2012
TUNELES SSH
Javier García Cambronel SEGUNDO DE ASIR 16/02/2012
[TUNELES SSH] SSH]
16 de febrero de 2012
¿QUÉ ES SSH?
PRÁCTICA USANDO SSH Y ASEGURANDOLO
COMPROBACION
SEGUNDO DE ASIR
Página 1
[TUNELES SSH] SSH]
16 de febrero de 2012
¿QUÉ ES SSH? SSH™ (o Secure SH ell) ell) es un protocolo que facilita las comunicaciones seguras entre dos sistemas usando una arquitectura cliente/servidor y que permite a los usuarios conectarse a un host remotamente. A diferencia de otros protocolos de comunicación remota tales como FTP o Telnet, SSH encripta la sesión de conexión, haciendo imposible que alguien pueda obtener contraseñas no encriptadas. SSH está diseñado para reemplazar los métodos más viejos y menos seguros para registrarse remotamente en otro sistema a través de la shell de comando, tales como telnet o rsh. Un programa relacionado, el scp, reemplaza otros programas diseñados para copiar c opiar archivos entre hosts como rcp. Ya que estas aplicaciones antiguas no encriptan contraseñas entre el cliente y el servidor, evite usarlas mientras le sea posible. El uso de métodos seguros para registrarse remotamente a otros sistemas reduce los riesgos de seguridad tanto para el sistema cliente como para el sistema remoto.
CARACTERISTICAS El protocolo SSH proporciona los siguientes tipos de protección:
Después de la conexión inicial, el cliente puede verificar que se está conectando al mismo servidor al que se conectó anteriormente. El cliente transmite su información de autenticación al servidor usando una encriptación robusta de 128 bits. Todos los datos enviados y recibidos r ecibidos durante la sesión se transfieren por medio de encriptación de 128 bits, lo cual los hacen extremamente difícil de descifrar y leer. El cliente tiene la posibilidad de reenviar aplicaciones X11 desde el servidor. Esta técnica, llamada reenvío por X11 , proporciona un medio seguro para usar aplicaciones a plicaciones gráficas sobre una red.
SEGUNDO DE ASIR
Página 2
[TUNELES SSH] SSH]
16 de febrero de 2012
BREVE HISTORIA DE SSH
SSH 1.2.12 fue desarrollado por un programador finlandés, Tatu Ylönen, que publicó su trabajo bajo una licencia libre. Pronto el éxito de su programa lo llevo a patentar la marca registrada "SSH™" y
crear una empresa con fines comerciales. Las siguientes versiones dejaron de ser libres y se permitió su empleo únicamente para usos no comerciales. Los desarrolladores de OpenBSD se dieron cuenta de que su sistema operativo, centrado en la criptografía y seguridad, se quedaba "cojo" sin SSH. Además, las encuestas afirmaban que lo primero que la mayoría de usuarios de OpenBSD añadía después de instalar el sistema era SSH. Con estas ideas en la cabeza y bastante buenas intenciones, surgió el proyecto OpenSSH, cuyo principal objetivo consistió en desarrollar una implementación totalmente libre de SSH. Los primeros pasos de este proyecto estuvieron centrados en utilizar solamente código libre y portable. Tanto es así que pusieron especial empeño en evitar problemas con patentes y restricciones gubernamentales: la mayoría de los desarrolladores residían fuera de Estados Unidos, a excepción de Niels Provos, un alemán afincado en Michigan, que cruzó la frontera a Canadá para enviar su código desde una pequeña tienda local de informática en Ontario (nada quería dejarse a la ligera). Todos estos esfuerzos no fueron vistos con tan buenos ojos por el desarrollador inicial de SSH, que veía como su proyecto comercial se iba al traste. Después de varias demandas judiciales y muchas discusiones, OpenSSH pudo mantener el "SSH" en su nombre y seguir con el trabajo que estaban est aban realizando.
SEGUNDO DE ASIR
Página 3
[TUNELES SSH] SSH]
16 de febrero de 2012
¿Qué es un túnel SSH? La mayoría de los protocolos que empleamos en nuestras comunicaciones están basados en diseños de hace casi 30 años, cuando la seguridad en redes telemáticas no era un problema. Telnet, FTP, POP3, protocolos de uso cotidiano, descuidan la seguridad y confidencialidad de los datos que envían. De nada sirve proteger nuestros servidores, implantar una buena política de contraseñas y actualizar las versiones de nuestros demonios, si luego cuando un usuario de POP3, por ejemplo, quiere ver su correo electrónico desde la universidad, envía su usuario y contraseña en texto plano por la red. Para evitar esto tenemos dos alternativas: bien elegir protocolos que sean seguros, bien hacer seguros los protocolos inseguros.
La idea en la que se basa este procedimiento es la de hacer un túnel por el cual viajarán los datos de manera segura ("tunneling"). El símil con la vida real está bastante bien escogido: imaginemos que la tasa de mortalidad de los diferentes medios de transporte fuese equivalente a la posibilidad de que la seguridad de nuestros datos sea s ea violada, y que el tren representase un canal seguro y el automóvil un canal inseguro.
EJEMPLO PARA CONCEPTO El túnel del Canal de la Mancha sería el ejemplo perfecto para ilustrar el concepto de "tunneling": cuando queremos viajar a través de él con nuestro coche, tenemos que subirnos a un vagón para coches y luego cruzar el túnel en tren. Hemos incrementado sensiblemente la seguridad del viaje, porque la probabilidad de un ac cidente de tren es muchísimo menor que la de un accidente de coche.
SEGUNDO DE ASIR
Página 4
[TUNELES SSH] SSH]
16 de febrero de 2012
Este mismo proceso es el que se da a la hora de establecer un túnel seguro en la comunicación entre cliente y servidor. En cada uno de los extremos del túnel están las aplicaciones estándar (un demonio POP3 estándar, nuestro cliente de correo favorito...) y la comunicación se asegura haciendo uso de toda la potencia criptográfica de SSH. Para ello tenemos que realizar un procedimiento similar al que supondría subir nuestro c oche al tren, establecer mediante SSH un renvío de los datos gracias a una técnica denominada "portforwarding". SSH recoge los datos que el cliente quiere enviar y los renvía por el túnel o canal seguro, al otro lado del túnel t únel se recogen los datos y se renvían al servidor s ervidor conveniente:
ESQUEMA GRAFICO CONEXIÓN SSH
SEGUNDO DE ASIR
Página 5
[TUNELES SSH] SSH]
16 de febrero de 2012
PRÁCTICA USANDO SSH Y ASEGURANDOLO OBJETIVOS -Utilizar SSH de forma segura, con claves de cifrado -Saltarse los proxys que nos restringen acceso a páginas web -Navegación Anónima
Moba SSH
MobaSSH es un sencillo servidor SSH para uso doméstico. Es portable y muy fácil f ácil de usar, características poco comunes en este tipo de programas. Para activar MobaSSH deberás pulsar Install y ejecutar el servicio. Hecho esto, MobaSSH aceptará conexiones entrantes en el puerto 22. Las credenciales de usuario son las mismas de Windows, pero no te preocupes si no has definido contraseñas: el botón Manage Users abre la consola de usuarios de Windows. Las opciones avanzadas, por otro lado, se agrupan en la sección Expert. Nada más acceder al servidor desde tu cliente SSH favorito, comprobarás que MobaSSH incluye el shell Bash y las herramientas de línea de comandos más típicas de los entornos UNIX, como vim, awk, grep, sed, find, less, chmod, etcétera. Es una sorpresa de lo más agradable. Pros
Ponerlo en marcha requiere únicamente dos clic
Incluye las utilidades UNIX más comunes
Compatible con Active Directory
Menú de opciones avanzadas
Contras
La versión gratuita no permite excluir hosts
Ayuda escasa y en formato PDF
SEGUNDO DE ASIR
Página 6
[TUNELES SSH] SSH]
16 de febrero de 2012
EMPEZAMOS Para ello nos dirigimos a la web w eb del autor y seleccionamos la versión gratuita. http://mobassh.mobatek.net/
Una vez que ejecutamos el programa lo instalamos debidamente.
SEGUNDO DE ASIR
Página 7
[TUNELES SSH] SSH]
16 de febrero de 2012
Y así vemos como se inicia el servicio perfectamente
Entramos en la configuración y le damos que si a permitir túneles para terminar la configuración.
SEGUNDO DE ASIR
Página 8
[TUNELES SSH] SSH]
16 de febrero de 2012
SEGURIDAD EN SSH Configuramos la seguridad de las claves c laves generadas, decimos que siempre se requiera auntenticación…Cono podemos ver las opciones son muy amplias. Y siempre que no las cambiemos se mantendrán las de el programa por defecto.
SEGUNDO DE ASIR
Página 9
[TUNELES SSH] SSH]
16 de febrero de 2012
AHORA CON PUTTY Lo siguiente que hacemos va a ser descargarnos PUTTY y elegir la versión que queramos. http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
CONFIGURAMOS PUTTY Abrimos el Putty y en el menú de la izquierda, vamos a SSH->Tunnels. Indicamos un puerto superior a 1024 (pues estos están reservados) y añadimos
SEGUNDO DE ASIR
Página 10
[TUNELES SSH] SSH]
16 de febrero de 2012
SEGUIMOS CONFIGURANDOLO Ahora vamos a la pestaña “Session”, que es la que aparece al abrir el Putty.
- Donde pone Host-Name, escribimos: es cribimos: usuario@servidor_donde_tengo_la_cuenta usuario@servidor_donde_tengo_la_cuenta - Port, para SSH por defecto es el 22, ése está bien. - Mas abajo, Saved Sesions, ponemos un nombre para guardar esta configuración. c onfiguración. Por ejemplo: Tunel - Guardamos (pulsamos Save) - Pulsamos Open
SEGUNDO DE ASIR
Página 11
[TUNELES SSH] SSH]
16 de febrero de 2012
Cuando hemos pulsado en Open nos sale que si queremos abrir la conexión, y se utiliza una clave de seguridad, para este aspecto.
Vemos como se realiza la conexión
SEGUNDO DE ASIR
Página 12
[TUNELES SSH] SSH]
16 de febrero de 2012
TERMINAMOS CONFIGURANDO EL NAVEGADOR Ahora solo quedaría configurar Firefox para utilizar dicho proxy, para ello lo hacemos como vemos en la pantalla.
SEGUNDO DE ASIR
Página 13
[TUNELES SSH] SSH]
16 de febrero de 2012
COMPROBACION Una vez hecho esto vemos como la IP con la que accedemos accedemos ha cambiado y estamos accediendo “anónimamente” También al ser una IP de un servidor de otro País Frances para ser exacto, podríamos acceder a contenido restringido del nuestro. Y como no, saltarnos el acceso a páginas restringidas de nuestro instituto por ejemplo, universidad, lugar de trabajo ….
ANTES
DESPUES
SEGUNDO DE ASIR
Página 14
[TUNELES SSH] SSH]
16 de febrero de 2012
VEMOS QUE DICHA IP PERTENECE A MOBATEK
SEGUNDO DE ASIR
Página 15