Introduccin

Protocolo SSH (Secure Shell) es una herramienta de administracin remota

que permite la conexin segura entre equipos unidos mediante una red
insegura como por ejemplo Internet. Utiliza el puerto 22 y sigue el modelo
cliente-servidor.
La aportacin ms importante es que da soporte seguro a cualquier protocolo
que funcione sobre TCP. Dicha seguridad se basa en la utilizacin de
mecanismo de criptografa.
Se suele utilizar, como medida de seguridad para sustituir las tpicas ordenes
de comunicaciones como telnet, rlogin, rsh, rcp o ftp.
Funciona sobre la mayora de distribuciones Unix/Linux, hay versiones para
Windows y MacOs.

Protocolo SSH

Un protocolo de red, designa el conjunto de reglas que rigen el intercambio de

informacin a travs de una red de ordenadores.
El Protocolo SSH (Secure SHell) es un protocolo que facilita las
comunicaciones seguras entre dos sistemas usando una arquitectura
cliente/servidor y que permite a los usuarios conectarse a un host
remotamente.
A diferencia de otros protocolos de comunicacin remota tales como FTP o
Telnet, SSH encripta la sesin de conexin, haciendo imposible que alguien
pueda obtener contraseas no encriptadas.
SSH est diseado para reemplazar los mtodos ms viejos y menos seguros
para registrarse remotamente en otro sistema a travs de la shell de comando,
tales como telnet o rsh.
Un programa relacionado, el Secure Copy(SP), reemplaza otros programas
diseados para copiar archivos entre hosts como Remote Procedure Call (rcp).
Ya que estas aplicaciones antiguas no encripta contraseas entre el cliente y el
servidor, evite usarlas mientras le sea posible.
El uso de mtodos seguros para registrarse remotamente a otros sistemas
reduce los riesgos de seguridad tanto para el sistema cliente como para el
sistema remoto.
Permite manejar por completo la computadora mediante un intrprete de
comandos, y tambin puede redirigir el trfico de X para poder ejecutar
programas grficos si tenemos ejecutando un Servidor X (en sistemas Unix y
Windows).
Adems de la conexin a otros dispositivos, SSH nos permite copiar datos de
forma segura (tanto archivos sueltos como simular sesiones FTP cifradas),
gestionar claves RSA para no escribir claves al conectar a los dispositivos y

pasar los datos de cualquier otra aplicacin por un canal seguro tunelizado
mediante SSH.

Historia:
Al principio slo existan los r-commands, que eran los basados en el programa
rlogin, el cual funciona de una forma similar a telnet.
La primera versin del protocolo y el programa eran libres y los cre un
finlands llamado Tatu Ylnen, pero su licencia fue cambiando y termin
apareciendo la compaa SSH Communications Security, que lo ofreca
gratuitamente para uso domstico y acadmico, pero exiga el pago a otras
empresas. En el ao 1997 (dos aos despus de que se creara la primera
versin) se propuso como borrador en la IETF.
A principios de 1999 se empez a escribir una versin que se convertira en la
implementacin libre por excelencia, la de OpenBSD, llamada OpenSSH.

Caractersticas de SSH
El protocolo SSH proporciona los siguientes tipos de proteccin:

Despus de la conexin inicial, el cliente puede verificar que se est

conectando al mismo servidor al que se conect anteriormente.

El cliente transmite su informacin de autenticacin al servidor usando

una encriptacin robusta de 128 bits.

Todos los datos enviados y recibidos durante la sesin se transfieren por

medio de encriptacin de 128 bits, lo cual los hacen extremamente difcil
de descifrar y leer.

El cliente tiene la posibilidad de reenviar aplicaciones X11 [1] desde el

servidor. Esta tcnica, llamada reenvo por X11, proporciona un medio
seguro para usar aplicaciones grficas sobre una red.

Ya que el protocolo SSH encripta todo lo que enva y recibe, se puede usar
para asegurar protocolos inseguros.
El servidor SSH puede convertirse en un conducto para convertir en seguros
los protocolos inseguros mediante el uso de una tcnica llamada reenvo por
puerto.

Secuencia de eventos de una conexin SSH

La siguiente serie de eventos lo ayudan a proteger la integridad de la
comunicacin SSH entre dos host.

Se lleva a cabo un 'handshake' (apretn de manos) encriptado para que

el cliente pueda verificar que se est comunicando con el servidor
correcto.

La capa de transporte de la conexin entre el cliente y la mquina

remota es encriptada mediante un cdigo simtrico.

El cliente se autentica ante el servidor.

El cliente remoto interactua con la mquina remota sobre la conexin

encriptada.

Capa de transporte:
El papel principal de la capa de transporte es facilitar una comunicacin segura
entre los dos hosts durante la autenticacin y la subsecuente comunicacin.
La capa de transporte lleva esto a cabo manejando la encriptacin y
decodificacin de datos y proporcionando proteccin de integridad de los
paquetes de datos mientras son enviados y recibidos.
Adems, la capa de transporte proporciona compresin de datos, lo que
acelera la transmisin de informacin.
Al contactar un cliente a un servidor por medio del protocolo SSH, se negocian
varios puntos importantes para que ambos sistemas puedan construir la capa
de transporte correctamente.
Durante el intercambio se producen los siguientes pasos:

Intercambio de claves

Se determina el algoritmo de encriptacin de la clave pblica

Se determina el algoritmo de la encriptacin simtrica

Se determina el algoritmo autenticacin de mensajes

Se determina el algoritmo de hash que hay que usar

SSH fue ideado para funcionar con casi cualquier tipo de algoritmo de clave
pblica o formato de codificacin.
Despus del intercambio de claves inicial se crea un valor hash usado para el
intercambio y un valor compartido secreto, los dos sistemas empiezan
inmediatamente a calcular claves y algoritmos nuevos para proteger la
autenticacin y los datos que se enviarn a travs de la conexin en el futuro.
Despus que una cierta cantidad de datos haya sido transmitida con un
determinado algoritmo y clave (la cantidad exacta depende de la
implementacin de SSH), ocurre otro intercambio de claves, el cual genera otro
conjunto de valores de hash y un nuevo valor secreto compartido.
De esta manera aunque un agresor lograse determinar los valores de hash y
de secreto compartido, esta informacin slo ser vlida por un perodo de
tiempo limitado.

Autenticacin
Cuando la capa de transporte haya construido un tnel seguro para transmitir
informacin entre los dos sistemas, el servidor le dir al cliente de los diferentes
mtodos de autenticacin soportados, tales como el uso de firmas privadas
codificadas con claves o la insercin de una contrasea.
El cliente entonces intentar autenticarse ante el servidor mediante el uso de
cualquiera de los mtodos soportados.
Los servidores y clientes SSH se pueden configurar para que permitan varios
tipos de autenticacin, lo cual le concede a cada lado la cantidad ptima de
control.
Luego el servidor podr decidir qu mtodos de encriptacin soportar basado
en su pauta de seguridad, y el cliente puede elegir el orden en que intentar
utilizar los mtodos de autenticacin entre las opciones a disposicin.
Gracias a la naturaleza segura de la capa de transporte de SSH, hasta
mtodos de autenticacin que parecen inseguros, como la autenticacin
basada en contraseas, son en realidad seguros para usar.

Canales:
Luego de una autenticacin exitosa sobre la capa de transporte SSH, se abren
mltiples canales a travs de la tcnica llamada multiplexar. Cada uno de estos
canales manejan la conexin para diferentes sesiones de terminal y para
sesiones de reenvio X11.

Ambos clientes y servidores pueden crear un canal nuevo. Luego se le asigna

un nmero diferente a cada canal en cada punta de la conexin. Cuando el
cliente intenta abrir un nuevo canal, los clientes envan el nmero del canal
junto con la peticin.
Esta informacin es almacenada por el servidor y usada para dirigir la
comunicacin a ese canal. Esto es hecho para que diferentes tipos de sesin
no afecten una a la otra y as cuando una sesin termine, su canal pueda ser
cerrado sin interrumpir la conexin SSH primaria.
Los canales tambin soportan el control de flujo, el cual les permite enviar y
recibir datos ordenadamente. De esta manera, los datos no se envan a travs
del canal sino hasta que el host haya recibido un mensaje avisando que el
canal est abierto y puede recibirlos.
El cliente y el servidor negocian las caractersticas de cada canal
automticamente, dependiendo del tipo de servicio que el cliente solicita y la
forma en que el usuario est conectado a la red. Esto otorga una gran
flexibilidad en el manejo de diferentes tipos de conexiones remotas sin tener
que cambiar la infraestructura bsica del protocolo.

Conclusin
SSH es un protocolo TCP que sirve para acceder a maquinas remotas modo
texto o grfico a travs de una red.
SSH hace posible que se pueda manejar completamente un equipo mediante
comandos o con una interface grfica. Nos permite copiar datos de un equipo a
otro de forma segura.

SSH usa tcnicas de cifrado de la informacin que viaja por un medio de

comunicacin y nunca una tercera persona podr descubrir el usuario,
contrasea o alguna de la informacin que se est transmitiendo.