tuneles ssh

TUNELES SSH

2012

Javier García Cambronel SEGUNDO DE ASIR

16/02/2012

[TUNELES SSH] 16 de febrero de 2012

SEGUNDO DE ASIR Página 1

¿QUÉ ES SSH?

PRÁCTICA USANDO SSH Y ASEGURANDOLO

COMPROBACION



¿QUÉ ES SSH?

CARACTERISTICAS

SSH™ (o Secure SHell) es un protocolo que facilita las comunicaciones seguras entre dos sistemas

usando una arquitectura cliente/servidor y que permite a los usuarios conectarse a un host

remotamente. A diferencia de otros protocolos de comunicación remota tales como FTP o Telnet, SSH

encripta la sesión de conexión, haciendo imposible que alguien pueda obtener contraseñas no

encriptadas.

SSH está diseñado para reemplazar los métodos más viejos y menos seguros para registrarse

remotamente en otro sistema a través de la shell de comando, tales como telnet o rsh. Un programa

relacionado, el scp, reemplaza otros programas diseñados para copiar archivos entre hosts como rcp.

Ya que estas aplicaciones antiguas no encriptan contraseñas entre el cliente y el servidor, evite usarlas

mientras le sea posible. El uso de métodos seguros para registrarse remotamente a otros sistemas

reduce los riesgos de seguridad tanto para el sistema cliente como para el sistema remoto.

El protocolo SSH proporciona los siguientes tipos de protección:

Después de la conexión inicial, el cliente puede verificar que se está conectando al mismo

servidor al que se conectó anteriormente.

El cliente transmite su información de autenticación al servidor usando una encriptación

robusta de 128 bits.

Todos los datos enviados y recibidos durante la sesión se transfieren por medio de

encriptación de 128 bits, lo cual los hacen extremamente difícil de descifrar y leer.

El cliente tiene la posibilidad de reenviar aplicaciones X11 desde el servidor. Esta técnica,

llamada reenvío por X11, proporciona un medio seguro para usar aplicaciones gráficas sobre

una red.



BREVE HISTORIA DE SSH

SSH 1.2.12 fue desarrollado por un programador finlandés, Tatu Ylönen, que publicó su trabajo bajo

una licencia libre. Pronto el éxito de su programa lo llevo a patentar la marca registrada "SSH™" y

crear una empresa con fines comerciales. Las siguientes versiones dejaron de ser libres y se permitió

su empleo únicamente para usos no comerciales. Los desarrolladores de OpenBSD se dieron cuenta

de que su sistema operativo, centrado en la criptografía y seguridad, se quedaba "cojo" sin SSH.

Además, las encuestas afirmaban que lo primero que la mayoría de usuarios de OpenBSD añadía

después de instalar el sistema era SSH. Con estas ideas en la cabeza y bastante buenas intenciones,

surgió el proyecto OpenSSH, cuyo principal objetivo consistió en desarrollar una implementación

totalmente libre de SSH. Los primeros pasos de este proyecto estuvieron centrados en utilizar

solamente código libre y portable. Tanto es así que pusieron especial empeño en evitar problemas

con patentes y restricciones gubernamentales: la mayoría de los desarrolladores residían fuera de

Estados Unidos, a excepción de Niels Provos, un alemán afincado en Michigan, que cruzó la frontera a

Canadá para enviar su código desde una pequeña tienda local de informática en Ontario (nada quería

dejarse a la ligera).

Todos estos esfuerzos no fueron vistos con tan buenos ojos por el desarrollador inicial de SSH, que

veía como su proyecto comercial se iba al traste. Después de varias demandas judiciales y muchas

discusiones, OpenSSH pudo mantener el "SSH" en su nombre y seguir con el trabajo que estaban

realizando.



¿Qué es un túnel SSH?

La mayoría de los protocolos que empleamos en nuestras comunicaciones están basados en

diseños de hace casi 30 años, cuando la seguridad en redes telemáticas no era un problema.

Telnet, FTP, POP3, protocolos de uso cotidiano, descuidan la seguridad y confidencialidad de

los datos que envían. De nada sirve proteger nuestros servidores, implantar una buena

política de contraseñas y actualizar las versiones de nuestros demonios, si luego cuando un

usuario de POP3, por ejemplo, quiere ver su correo electrónico desde la universidad, envía

su usuario y contraseña en texto plano por la red.

Para evitar esto tenemos dos alternativas: bien elegir protocolos que sean seguros, bien

hacer seguros los protocolos inseguros.

La idea en la que se basa este procedimiento es la de hacer un túnel por el cual viajarán los

datos de manera segura ("tunneling").

El símil con la vida real está bastante bien escogido: imaginemos que la tasa de mortalidad

de los diferentes medios de transporte fuese equivalente a la posibilidad de que la seguridad

de nuestros datos sea violada, y que el tren representase un canal seguro y el automóvil un

canal inseguro.

EJEMPLO PARA CONCEPTO

El túnel del Canal de la Mancha sería el ejemplo perfecto para ilustrar el concepto de

"tunneling": cuando queremos viajar a través de él con nuestro coche, tenemos que

subirnos a un vagón para coches y luego cruzar el túnel en tren. Hemos incrementado

sensiblemente la seguridad del viaje, porque la probabilidad de un accidente de tren es

muchísimo menor que la de un accidente de coche.



Este mismo proceso es el que se da a la hora de establecer un túnel seguro en la

comunicación entre cliente y servidor. En cada uno de los extremos del túnel están las

aplicaciones estándar (un demonio POP3 estándar, nuestro cliente de correo favorito...) y la

comunicación se asegura haciendo uso de toda la potencia criptográfica de SSH. Para ello

tenemos que realizar un procedimiento similar al que supondría subir nuestro coche al tren,

establecer mediante SSH un renvío de los datos gracias a una técnica denominada "port-

forwarding". SSH recoge los datos que el cliente quiere enviar y los renvía por el túnel o

canal seguro, al otro lado del túnel se recogen los datos y se renvían al servidor conveniente:

ESQUEMA GRAFICO CONEXIÓN SSH



PRÁCTICA USANDO SSH Y ASEGURANDOLO

OBJETIVOS

-Utilizar SSH de forma segura, con claves de cifrado

-Saltarse los proxys que nos restringen acceso a páginas web

-Navegación Anónima

Moba SSH

MobaSSH es un sencillo servidor SSH para uso doméstico. Es portable y muy fácil de usar,

características poco comunes en este tipo de programas. Para activar MobaSSH deberás

pulsar Install y ejecutar el servicio.

Hecho esto, MobaSSH aceptará conexiones entrantes en el puerto 22. Las credenciales de

usuario son las mismas de Windows, pero no te preocupes si no has definido contraseñas:

el botón Manage Users abre la consola de usuarios de Windows. Las opciones avanzadas,

por otro lado, se agrupan en la sección Expert.

Nada más acceder al servidor desde tu cliente SSH favorito, comprobarás que MobaSSH

incluye el shell Bash y las herramientas de línea de comandos más típicas de los entornos

UNIX, como vim, awk, grep, sed, find, less, chmod, etcétera. Es una sorpresa de lo más

agradable.

Pros

Ponerlo en marcha requiere únicamente dos clic

Incluye las utilidades UNIX más comunes

Compatible con Active Directory

Menú de opciones avanzadas

Contras

La versión gratuita no permite excluir hosts

Ayuda escasa y en formato PDF



EMPEZAMOS

Para ello nos dirigimos a la web del autor y seleccionamos la versión gratuita.

http://mobassh.mobatek.net/

Una vez que ejecutamos el programa lo instalamos debidamente.

http://mobassh.mobatek.net/



Y así vemos como se inicia el servicio perfectamente

Entramos en la configuración y le damos que si a permitir túneles para terminar la

configuración.



SEGURIDAD EN SSH

Configuramos la seguridad de las claves generadas, decimos que siempre se requiera

auntenticación…Cono podemos ver las opciones son muy amplias. Y siempre que no las

cambiemos se mantendrán las de el programa por defecto.



AHORA CON PUTTY

Lo siguiente que hacemos va a ser descargarnos PUTTY y elegir la versión que queramos.

http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

CONFIGURAMOS PUTTY

Abrimos el Putty y en el menú de la izquierda, vamos a SSH->Tunnels.

Indicamos un puerto superior a 1024 (pues estos están reservados) y añadimos

http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html



SEGUIMOS CONFIGURANDOLO

Ahora vamos a la pestaña “Session”, que es la que aparece al abrir el Putty.

- Donde pone Host-Name, escribimos: usuario@servidor_donde_tengo_la_cuenta

- Port, para SSH por defecto es el 22, ése está bien.

- Mas abajo, Saved Sesions, ponemos un nombre para guardar esta configuración. Por

ejemplo: Tunel

- Guardamos (pulsamos Save)

- Pulsamos Open



Cuando hemos pulsado en Open nos sale que si queremos abrir la conexión, y se utiliza una

clave de seguridad, para este aspecto.

Vemos como se realiza la conexión



TERMINAMOS CONFIGURANDO EL NAVEGADOR

Ahora solo quedaría configurar Firefox para utilizar dicho proxy, para ello lo hacemos como

vemos en la pantalla.



COMPROBACION

Una vez hecho esto vemos como la IP con la que accedemos ha cambiado y estamos

accediendo “anónimamente”

También al ser una IP de un servidor de otro País Frances para ser exacto, podríamos acceder

a contenido restringido del nuestro.

Y como no, saltarnos el acceso a páginas restringidas de nuestro instituto por ejemplo,

universidad, lugar de trabajo….

ANTES

DESPUES



VEMOS QUE DICHA IP PERTENECE A MOBATEK

tuneles ssh

Documents