Tema: SSH. Contenidos. Objetivos Específicos. Materiales y Equipo. Introducción Teórica. Bibliografía. Seguridad en redes.

Transcripción

1 Seguridad en redes. Guía 4 1 Facultad: Ingeniería Escuela: Electrónica Asignatura: Seguridad en redes Tema: SSH. Contenidos Las sesiones con SSH Servicios soportados sobre SSH Sesiones SSH sin solicitud de autenticación Sesiones SSH con soporte para el entorno gráfico Objetivos Específicos Desarrollar habilidades para el uso básico de conexiones seguras con SSH. Comprender los distintos servicios que pueden asegurarse con SSH. Practicar los mecanismos para establecer sesiones SSH sin solicitud de autenticación. Resolver problemas de tareas en nodos remotos sobre canales SSH. Materiales y Equipo PC con Linux instalado. Cliente OpenSSH. Servidor OpenSSH. Introducción Teórica SSH Bibliografía es un poderoso servicio basado en software para asegurar las conexiones de red por medio de cifrado/decifrado automático en el origen y destino de las conexiones, con lo que se logra sesiones transparentes para el usuario y robustamente aseguradas. Guía 1 SSH se soporta en una arquitectura cliente/servidor, donde el programa conocido como servidor es el responsable de aceptar o no las conexiones entrantes, por otro lado el cliente es el responsable de iniciar la sesión hacia uno o más servidores; la arquitectura de SSH soporta múltiples sesiones de forma simultánea y constituye el estándar actual para establecer conexiones transparentes. El protocolo sobre el que se soporta SSH cubre los servicios típicos de autenticación, cifrados e integridad de las conexiones, lo que genera una robusta garantía de que las partes que se comunican son genuinas y no hay riesgo de que los mensajes hayan sido modificados durante el tránsito por la red.

2 2 Seguridad en redes. Guía 4 Procedimiento Parte Bibliografía I. Uso del cliente básico de SSH 1. Ingrese a CentOs, con usuario root y contraseña root Verifique que su computadora pertenezca a la red /24. Guía 1 3. A lo largo de la práctica, se modificara el archivo de configuración de ssh, por lo que será necesario crear una copia de este archivo, para esto abra una terminal de comandos y ejecute lo siguiente: root@localhost#cp /etc/ssh/sshd_config /etc/ssh/sshd_config_original 4. Luego, cree una nueva cuenta con su usuario y contraseña para que esta sea usada y compartida durante la práctica. root@localhost#useradd test<sunombre> root@localhost#passwd test<sunombre> Ahora indique la contraseña, estas credenciales se pasaran a sus compañeros para que puedan efectuar las pruebas durante la práctica, junto con las direcciones IP de cada uno. 5. Ahora desarrolle una conexión SSH hacia la computadora de otro de sus compañeros, con el siguiente comando: root@localhost#ssh test<nombre>@<dirección IP> Después de que le soliciten las credenciales ya podrá trabajar en la otra computadora usando una sesión segura, desarrolle conexiones a otras computadoras de otros compañeros para que pueda notar que puede trabajar de forma simultánea con múltiples sesiones. 6. Ahora creemos un par de archivos que serán de utilidad en las restantes pruebas con el siguiente comando: testnombre@localhost$touch <NombreArchivo>

3 Seguridad en redes. Guía En el siguiente comando, pasaremos uno de los archivos creados a su propia maquina usando el servicio de copia de archivos de SSH, conocido como SCP. testnombre@localhost$scp <NombreArchivo> testsunombre@<ip>:/home/testsunombre/ Nota: testsunombre debe de ser el usuario que creo en su computadora. Verifique que el archivo fue exitosamente copiado a su carpeta personal. Pruebe enviando el mismo archivo a una diferente computadora en la carpeta del usuario remoto. Es posible usar variaciones de este comando para copiar archivos desde maquinas distintas por un tercer usuario. 8. Finalice la conexión SSH. testnombre@localhost$exit 9. Ahora probaremos la capacidad de SSH para lanzar entornos gráficos en la conexión remota, esta capacidad permite de forma plena que el usuario remoto pueda hacer uso de aplicaciones con interfaces gráficas. Para lanzar los entornos gráficos primero es necesario que se verifique que la interfaz X11 pueda lanzarse por usuarios remotos, para ello es necesario editar el archivo del servidor sshd_config ubicado en la ruta /etc/ssh/ y cambiar la opción X11Forwarding para que permita dichas conexiones, observe y documente el resto de opciones disponibles en dicho archivo. Ingrese al archivo y verifique el parámetro X11Forwarding yes root@localhost#nano /etc/ssh/sshd_config 10. Una vez que se haya completado esta tarea por el servidor establezca la conexión con el siguiente comando: root@localhost#ssh -X test<nombre>@<dirección IP> Ahora ya es posible lanzar una aplicación gráfica con su conexión remota pruebe lanzar Firefox desde la línea de comandos y verifique que el entorno gráfico se despliegue. testnombre@localhost$firefox &

4 4 Seguridad en redes. Guía 4 El comodín & permite lanzar la aplicación en modo protegido por lo que puede seguir teniendo el control de la consola. 11. Finalice la conexión SSH Parte II. Opciones básicas para asegurar el servidor SSH. El archivo de configuración de las opciones de SSH normalmente se encuentra en el archivo /etc/ssh/sshd_config el cual usa un modelo típico de configuración: opción valor muchas de las opciones disponibles vienen comentadas, por lo que todo lo que sigue después del comodín # esta comentado, ahora discutiremos algunas opciones que permite asegurar mejor el servidor: Cambio del puerto de escucha por defecto Port 22 Una forma básica para asegurar el servidor es cambiar el puerto de escucha que es bien conocido como el puerto 22. Cambie el puerto de escucha por cualquier otro puerto (ejemplo 3625) en el archivo sshd_config. 1. Cambie el puerto por otro, revele y pregunte el número de puerto a su compañero. Siempre al finalizar la edición del archivo de configuración recuerde guardar los cambios y reiniciar el servicio con el siguiente comando: root@localhost#sudo /etc/init.d/sshd restart 2. Efectué la conexión con el siguiente comando: root@localhost#ssh -p <puerto> test<nombre>@<dirección IP> Nota: Para establecer la conexión, se debe anexar la entrada de la regla de permiso en el firewall de centos, tema que se verá más adelante, por el momento simplemente desactive el firewall con el comando: root@localhost#service iptables stop 3. Ahora efectuar la conexión de manera normal sin la opción de puerto, anote sus observaciones. Cambio de la versión del protocolo por defecto Protocol 2 La versión 2 es la más actualizada del protocolo por lo que cuenta con los mejores atributos de seguridad, es necesario revisar que este en dicha versión para una correcta configuración.

5 Seguridad en redes. Guía 4 5 Cambio de las opciones de autenticación Típicamente son tres las opciones, la primera LoginGraceTime 120 determina el numero de segundos que tendrá el usuario remoto para hacer su login, una buen tiempo es de 30 segundos; la segunda opción PermitRootLogin yes indica si es permitido validarse con el usuario root, este usuario tiene le perfil de más altos privilegios por lo que una buena práctica es evitar que se validen los usuarios remotos con él, por lo que deben ponerse en el valor no ; la tercera es el acceso en modo restrictivo StrictModes yes la cual es una muy buena práctica de seguridad. Existe una opción más relacionada con el número de intentos de validarse, algunas implementaciones del servidor no la traen activa por lo que es conveniente ponerla para restringir los intentos y evitar un ataque de fuerza bruta una buena práctica es 3 intentos máximo MaxAuthTries 3 Discriminación de usuarios que se pueden conectar via ssh Es muy conveniente que se tenga un control de los usuarios que se conectan vía ssh, por lo que es posible modificar esta opción además de modificar la dirección IP especifica desde donde se conectan, con la siguiente opción: AllowUsers test amigo@ para el ejemplo se permite la conexión al usuario test desde cualquier máquina y al usuario amigo pero solo desde la máquina que tenga la dirección IP Efectué pruebas de esta opción con sus compañeros de laboratorio y anote sus observaciones. Recuerde reiniciar el servicio ssh cada vez que modifique el archivo de configuración sshd_config Recupere el estado original del archivo de configuración root@localhost#cp /etc/ssh/sshd_config_original /etc/ssh/sshd_config Parte III. Conexión a ssh sin uso de credenciales El desarrollar conexiones sin credenciales es muy útil ya que permite ejecutar tareas en máquinas remotas, asegurando las tareas por el canal de SSH, este proceso se conoce como sesiones de clientes en modo interactivo, para el cual se disponen de tres métodos: Autenticación con llave publica con un agente Autenticación basada en host Autenticación por Kerberos

6 6 Seguridad en redes. Guía 4 El primero de los métodos es el más potente y flexible, se basa en el intercambio de llaves asincrónicas que es el método más potente que existe para cifrar, se basa en un par de llaves una privada para desencriptar y otra publica para encriptar y compartir; este proceso de intercambio se delega a un programa especial conocido como agente que se encarga de intercambiar la credenciales, y asegurar las llaves privadas según lo que se ha configurado. Pasos para la autenticación con llave publica Preparación del servidor: Paso 1 En el archivo de configuración sshd_config revisar que las opciones de autenticación por llave pública estén activas, por lo que las líneas deben lucir de la siguiente forma: RSAAuthentication yes PubkeyAuthentication yes AuthorizedKeysFile.ssh/authorized_keys Si no están de esa forma las lineas es necesario editarlas las dos primeras indican que se permite la autenticación RSA por clave pública y la última donde se guardan las claves publicas usadas. Recuerde después de guardar los cambios reiniciar el servicio para que estos sean efectivos root@localhost#sudo /etc/init.d/sshd restart Paso 2 Verificamos que exista el directorio.ssh y el archivo authorized_keys dentro de dicho directorio, si no es así se deben de crear dentro del directorio home con los comandos siguientes: root@localhost#ls a root@localhost#ls a.ssh Si no existe el archivo.ssh root@localhost#mkdir.ssh root@localhost#touch.ssh/authorized_keys Luego de este proceso es necesario reiniciar el servicio para hacer efectivos estos cambios root@localhost#sudo /etc/init.d/sshd restart

7 Seguridad en redes. Guía 4 7 Creación de los pares de claves: Este proceso se puede efectuar en cualquier PC y no necesariamente en las que interactuaran para nuestro caso la efectuaremos en el cliente. Paso 1 Nos aseguramos que existe la carpeta.ssh de la misma forma que se hizo en el servidor, en caso que no esté la carpeta es necesario crearla. Paso 2 Ahora generaremos la pareja de claves con el siguiente comando: root@localhost#ssh-keygen -t rsa Luego nos preguntara donde la ruta donde será guardada la clave, dejar la ruta por defecto ~/.ssh/id_rsa Ahora nos pedirá una contraseña de aseguramiento de las llaves es conveniente usar una clave segura que contenga caracteres alfanuméricos y especiales, se puede dejar la misma que se usa para iniciar la sesión SSH. Paso 3 Una vez completado el paso anterior verificar que se tienen las dos claves en el directorio.ssh, la privada id_rsa y la pública id_rsa.pub root@localhost#ls.ssh Paso 4 Por último es necesario mover la llave pública al servidor, para ello se puede usar el comando scp que estudiamos en la sección previa o bien mover la clave de forma manual, para nuestro ejemplo la moveremos con scp con el siguiente comando: testnombre@localhost$scp.ssh/id_rsa.pub usuarioserver@<ip>:/tmp/ Añadir la clave publica en el servidor: Ahora necesitamos añadir la clave pública en el servidor suponiendo que la clave fue recibida en la carpeta /tmp con el comando siguiente: root@localhost#cat /tmp/id_rsa.pub >> ~/.ssh/authorized_keys

8 8 Seguridad en redes. Guía 4 Añadir la clave privada al agente en el cliente: Por ultimo para evitar que durante el inicio de la sesión se nos solicite la contraseña de aseguramiento para descifrar la clave, esta se debe agregar al agente de ssh con el siguiente comando root@localhost#ssh-add.ssh/id_rsa Ahora pruebe conectándose con otro compañero y verifique que el agente efectúa el proceso de intercambio de llaves Creación de Script SSH es una herramienta muy utilizada para poder ejecutar script de tareas de forma segura, con lo que muchas actividades de soporte y mantenimiento de aplicaciones en máquinas remotas se puedan desarrollar por el canal seguro que brinda este protocolo, la creación de un script se puede efectuar con las siguientes instrucciones: root@localhost#touch <NombreScript>.sh && chmod +x <NombreScript>.sh root@localhost#echo '#!/bin/bash' > <NombreScript>.sh && echo '# -*- ENCODING: UTF-8 -*-' >> <NombreScript>.sh Con el primer comando se crea el archivo del script y se le da permisos de ejecución, con el segundo se le agrega la cabecera básica para un archivo de este tipo. Ahora ya podemos abrir el archivo y agregarle los comandos que deseamos que ejecute, cualquier comando que se puede ejecutar por linea de comandos se puede ejecutar con un script, para probar esto desarrolle el siguiente script: #!/bin/bash # -*- ENCODING: UTF-8 -*- echo "Seguridad en Redes" echo "Practica numero 4" mkdir carpetacreadascript ls exit Para ejecutar el script use el siguiente comando: root@localhost#./<nombrescript>.sh

9 Seguridad en redes. Guía 4 9 El resultado del script será que presentara los mensajes Seguridad en Redes y Practica número 4, luego creara la carpeta: carpetacreadascript, y al final listara los archivos contenidos en la carpeta donde se ejecutó el script Recupere el estado original del archivo de configuración root@localhost#cp /etc/ssh/sshd_config_original /etc/ssh/sshd_config Desafío corto Usando los conocimientos practicados en el laboratorio desarrollar un script que se conecte de forma remota a 3 computadoras y cree un directorio con su primer nombre y luego entre a dicha carpeta y cree otras tres carpetas con los nombres de su padre, madre y hermano/hermana y dentro de cada carpeta cree 1 archivo de texto que contenga la fecha de nacimiento de la persona en cuestión. Para poder ejecutar previamente el script será necesario que las tres máquinas a las que se conectara contengan las llaves públicas para que el ejercicio funcione. Evaluación Asistencia 20% Desarrollo de la práctica completa 40% Desarrollo del desafío cortó 40% Bibliografía Daniel J. Barrett, Richard E. Silverman; SSH the Secure Shell, the Definitive Guide, Second Guía 3 Edition, O'Reilly Media, 2005 Guía 4 fía

10 10 Seguridad en redes. Guía 4 Guía 4: SSH Tema: Presentación del programa Alumno: Hoja de cotejo: Docente: Máquina No: Máquina GL: No: 3 1 Alumno: Docente: Docente: GL: Máquina a No: GL: Fecha:

11 Seguridad en redes. Guía 4 11 EVALUACION % Nota CONOCIMIENTO 25 Demostró poco conocimiento sobre el tema de la práctica. APLICACIÓN DEL CONOCIMIENTO 70 Cifra y descifra contenidos de entrada de teclado, utilizando diferentes claves Demostró conocimiento medio sobre el tema de la práctica. Cifra y descifra contenidos de entrada de teclado, utilizando diferentes claves. Cifra y descifra archivos de texto con diferentes claves Demostró buen conocimiento sobre el tema de la práctica. Cifra y descifra contenidos de entrada de teclado, utilizando diferentes claves. Cifra y descifra archivos de texto con diferentes claves Comprueba las expresiones Ek[Ek(M)] =M y Ek1[Ek2(M)] = M ACTITUD 2.5 Es un observador pasivo. Participa ocasionalmente o lo hace constantemente pero sin coordinarse con su compañero. Participa propositiva e integralmente en toda la práctica. 2.5 Es ordenado pero no hace un uso adecuado de los recursos. Hace un uso adecuado de recursos respetando las pautas de seguridad, pero es desordenado. Hace un manejo responsable y adecuado de los recursos conforme a pautas de seguridad e higiene. TOTAL 100