list ephemeral-key regeneration-interval Ephemeral server key parameters: Interval to regenerate server key: 1h0m0s SSHS>

i) LIST KEEP-ALIVE Informa de la configuración del envío de paquetes de Keep-Alive de TCP, empleados para asegurar que la conexión está establecida.

Sintaxis:

SSHS>list keep-alive

Ejemplo:

SSHS> list keep-alive Keep-alive activated: yes SSHS>

j) LIST MACS Presenta la disponibilidad de cada uno de los algoritmos de autenticación de mensaje (MAC) implementados.

Sintaxis:

SSHS>list macs

Ejemplo:

SSHS>list macs Message Authentication Codes: hmac-md5 : available hmac-sha1 : available hmac-ripemd160 : available hmac-sha1-96 : available hmac-md5-96 : available SSHS>

k) LIST MAX-AUTH-TRIES Devuelve el máximo número de intentos de autenticación de cliente permitidos. Cuando se alcanza dicho valor con intentos fallidos, el servidor cierra la conexión.


II - 50 Doc.DM787

Rev.10.80

Sintaxis:

SSHS>list max-auth-tries

Ejemplo:

SSHS>list max-auth-tries Maximum number of authentication attempts: 6 SSHS>

l) LIST MAX-CONNECTIONS Número máximo de conexiones SSH simultáneas que el servidor admite.

Sintaxis:

SSHS>list max-connections

Ejemplo:

SSHS>list max-connections Maximum number of SSH connections: 4 SSHS>

m) LIST PORT Muestra el número de puerto TCP en el que escucha el servidor SSH.

Sintaxis:

SSHS>list port

Ejemplo:

SSHS>list port Listening port: 22 SSHS>

n) LIST VERSION Informa de la compatibilidad del servidor con versiones SSHv1 y SSHv2.

Sintaxis:

SSHS>list version

Ejemplo:

SSHS>list version Version compatibility: SSHv1 and SSHv2 SSHS>

3.12. LOGIN

Este comando asocia una lista de métodos de tipo authentication login que ha sido definida utilizando la facilidad AAA. De esta forma el servicio SSH aplica los métodos de la lista asociada cuando necesite realizar la autenticación de algún usuario. Sintaxis:

SSHS config>login authentication <listname>

<listname>: Identificador de la lista de métodos de autenticación.


II - 51 Doc.DM787

Rev.10.80

Ejemplo:

SSHS config>login authentication AutheLogin SSHS config>

En el ejemplo se configura la lista de métodos AutheLogin para que sea usada cuando se requiera autenticación a un usuario accediendo por SSH. Las listas de métodos sólo pueden ser aplicadas si se encuentra la facilidad AAA habilitada. Por ello, una vez finalizada la configuración de AAA se debe habilitar para poder aplicar las listas a los distintos servicios. La información sobre como configurar la facilidad AAA se puede encontrar en el manual “Dm800 Facilidad AAA”.

3.13. MACS

Mediante este comando se seleccionan los algoritmos de autenticación de mensaje (Message Authentication Codes) permitidos, usados para verificar la integridad de los paquetes en SSHv2. Por defecto, se encuentran todos habilitados, de forma que queda a elección del cliente el uso de uno u otro. Los algoritmos implementados son:

Comando Función HMAC-MD5 Algoritmo hash MD5. HMAC-MD5-96 Algoritmo hash MD5 con truncado a 96 bits. HMAC-RIPEMD160 Algoritmo hash RIPEMD de 160 bits. HMAC-SHA1 Algoritmo hash SHA-1. HMAC-SHA1-96 Algoritmo hash SHA-1 con truncado a 96 bits.

Para deshabilitar un algoritmo de cifrado, ejecutar NO MACS [NOMBRE].

a) MACS [NOMBRE] Habilita el algoritmo de autenticación de mensaje con el nombre indicado.

Sintaxis:

SSHS>macs <nombre>

Ejemplo:

SSHS>macs hmac-md5 SSHS>

3.14. MAX-AUTH-TRIES

Establece el número máximo de intentos de autenticación de cliente. Una vez que el número de intentos fallidos iguala a este valor, el servidor cierra la conexión. Por defecto, este parámetro se inicia a 6 intentos.

Sintaxis:

SSHS>max-auth-tries <numero>


II - 52 Doc.DM787

Rev.10.80

Ejemplo:

SSHS>max-auth-tries 3 SSHS>

Debe tenerse en cuenta también el tiempo máximo de autenticación (AUTH-TIME), dado que si este intervalo se sobrepasa, la conexión se cierra igualmente, aunque no se haya alcanzado el máximo de intentos. Por último, se hace constar que al cliente no le es posible autenticarse con un nombre de usuario diferente si ése fue el parámetro erróneo, por lo que debe prestarse atención al introducir el nombre usuario.

3.15. MAX-CONNECTIONS

Fija el número máximo de conexiones simultáneas SSH que el servidor está dispuesto a mantener. Puede haber, por tanto, tantos clientes SSH conectados como marque el valor de este parámetro. Por defecto, el número máximo de conexiones es 4.

Sintaxis:

SSHS>max-connections <numero>

Ejemplo:

SSHS>max-connections 10 SSHS>

En el caso de que, al configurar dinámicamente este parámetro, el nuevo máximo sea inferior al número de conexiones SSH que están operativas, no se cierra ninguna de las conexiones; sin embargo, el servidor no admite nuevos clientes hasta que el número de las conexiones en curso sea menor que el nuevo máximo establecido.

Otro aspecto, pero en este caso no configurable, es el número máximo de clientes conectados al servidor pero no autenticados. Dicho valor es de 4 conexiones no autenticadas. Así que, cuando un nuevo cliente intenta conectarse al servidor, éste rechaza la conexión si se había alcanzado dicho máximo. Conforme los clientes aún no autenticados completan satisfactoriamente el proceso de autenticación o se cierran sus conexiones, el servidor vuelve a aceptar nuevas conexiones hasta llegar al máximo establecido en MAX-CONNECTIONS.

3.16. NO

Restablece el valor por defecto o deshabilita una funcionalidad del servidor SSH. Dado que no todos los comandos de este menú son estáticos, tampoco están disponibles todas las opciones en el menú dinámico.

Comando Función ACCOUNTING Configura las opciones de contabilización AAA. AUTH-TIME Valor por defecto del tiempo máximo permitido para la autenticación. AUTHENTICATION Deshabilita un método de autenticación de cliente. AUTHORIZATION Configura las opciones de autorización AAA. CIPHERS Prohíbe el uso de un algoritmo de cifrado. CLIENT-ALIVE Valor por defecto de un parámetro de Client-Alive.


II - 53 Doc.DM787

Rev.10.80

COMPRESSION Valor por defecto de la compresión (compresión permitida). ENABLE Deshabilita el servidor SSH. EPHEMERAL-KEY Valor por defecto de un parámetro de la clave efímera. KEEP-ALIVE Desactiva el envío de paquetes TCP de Keep-Alive. LOGIN Configura las opciones de autenticación AAA. MACS Prohíbe el uso de un método de autenticación de mensaje. MAX-AUTH-TRIES Valor por defecto de máximo de intentos de autenticación. MAX-CONNECTIONS Valor por defecto de máximo de conexiones SSH simultáneas. PORT Valor por defecto de puerto TCP de escucha del servidor. VERSION Valor por defecto de compatibilidad (ambas versiones habilitadas).

a) NO ACCOUNTING Elimina una lista de métodos que ha sido definida utilizando AAA para contabilización de SSH.

Sintaxis:

SSHS>no accounting {commands <privilege-level> | exec}

Ejemplo:

SSHS>no accounting commands 10 SSHS>

b) NO AUTH-TIME Restablece el valor por defecto del tiempo máximo permitido para la autenticación, que es de 2 minutos.

Sintaxis:

SSHS>no auth-time

Ejemplo:

SSHS>no auth-time SSHS>

c) NO AUTHENTICATION PASSWORD Deshabilita la autenticación del cliente mediante usuario y contraseña, que por defecto está habilitada.

Sintaxis:

SSHS>no authentication password

Ejemplo:

SSHS>no authentication password SSHS>

En cuanto al resto de métodos de autenticación (Public-Key y RSA), los comandos de NO correspondientes se encuentran dentro de los menús SSHS PK> y SSHS RSA>. Para más información, consultar los comandos AUTHENTICATION PUBLIC-KEY y AUTHENTICATION RSA del menú de configuración del servidor SSHS>.

d) NO AUTHORIZATION Elimina una lista de métodos que ha sido definida utilizando AAA para autorización de SSH.


II - 54 Doc.DM787

Rev.10.80

Sintaxis:

SSHS>no authorization {commands <privilege-level> | exec}

Ejemplo:

SSHS>no authorization exec SSHS>

e) NO CIPHERS Deshabilita el método de cifrado indicado por el nombre introducido, cambiando su estado a no permitido. Sólo es relevante para SSHv2. Por defecto, todos los algoritmos de cifrado implementados están habilitados:

Comando Función 3DES-CBC Triple DES con cipher-block chaining. AES128-CBC AES con cipher-block chaining y clave de 128 bits. AES128-CTR AES con cifrado con contador y clave de 128 bits. AES192-CBC AES con cipher-block chaining y clave de 192 bits. AES192-CTR AES con cifrado con contador y clave de 192 bits. AES256-CBC AES con cipher-block chaining y clave de 256 bits. AES256-CTR AES con cifrado con contador y clave de 256 bits. ARCFOUR Alleged-RC4. ARCFOUR128 Alleged-RC4 con clave de 128 bits. ARCFOUR256 Alleged-RC4 con clave de 256 bits. BLOWFISH-CBC Blowfish con cipher-block chaining. CAST128-CBC CAST con cipher-block chaining y clave de 128 bits. Sintaxis:

SSHS>no ciphers <nombre>

Ejemplo:

SSHS>no ciphers arcfour256 SSHS>

f) NO CLIENT-ALIVE Restablece el valor por defecto del parámetro seleccionado. Dichos parámetros configuran el envío de mensajes de Client-Alive que, generados por el servidor con versión SSHv2, comprueban que la conexión SSH con el cliente sigue operativa. Las opciones posibles:


• NO CLIENT-ALIVE INTERVAL Restablece el valor por defecto del intervalo entre mensajes consecutivos de Client-Alive, de 15 segundos. Es el periodo que transcurre mientras no haya tráfico de datos entre cliente y servidor.


II - 55 Doc.DM787

Rev.10.80

Sintaxis:

SSHS>no client-alive interval

Ejemplo:

SSHS>no client-alive interval SSHS>

• NO CLIENT-ALIVE MAX-COUNT Establece que el máximo número de mensajes de Client-Alive consecutivos sin contestación sea 3, el valor inicial de este parámetro. Si lo que se desea es deshabilitar la funcionalidad de Client-Alive, cambiar CLIENT-ALIVE INTERVAL a un valor de 0 segundos.

Sintaxis:

SSHS>no client-alive max-count

Ejemplo:

SSHS>no client-alive max-count SSHS>

g) NO COMPRESSION Establece la disponibilidad de la compresión a su valor por defecto, que consiste en permitir tanto la compresión normal como la aplazada ([email protected]); es decir, fija un valor de YES.

Sintaxis:

SSHS>no compression

Ejemplo:

SSHS>no compression SSHS>

h) NO ENABLE Desactiva el servidor SSH. Este comando sólo está disponible en configuración estática, puesto que no se puede deshabilitar el servidor en el caso de que se esté ejecutando. Éste es el estado por defecto del servidor. Se observa que con el comando ENABLE se generan las host-keys que se consideren necesarias, pero con el comando opuesto, NO ENABLE, no se borra ninguna host-key; de tal forma, las mismas claves que se usaron antes son las que se emplean de nuevo para identificar el equipo. Si desea borrar también dichas claves, haga uso del comando NO HOST-KEY [TIPO] del menú principal de configuración de SSH.

Sintaxis:

SSHS>no enable

Ejemplo:

SSHS>no enable SSHS>

i) NO EPHEMERAL-KEY Cambia el parámetro seleccionado a su valor por defecto. Este comando configura en el servidor la generación de la clave RSA que se usa para la sesión en SSHv1. Las opciones posibles:


II - 56 Doc.DM787

Rev.10.80

Comando Función BITS Restablece la longitud de la clave efímera a 768 bits. REGENERATION-INTERVAL Periodo por defecto de 1 hora para generar la clave.

• NO EPHEMERAL-KEY BITS Devuelve el valor por defecto a la longitud de la clave efímera de SSHv1, que es de 768 bits.

Sintaxis:

SSHS>no ephemeral-key bits

Ejemplo:

SSHS>no ephemeral-key bits SSHS>

• NO EPHEMERAL-KEY REGENERATION-INTERVAL Se establece que el periodo de generación de la clave efímera sea de 1 hora. El temporizador empieza a contar desde que se usa la clave por primera vez, ya que, mientras no se emplee, sigue siendo segura indefinidamente.

Sintaxis:

SSHS>no ephemeral-key regeneration-interval

Ejemplo:

SSHS>no ephemeral-key regeneration-interval SSHS>

j) NO KEEP-ALIVE Deshabilita el envío de paquetes Keep-Alive de TCP, que por defecto se encuentra habilitado. La finalidad de dichos paquetes es comprobar que la conexión TCP sigue establecida y operativa.

Sintaxis:

SSHS>no keep-alive

Ejemplo:

SSHS>no keep-alive SSHS>

k) NO LOGIN Elimina una lista de métodos que ha sido definida utilizando AAA para autenticación de SSH.

Sintaxis:

SSHS>no login authentication

Ejemplo:

SSHS>no login authentication SSHS>

l) NO MACS Deshabilita el método de autenticación de mensaje indicado por el nombre introducido, cambiando su estado a no permitido. Sólo es relevante para SSHv2. Por defecto, todos los algoritmos de autenticación de mensaje (MAC) implementados están habilitados:


II - 57 Doc.DM787

Rev.10.80

Comando Función HMAC-MD5 Algoritmo hash MD5. HMAC-MD5-96 Algoritmo hash MD5 con truncado a 96 bits. HMAC-RIPEMD160 Algoritmo hash RIPEMD de 160 bits. HMAC-SHA1 Algoritmo hash SHA-1. HMAC-SHA1-96 Algoritmo hash SHA-1 con truncado a 96 bits. Sintaxis:

SSHS>no macs <nombre>

Ejemplo:

SSHS>no macs hmac-sha1-96 SSHS>

m) NO MAX-AUTH-TRIES Restablece el número máximo de intentos de autenticación por parte del cliente a su valor por defecto, 6 intentos.

Sintaxis:

SSHS>no max-auth-tries

Ejemplo:

SSHS>no max-auth-tries SSHS>

n) NO MAX-CONNECTIONS Fija el número máximo de conexiones SSH que el servidor permite mantener simultáneamente a su valor inicial de 4 conexiones.

Sintaxis:

SSHS>no max-connections

Ejemplo:

SSHS>no max-connections SSHS>

o) NO PORT Tras emplear este comando, el servidor escucha, esperando nuevas conexiones, en el puerto TCP asignado por IANA para el protocolo SSH. Éste es el puerto 22.

Sintaxis:

SSHS>no port

Ejemplo:

SSHS>no port SSHS>

p) NO VERSION Cambia la compatibilidad de versiones a su valor por defecto ANY, que permite que tanto clientes con versión SSHv1 como los que usan SSHv2, puedan conectarse al servidor.


II - 58 Doc.DM787

Rev.10.80

Sintaxis:

SSHS>no version

Ejemplo:

SSHS>no version SSHS>

3.17. PORT

Permite configurar el puerto TCP de escucha del servidor SSH. Por defecto, es el 22, el asignado por IANA. El cliente debe establecer en primer lugar una conexión TCP con el servidor, empleando el puerto configurado; es entonces cuando se procede a la negociación de SSH entre cliente y servidor.

Sintaxis:

SSHS>port <numero>

Ejemplo:

SSHS>port 2690 SSHS>

3.18. VERSION

Use este comando para seleccionar la compatibilidad con la versión de SSH deseada. Por defecto, el servidor acepta conexiones de clientes con versiones SSHv1 y SSHv2, por lo que en ese caso se anuncia en el mensaje inicial con versión “SSH-1.99”. El uso de SSHv1 no se recomienda, pero se mantiene por si acaso el cliente sólo permite el empleo de dicha versión. Si se prevé que todos los clientes soporten SSHv2, se aconseja deshabilitar dicha funcionalidad. Las opciones posibles a introducir son:

Comando Función 1 Sólo compatible con SSHv1 (NO RECOMENDADO). 2 Sólo compatible con SSHv2. ANY Compatible con SSHv1 y SSHv2 (por defecto).

Sintaxis:

SSHS>version <opcion>

Ejemplo:

SSHS>version 2 SSHS>

3.19. EXIT

Use este comando para volver al menú principal de configuración de SSH, con prompt SSH Config>.


II - 59 Doc.DM787

Rev.10.80

Sintaxis:

SSHS>exit

Ejemplo:

SSHS>exit SSH Config>


II - 60 Doc.DM787

Rev.10.80

4. Pasos para una buena configuración de SSH

Se explican a continuación los pasos a seguir para configurar el protocolo SSH. Es necesario el empleo de comandos que quedan fuera de la descripción de este manual, por lo que se remite al lector a los manuales correspondientes para profundizar en el manejo de dichos comandos.

4.1. Configuración del servidor

El proceso de configuración del servidor SSH requiere la ejecución de un conjunto de comandos, algunos de SSH y otros no. Se advierte que, si el estado del servidor se encuentra en su valor por defecto, deshabilitado, es necesario reiniciar el equipo más adelante. Esto se debe a que una parte significativa de los comandos son de configuración estática, por lo que es también imprescindible el guardado de la configuración. Se presupone que el equipo ya cuenta con una dirección IP a la que los clientes se pueden conectar.

En cuanto a la configuración de la aplicación que se emplee como cliente a la hora de conectarse al servidor SSH del equipo Teldat, el usuario debe consultar la información suministrada por los desarrolladores de dicha aplicación.

a) Creación de usuario y contraseña El proceso de conexión de SSH conlleva una autenticación del cliente en el equipo servidor, para lo que es imprescindible conocer qué usuarios están registrados. Si el equipo no dispone de usuarios, han de crearse empleando el comando USER del menú de configuración principal. Las únicas dos alternativas son:

• Que la autenticación se haga por contraseña y dejar que la facilidad AAA la gestione.

• Que la autenticación se haga por contraseña y se emplee un servidor RADIUS, externo a la funcionalidad AAA, que tenga los usuarios configurados.

Se presenta a continuación un ejemplo de cómo crear en el equipo una cuenta de usuario con su contraseña asociada:

*p 4 Config>user teldat password secreto Config>

En la configuración ya no se muestra la contraseña en claro, sino cifrada:

Config>show config ; Showing Menu and Submenus Configuration for access-level 15 ... ; ATLAS50 Router 9 24 Version 10.7.12-Alfa log-command-errors no configuration user teldat hash-password 17BC63FEA1F40F68187E6C435E412BB7 ; ; network ethernet0/0 ; -- Ethernet Interface User Configuration --


II - 61 Doc.DM787

Rev.10.80

ip address 192.168.121.33 255.255.0.0 ; ; ; ; ; exit ; dump-command-errors end Config>

Para información más avanzada, como la gestión de usuarios, consulte el manual Dm 704 Configuración y Monitorización.

b) Compatibilidad de versiones En este momento debe decidirse con qué versiones de SSH va a ser compatible nuestro servidor. Por defecto, está habilitada la compatibilidad con las versiones SSHv1 y SSHv2. Si no desea modificarlo, vaya al siguiente paso.

Se recomienda no emplear la primera versión, SSHv1, por lo que si prevé que todos los clientes potenciales soportan SSHv2, cambie la compatibilidad a la segunda versión únicamente. Por el contrario, si desea mantener la compatibilidad hacia atrás para posibles clientes que no soporten SSHv2, pase al siguiente punto.

Config>feature ssh -- SSH protocol configuration -- SSH Config>server -- SSH Server -- SSHS>version 2 SSHS>

c) Elección de las host-keys Una vez determinada la compatibilidad de versiones, debe decidirse las características de las host-keys a emplear. Si se desea insertar host-keys de configuraciones previas, consulte la descripción del comando HOST-KEY [TIPO] INSERT.

Si es la primera vez que configura SSH, han de generarse las claves que identifican al servidor frente a los clientes. Cuando más adelante se habilite el servidor, se generan automáticamente las claves necesarias con 1024 bits de longitud. Si está habilitada la compatibilidad con SSHv1, se genera una clave RSA1. Si la versión SSHv2 está incluida, se genera una clave de tipo RSA. Si el lector está conforme con una clave RSA para SSHv2 y con que las longitudes sean de 1024 bits, pase al siguiente punto.

Si desea realizar alguna modificación en esta generación, anticípese a la generación automática para ahorrar tiempo en la configuración. Se analizan las posibilidades:

Si se mantiene la compatibilidad con SSHv1, necesariamente la host-key ha de ser del tipo RSA1. Si desea que la longitud sea diferente de 1024 bits (por ejemplo, 1536 bits), ejecute lo siguiente indicando la longitud deseada:


II - 62 Doc.DM787

Rev.10.80

Config>feature ssh -- SSH protocol configuration -- SSH Config>host-key rsa1 generate 1536 Generating public/private rsa1 key pair... Please wait for a few seconds. Key generation done. Public key: 1536 35 15395870189579834143383499263836502730355937791246750842 0766640556662090823310864817025228826352441749111783489552769911 9639708956396044015448566573781658816138161042117522667342273473 1978935240109989589240939176844801249252805213735013839068027601 7515139729960831955943568873934949111279630668945662737719633606 2052591783326421206270573383292451631263917245501815548196563428 4064931566075988822771348850067450467840561217411044341822444224 15692826628915662340199 The key fingerprint is: 8e:6a:55:63:f7:65:1b:f1:02:f4:bd:54:fb:4f:35:27 SSH Config>

En cuanto a la clave de SSHv2, hay posibilidad de elección entre RSA y DSA. Por defecto, al habilitar el servidor se genera una RSA de 1024 bits. Si desea cambiar su longitud, o bien que la host-key sea DSA, o bien que el servidor disponga tanto de clave RSA como DSA, ejecute lo siguiente según el caso (uno de los procedimientos o ambos), prestando atención a la longitud de la clave RSA.

RSA:

Config>feature ssh -- SSH protocol configuration -- SSH Config>host-key rsa generate 2048 Generating public/private rsa key pair... Please wait for a few seconds. Key generation done. Public key: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEAy8u/yoxVS8SBr99UQEX481ArzDP1 d20SrY7Cs98oe3eFcYOZGwmi1ZNUNEiyuZU46pBWilYCwCy2Xho27UGr/KkZX3vy yH9bAlV4rwkRHXkTt/ZNgiQ3hVFGJLnvLPliyTFtyOstEbw5JJ8g2FOlvq0oRTds 1B0zt41As/Hok1xa0anPeLV29pS5LrBobQj0mKR0+PNvRjFtGe0J4Hy8v3NtRBC2 ogmQQ612H7ZhXDXAwpoMN6nQMsnYAmkizKh5b9+F/tK47keuEFYP9BHHgL601zeB lkn3eQ+iG2/Ur9apP+e3qEAaiKcY94uJ/v7AX8Iv9wg0YKuKMKDO0AxHrw== The key fingerprint is: 6e:13:de:32:14:fc:78:aa:6d:5a:26:05:0e:be:5c:01 SSH Config>

DSA:

SSH Config>host-key dsa generate Generating public/private dsa key pair... Please wait for a few seconds.


II - 63 Doc.DM787

Rev.10.80

Key generation done. Public key: ssh-dss AAAAB3NzaC1kc3MAAACBAJ9hGEihxgSO1BZ3t/K/d0csAxC9VubAyKjV rkyAHl6u1snNQZM1u/HNA0vECH63T634Gpz7xzhWlce/CYl6OZbos6LWsHr/dlSR MwOC0kF1dvkI1vDTOtf+75TlhFbID3levC1Lo2JwrOqf3W+sBcXT3qv0uMVwGCil UGb4F7mJAAAAFQCoEF67qaVYwKsxHnj3cgRKxdu4wQAAAIBiA/4dt7nuFY41xEDD JW95WvamLZtfRH4E/f43Je6IsL6CYv0JhdodLULy9R8HOAQ2w+s7NC3gznhwyme9 Sv4DzBIe5lUtf7DJigHAArXrbmRU45hJ6PoAmntrohmGh/nK+N9aPtRksoSTGU0N cn1M0Q2DV8CalONcqqJMeNNFhQAAAIBg24fhfSSMBazImq6Vjr9Kqt/Qtsubws4I lvBv14ffMpExeUS+/BAKj0GMrfFL75eDU3L8axdDVqruzqBAr2S2Ah3r+UZobQDy VxLhtiLtHygpq8NtjZD0+DDsmobQNaPbFAblUqH8hr5H8hBq6HsVAt6cFHhYh6ue lJCiilC8Ag== The key fingerprint is: 6c:29:36:91:58:b7:bf:15:1b:72:54:3e:93:bc:cb:e4 SSH Config>

La generación de claves conlleva un procesado muy elevado, por lo que, según el equipo, el tipo de clave a usar y su longitud, el tiempo requerido puede llegar a durar varios minutos. En contraposición, este proceso de generación de claves debe realizarse sólo una vez por equipo.

d) Activación del servidor En este paso se habilita el servidor, por lo que, cuando se guarde la configuración y se reinicie el equipo, el servidor SSH arranca y se pone a la escucha de clientes SSH. Dependiendo de lo realizado en el punto anterior, acerca de la elección de las host-keys, tiene lugar una generación de claves o no. Suponiendo que no se ha generado ninguna host-key previamente, el resultado es similar a este:

Config>feature ssh -- SSH protocol configuration -- SSH Config>server -- SSH Server -- SSHS>enable Hostkeys for SSHv1 and SSHv2 not found in config Generating public/private rsa1 key pair... Please wait for a few seconds. Key generation done. Public key: 1024 35 15432786495890011256590334136108871371683443719953266934 1669735536131263850541188761930253773041643800977721757100219858 0654115081071493764373252615104438669848742056849742709313080675 1196133356243526157859512801760325744289280950757198892914694769 1949421675284134332362671477102618739031477877190305796041081 The key fingerprint is: 07:fe:99:4c:c4:e9:bd:f8:7f:c4:e0:8a:c8:94:8a:4e Generating public/private rsa key pair... Please wait for a few seconds. Key generation done. Public key: ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEA1IyO4HqZk4WghKgm9aE+1puDgCyS hmzs8vpaf0SHdzZjKHVAbGv3UnNP7DDUUsc4LnhVbcfnmNnCJnb1yCs725E2awuH zMc/o0B4jPmnL8H/qk8dp65vjDXj5YJD6F7824Lasb4V2VjCvjVJw589ZDG/qvLU JFpeGJPJB9uiUp8=


II - 64 Doc.DM787

Rev.10.80

The key fingerprint is: 53:30:ff:e4:1f:04:25:2a:df:34:d1:ac:19:33:04:fd Hostkeys have been generated. Remember to save config! SSHS>

En el ejemplo, se han generado las dos claves RSA1 y RSA, dado que no estaban presentes en la configuración. Hay dos claves posibles, y sólo se ha generado la clave necesaria.

Para el caso de que las claves que el servidor necesita ya estuvieran generadas, se obtiene sencillamente:

SSH Config>server -- SSH Server -- SSHS>enable SSHS>

e) Opciones avanzadas del servidor La configuración por defecto del servidor SSH se puede considerar como permisiva, dando lugar a que las características o funcionalidades implementadas estén configuradas como disponibles. Dentro del menú del servidor, cuyo prompt es SSHS>, pueden especificarse otros valores para cada una de las variables, habitualmente imponiendo mayores restricciones. Sin embargo, uno de los parámetros que normalmente deben configurarse es la autenticación del cliente. Si aún así no desea realizar ningún cambio, pase al siguiente punto.

En cuanto a la autenticación del cliente, en el primer paso se creó una cuenta de usuario con su contraseña. Si desea que la autenticación no sea por contraseña, o bien porque le interesa contar con otros mecanismos de autenticación, es necesario insertar en la configuración las claves públicas (para SSHv1 ó SSHv2). Para información más completa, consultar los comandos AUTHENTICATION PUBLIC-KEY y AUTHENTICATION RSA.

Se propone a continuación un ejemplo sencillo. Si en la aplicación cliente se desea emplear la autenticación por Public-Key de SSHv2, y se dispone de la siguiente clave (todo es una línea): ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAIBOcV+xGKKNuQ4GXEMvbJ09ib9kmArxHrlvmtXtnZdnyW2KOLcCIbwWWZoqr6O2LPuwrhE/K2/nKe0Q+7U3K8aVmNLEtv/0DR61dYZGuLsto4nX8XbwSTLg3KF3EexE5AzP6ETM3tMSpd0OoJPYRxB0xUJGqrO/F+lJYu5QO0PtqQ== rsa-key-20080206

En primer lugar la troceamos: ssh-rsa

AAAAB3NzaC1yc2EAAAABJQAAAIBOcV+xGKKNuQ4GXEMvbJ09ib9kmArxHrlv

mtXtnZdnyW2KOLcCIbwWWZoqr6O2LPuwrhE/K2/nKe0Q+7U3K8aVmNLEtv/0

DR61dYZGuLsto4nX8XbwSTLg3KF3EexE5AzP6ETM3tMSpd0OoJPYRxB0xUJG

qrO/F+lJYu5QO0PtqQ== rsa-key-20080206

La insertamos con el nombre “cliente1”:


II - 65 Doc.DM787

Rev.10.80

SSHS>authentication public-key -- Public-Key configuration in SSH server -- SSHS PK>key cliente1 SSHS KEY cliente1>insert Enter the public key (type + base64) <cr> to escape ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAIBOcV+xGKKNuQ4GXEMvbJ09ib9kmArxHrlv mtXtnZdnyW2KOLcCIbwWWZoqr6O2LPuwrhE/K2/nKe0Q+7U3K8aVmNLEtv/0 DR61dYZGuLsto4nX8XbwSTLg3KF3EexE5AzP6ETM3tMSpd0OoJPYRxB0xUJG qrO/F+lJYu5QO0PtqQ== rsa-key-20080206 SSHS KEY cliente1>

Le asociamos luego el nombre de usuario que puede hacer uso de la clave; por ejemplo, el usuario creado al principio, “teldat”:

SSHS KEY cliente1>user teldat SSHS KEY cliente1>

f) Sobre Telnet Uno de los principales objetivos de SSH es conferir seguridad al acceso por consola a un equipo. Sin seguridad ya existe Telnet, que está también disponible en el equipo. Puede resultar incongruente, según el caso, agregar un elevado nivel de seguridad al acceso por consola gracias a SSH y, mientras tanto, permitir que un cliente pueda acceder por Telnet al mismo equipo. Si, por ejemplo, se desactiva la autenticación por contraseña en SSH porque no se considerase segura, usando Telnet aún queda esa posibilidad.

Si concede importancia a la seguridad y no desea permitir el acceso al equipo por Telnet, debe fijarse el número máximo de sesiones Telnet a 0, como se realiza a continuación.

*p 4 Config>set telnet -- Telnet user configuration -- Telnet config>set ? max-telnets Maximum number of telnet sessions you can open port Set port number Telnet config>set max-telnets ? <0..20> Value in the specified range Telnet config>set max-telnets 0 Telnet config>

g) Guardado de la configuración Una vez que todo está configurado, ha de guardarse la configuración para mantener los cambios cuando se reinicie. En el siguiente ejemplo, se crea primero el archivo SSH_SERV.CFG y después se guarda la configuración.

Config>set file-cfg Config Media: Flash only A: GENERAL 392 01/16/08 10:18 Flash Current config: GENERAL File name [GENERAL]? SSH_SERV Config>save


II - 66 Doc.DM787

Rev.10.80

Save configuration (Yes/No)? y Building configuration as text... OK Writing configuration... OK on Flash as SSH_SERV Config>

La configuración guardada puede verse ejecutando SHOW CONFIG:

Config>show config ; Showing Menu and Submenus Configuration for access-level 15 ... ; ATLAS50 Router 9 24 Version 10.7.12-Alfa log-command-errors no configuration user teldat hash-password 17BC63FEA1F40F68187E6C435E412BB7 ; ; network ethernet0/0 ; -- Ethernet Interface User Configuration -- ip address 192.168.121.33 255.255.0.0 ; ; ; ; ; exit ; ; ; ; ; set telnet ; -- Telnet user configuration -- set max-telnets 0 exit ; ; ; ; feature ssh ; -- SSH protocol configuration -- server ; -- SSH Server -- authentication public-key ; -- Public-Key configuration in SSH server -- key cliente1 user teldat ; add "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAIBOcV+xGKKNuQ4GXE" add MvbJ09ib9kmArxHrlvmtXtnZdnyW2KOLcCIbwWWZoqr6O2LPuw add rhE/K2/nKe0Q+7U3K8aVmNLEtv/0DR61dYZGuLsto4nX8XbwST add Lg3KF3EexE5AzP6ETM3tMSpd0OoJPYRxB0xUJGqrO/F+lJYu5Q end "O0PtqQ== rsa-key-20080206" exit ; exit ; enable exit ; exit ; dump-command-errors end Config>

De acuerdo con lo mostrado, parece que en la configuración no se guardaran las host-keys que se han generado. El motivo es que no se muestran al hacer un SHOW CONFIG, pero forman parte del archivo de configuración. Obteniendo el archivo por FTP, o ejecutando el comando LIST HOST-KEY ALL del menú de SSH, se comprueba que dichas claves están guardadas en la configuración. En cuanto a la clave pública para la autenticación, es opcional y depende de las claves de los clientes.


II - 67 Doc.DM787

Rev.10.80

h) Reiniciado de equipo La configuración estática básica está completa. Para que tome efecto, el equipo necesita ser reiniciado.

Config>end *restart Are you sure to restart the system(Yes/No)? y Done Restarting. Please wait .................................................

Una vez completado, el servidor SSH estará en funcionamiento y a la espera de nuevos clientes. Si antes no se disponía de cuenta de usuario, se observa que ahora el equipo pide usuario y contraseña para acceder al router por consola, si es el caso. Se recuerda que, en el ejemplo realizado, el usuario era “teldat” y la contraseña, “secreto”.

Si desea comprobar que el servidor está a la escucha:

*p 3 Console Operator +protocol ip -- IP protocol monitor -- IP+tcp-list LOCAL ADDR LOCAL PORT REMOTE ADDR REMOTE PORT STATE -------------- ---------- -------------- ----------- -------- 0.0.0.0 21 0.0.0.0 0 LISTEN 0.0.0.0 23 0.0.0.0 0 LISTEN 0.0.0.0 22 0.0.0.0 0 LISTEN IP+

Se observa en la tabla de conexiones de TCP, que se encuentra en la monitorización del protocolo IP, que el equipo escucha a la espera de nuevas conexiones en el puerto 22; si en la configuración de SSH se ha cambiado el puerto de escucha por otro puerto no estandarizado, ése es el que aparece.

Capítulo 3 Monitorización

ROUTER TELDAT – Monitorización Protocolo SSH

III - 69 Doc.DM787

Rev.10.80

1. Monitorización de conexiones SSH

Se dispone de un comando de monitorización para observar las conexiones SSH en curso. Para ejecutarlo, desde el prompt de consola (+), se debe introducir el siguiente comando:

*p 3 Console Operator +system ssh Time unit: minutes ID USER LEVEL IP ADDRESS:PORT CONNECTION-TIME INACTIV-TIME IDLETIME TIMEOUT --------------------------------------------------------------------------------------- 0 teldat 15 Local Console 06/02/08 16:15:29 3 0 0 1 teldat 15 192.168.51.155:4851 06/02/08 16:30:48 0 10 0 * +

Este comando ha sido ejecutado desde una consola remota, por SSH. La información que se muestra es, de izquierda a derecha:

• Un número de usuario, diferente para cada sesión de consola. • Nombre del usuario, el que introdujo al autenticarse. • Nivel de privilegio del usuario. • Dirección IP origen y puerto, o “Local Console” si corresponde a la consola local. • Instante temporal en el que se conectó. • Tiempo de inactividad en la consola, sin intercambio de datos. • Tiempo máximo permitido sin actividad. 0 si no hay límite. • Tiempo máximo permitido de sesión. 0 si no hay límite. • Asterisco en la fila que corresponde a la sesión de consola que ejecutó el comando.

En cuanto al tiempo de inactividad, si se sobrepasa el intervalo fijado en SET INACTIVITY-TIMER, la sesión de consola se cierra automáticamente.

Router Teldat - asistp.com · “malicioso” no pueda usurpar su identidad. Aunque el método de...

Documents

Transcript of Router Teldat - asistp.com · “malicioso” no pueda usurpar su identidad. Aunque el método de...