SSH
¿Qué es SSH?
SSHProtocolo de red criptográfico (RFC 4251, puerto 22) que ofrece inicio de sesión remoto, ejecución de comandos y túneles autenticados, cifrados e íntegros sobre redes no fiables.
Secure Shell, especificado en las RFC 4251-4254, sustituyó a telnet y rlogin combinando autenticación del host, autenticación de usuario y un canal cifrado sobre TCP en el puerto 22. Utiliza un intercambio de claves Diffie-Hellman o ECDH para derivar claves de sesión y luego aplica un cifrado simétrico autenticado (normalmente AES-GCM o ChaCha20-Poly1305). La autenticación del usuario puede ser por contraseña, clave pública, basada en host o por certificado; para automatización se prefiere la basada en clave. SSH también permite reenvío de puertos TCP, proxy SOCKS, reenvío X11 y es el transporte de SFTP y scp. El endurecimiento se centra en desactivar contraseñas, restringir algoritmos, rotar claves de host, usar bastiones y monitorizar authorized_keys.
● Ejemplos
- 01
Un ingeniero ejecuta ssh -i id_ed25519 user@bastion para llegar a un jump host interno.
- 02
Un pipeline CI/CD despliega vía ssh git@github.com usando una clave de despliegue.
● Preguntas frecuentes
¿Qué es SSH?
Protocolo de red criptográfico (RFC 4251, puerto 22) que ofrece inicio de sesión remoto, ejecución de comandos y túneles autenticados, cifrados e íntegros sobre redes no fiables. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa SSH?
Protocolo de red criptográfico (RFC 4251, puerto 22) que ofrece inicio de sesión remoto, ejecución de comandos y túneles autenticados, cifrados e íntegros sobre redes no fiables.
¿Cómo funciona SSH?
Secure Shell, especificado en las RFC 4251-4254, sustituyó a telnet y rlogin combinando autenticación del host, autenticación de usuario y un canal cifrado sobre TCP en el puerto 22. Utiliza un intercambio de claves Diffie-Hellman o ECDH para derivar claves de sesión y luego aplica un cifrado simétrico autenticado (normalmente AES-GCM o ChaCha20-Poly1305). La autenticación del usuario puede ser por contraseña, clave pública, basada en host o por certificado; para automatización se prefiere la basada en clave. SSH también permite reenvío de puertos TCP, proxy SOCKS, reenvío X11 y es el transporte de SFTP y scp. El endurecimiento se centra en desactivar contraseñas, restringir algoritmos, rotar claves de host, usar bastiones y monitorizar authorized_keys.
¿Cómo defenderse de SSH?
Las defensas contra SSH combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para SSH?
Nombres alternativos comunes: Shell Seguro.
● Términos relacionados
- network-security№ 1022
SFTP
Subsistema seguro de transferencia de archivos que se ejecuta dentro de una sesión SSH en el puerto TCP 22 y ofrece operaciones autenticadas y cifradas sobre archivos y directorios.
- network-security№ 1134
TCP
Protocolo de transporte orientado a conexión (RFC 9293) que entrega un flujo de bytes ordenado, fiable y con control de congestión entre dos extremos sobre IP.
- cryptography№ 067
Cifrado asimétrico
Esquema criptográfico que utiliza pares de claves matemáticamente vinculados —pública para cifrar y privada para descifrar— y permite la comunicación segura sin compartir secretos previos.
- identity-access№ 076
Autenticación
Proceso de verificar que una entidad —usuario, dispositivo o servicio— es realmente quien dice ser antes de concederle acceso.
- network-security№ 437
FTP
Protocolo legado de transferencia de archivos (RFC 959) que usa TCP 21 para control y 20 para datos, transmitiendo credenciales y archivos en claro y en gran medida obsoleto por motivos de seguridad.
- network-security№ 1160
Handshake TLS
Intercambio inicial del protocolo Transport Layer Security que autentica al servidor (y opcionalmente al cliente) y deriva las claves simétricas que cifran el resto de la sesión.
● Véase también
- № 1088Reenvio de agente SSH
- № 1089Tipos de claves SSH
- № 594Fichero known_hosts