Es un protocolo de nivel de aplicación para crear conexiones seguras entre dos sistemas sobre redes no seguras (SSH2)
- Alternativa a programas de acceso remoto no seguros, como telnet, ftp, rlogin, rsh y rcp (slogin, ssh y scp)
- Proporciona terminal de sesión cifrada con autenticación fuerte del servidor y el cliente, usando criptografía de clave pública.
- Incluye características como:
o Una variedad de mecanismos de autenticación de usuarios
o Conexiones TCP arbitrarias de tunneling a través de la sesión SSH,
o Protegiendo protocolos inseguros como IMAP y permitiendo el paso
o Seguro a través de cortafuegos
o Reenvío automático de conexiones X windows
o Soporte para métodos de autenticación externa, incluyendo Kerberos
- SSH está basado en protocolos documentados por el IETF
- Otros tipos de protección que proporciona SSH:
- Después de la conexión inicial, el cliente puede verificar que se está conectando al mismo servidor durante sesiones posteriores.
- El cliente puede transmitir su información de autentificación al servidor, como el nombre de usuario y la contraseña, en formato cifrado.
- El cliente tiene la posibilidad de usar X11 en aplicaciones lanzadas desde el indicador de comandos de la shell. Esta técnica proporciona una interfaz gráfica segura (llamada reenvío por X11).
- Si el servidor usa la técnica del reenvío de puerto, los protocolos considerados como inseguros (POP, IMAP…), se pueden cifrar para garantizar una comunicación segura.
- transferencias seguras de ficheros
Secuencia de eventos de una conexión SSH:
- Se crea una capa de transporte segura para que el cliente sepa que está efectivamente comunicando con el servidor correcto. Luego se cifra la comunicación entre el cliente y el servidor por medio de un código simétrico
- Con la conexión segura al servidor en su lugar, el cliente se autentifica ante el servidor sin preocuparse de que la información de autentificación pudiese exponerse a peligro. OpenSSH usa claves DSA o RSA y la versión 2.0 del protocolo SSH para autenticaciones predeterminadas
- Con el cliente autentificado ante el servidor, se pueden usar varios servicios diferentes con seguridad a través de la conexión, como una sesión shell interactiva, aplicaciones X11 y túneles TCP/IP [4]