Antes de configurar SSH, el switch debe tener configurado, como mínimo, un nombre de host único y los parámetros correctos de conectividad de red. Use el comando show ip ssh para verificar que el switch admita SSH.

Configurar el dominio IP y generar claves RSA

No todas las versiones del IOS utilizan la versión 2 de SSH de manera predeterminada, y la versión 1 de SSH tiene fallas de seguridad conocidas. Para configurar la versión 2 de SSH, emita el comando ip ssh version 2 del modo de configuración global. Configure el nombre de dominio IP de la red mediante el comando ip domain-name nombre-de-dominio. Use el comando crypto key generate rsa del modo de configuración global para habilitar el servidor SSH en el switch y generar un par de claves RSA.

S1(config)# ip ssh version 2
S1(config)# ip domain-name  cisco.com
S1(config)# crypto key generate rsa

Al crear claves RSA, se solicita al administrador que introduzca una longitud de módulo, una longitud de módulo mayor es más segura, pero se tarda más en generarlo y utilizarlo.

Nota: para eliminar el par de claves RSA, use el comando crypto key zeroize rsa del modo de configuración global. Después de eliminarse el par de claves RSA, el servidor SSH se deshabilita automáticamente.

Configurar la autenticación de usuario

El servidor SSH puede autenticar a los usuarios localmente o con un servidor de autenticación. Para usar el método de autenticación local, cree un par de nombres de usuario y contraseñas con el comando username Nombre de usuario secret Contraseña comando global configuration mode.

S1(config)# username privilege 15 admin secret cisco

Configurar las líneas vty

Habilite el protocolo SSH en las líneas vty mediante el comando transport input ssh del modo de configuración de línea. El switch Catalyst 2960 tiene líneas vty que van de 0 a 15. Esta configuración evita las conexiones que no son SSH (como Telnet) y limita al switch a que acepte solo las conexiones SSH. Use el comando line vty del modo de configuración global y, luego, el comando login local del modo de configuración de línea para requerir la autenticación local de las conexiones SSH mediante la base de datos de nombres de usuarios locales.

S1(config-line)# line vty 0 15
S1(config-line)# transport input ssh
S1(config-line)# login local
S1(config-line)# exit

Habilitar la versión 2 de SSH

De manera predeterminada, SSH admite las versiones 1 y 2. Si se admiten ambas versiones, en el resultado de show ip ssh se muestra que se admite la versión 1.99. La versión 1 tiene vulnerabilidades conocidas. Por esta razón, se recomienda habilitar únicamente la versión 2. Habilite la versión de SSH mediante el comando de configuración global ip ssh version 2.

S1(config)# ip ssh version 2

Modificar intentos de autenticación y tiempo de espera

Los intentos de autenticación lo ponemos en 2, y el tiempo de espera en 75 segundos.

S1(config)#ip ssh time-out 75
S1(config)#ip ssh authentication-retries 2