SSH Para La Gestion de Redes

SSH para la

Gestión de

Redes

Semana Cultural 2015 IES Jaume II El Just


SSH para la Gestión de Redes



¿Qué es SSH?



¿Qué es SSH?

• Un sustituto cifrado de telnet



¿Qué es SSH?

• Un sustituto cifrado de telnet • Un sustituto cifrado de rcp



¿Qué es SSH?

• Un sustituto cifrado de telnet • Un sustituto cifrado de rcp • Un sustituto cifrado de ftp



¿Qué es SSH?

• Un sustituto cifrado de telnet • Un sustituto cifrado de rcp • Un sustituto cifrado de ftp • Un redirector de puertos



¿Qué es SSH?

• Un sustituto cifrado de telnet • Un sustituto cifrado de rcp • Un sustituto cifrado de ftp • Un redirector de puertos • Un proxy • Un tunel • Una VPN



¿Qué es SSH?

Tunelador arbitrario CUALQUIER protocolo TCP/IP

Criptografía de extremo a extremo



Sustituto de telnet y rcp

Quieres trabajar en máquina remota • En el pasado usabas telnet

• Abrías una conexión y ya




Quieres trabajar en máquina remota • En el pasado usabas telnet

• Abrías una conexión y ya

Y cualquier mandril podía ver tu clave en claro




La clave de root es

oW5MGlK2yMcBpFWkXA




Dios bendiga a los

protocolos sin cifrar




Quieres trabajar en máquina remota • En el siglo XXI usas ssh

• Criptografía asimétrica • Todo cifrado por el puerto 22




Uso básico

ssh [email protected]




Uso básico

ssh [email protected]

Te autenticas por password o certificado Y obtienes un terminal allí lejos




Y si solo quiero ejecutar algo

ssh [email protected] 'comando'

Y se ejecuta allí Y ves la salida aquí




Y si el servidor escucha en otro puerto

ssh –p 443 [email protected]




Y si el servidor escucha en otro puerto

ssh –p 443 [email protected]

443 es el puerto HTTPS Suele estar abierto en FWs




A veces no quiero ni un terminal




Solo copiar archivo de allá a aquí

scp [email protected]:/f1 f2




Solo copiar archivo de allá a aquí

scp [email protected]:/f1 f2

OJO con las rutas




O de aquí a allí

scp f1 [email protected]:/tmp/f1




Incluso de a freír puñetas al quinto pino

scp [email protected]:/f1 [email protected]:/f2




Solo por esto ssh ya merece un altar




Solo por esto ssh ya merece un altar Pero aún hay más




Pero antes veamos buenas prácticas



Ideas prácticas para ssh

1 - Desactivar el acceso como root





Es urgente, de verdad





Es urgente, de verdad

En serio





Internet está lleno de botnets rusas y chinas, mayormente

Que buscan claves





grep -i "failed.*pass*.*ssh2$" /var/log/auth.log | \

sed 's/^.*from //;s/ port.*$//' | sort | uniq | wc -l





grep -i "failed.*pass*.*ssh2$" /var/log/auth.log | \

sed 's/^.*from //;s/ port.*$//' | sort | uniq | wc -l

Esto da como salida 45 45 tios intentando entrar de continuo





[email protected]# vi /etc/ssh/sshd_config

...

PermitRootLogin no

Para desactivar el acceso





[email protected]# vi /etc/ssh/sshd_config

...

PermitRootLogin no

Para desactivar el acceso

Archivo de conf como servidor





Hazlo o un gatito morirá





O un mandril vivirá




Mmmm, login remoto

como root




2 - Escuchar en otros puertos





A veces un FW no te deja llegar a tus máquinas remotas





Solución [email protected]# vi /etc/ssh/sshd_config

...

Port 443




3 - La conexión se corta





• ssh es TCP

Orientado a conexión No debería de quedarse colgado





• ssh es TCP • Pero hay mucho trasto defectuoso • Podemos dejar un top abierto • O mandar "latidos"





Solución I [email protected]$ vi /etc/ssh/ssh_config

...

ServerAliveInterval 30

ServerAliveCountMax 5






...


ServerAliveCountMax 5 Archivo de conf como cliente






...


ServerAliveCountMax 5

El cliente pide respuesta al

servidor





Solución II [email protected]# vi /etc/ssh/sshd_config

...

ClientAliveInterval 30

ClientAliveCountMax 5





Solución II [email protected]# vi /etc/ssh/sshd_config

...

ClientAliveInterval 30

ClientAliveCountMax 5

El servidor pide respuesta al

cliente




4 - Validación contra spoofing





• ssh soporta criptografía asimétrica



Clave para cifrar



Clave para descifrar



Clave para descifrar

Clave para cifrar





• Tenemos un cliente y un servidor • El servidor acepta a quién dé una clave • Validemos la clave pública del servidor • Y evitamos spoofing





Solución (en el servidor) $ ssh-keygen -lf ssh_host_rsa_key.pub

2048 6b:5c:ae:66:47:9f:39:6e:33:9c:ec:\

cb:95:14:3b:de root@vps (RSA)





Solución (en el servidor) $ ssh-keygen -lf ssh_host_rsa_key.pub

2048 6b:5c:ae:66:47:9f:39:6e:33:9c:ec:\


Marca de aguas de la clave





Solución alternativa(en el servidor)



$ ssh-keygen -lv -f ssh_host_rsa_key.pub

2048 6b:5c:ae:66:47:9f:39:6e:33:9c:ec:\


+--[ RSA 2048]----+

| |

| |

| . |

| o |

| S . + |

| . +. o + |

| +..+ ++ E|

| .o...%. |

| o.. +== |

+-----------------+

Randomart ASCII para mejor

validar



$ ssh-keygen -lv -f ssh_host_rsa_key.pub

2048 6b:5c:ae:66:47:9f:39:6e:33:9c:ec:\


+--[ RSA 2048]----+

| |

| |

| . |

| o |

| S . + |

| . +. o + |

| +..+ ++ E|

| .o...%. |

| o.. +== |

+-----------------+

El algoritmo de validación se llama de "El obispo borracho": www.dirk-loss.de/sshvis/drunken_bishop.pdf

http://www.dirk-loss.de/sshvis/drunken_bishop.pdf







Cliente se conecta: • Comprueba la clave pública • Si es nueva o cambiada muestra marca de aguas • Y pide confirmación





Solución (en el cliente)



$ ssh [email protected]

The authenticity of host 'vps150782.ovh.net

(151.80.156.126)' can't be established.

RSA key fingerprint is 6b:5c:ae:66:47:9f:\

39:6e:33:9c:ec:cb:95:14:3b:de.

Are you sure you want \

to continue connecting (yes/no)?




The authenticity of host 'vps150782.ovh.net

(151.80.156.126)' can't be established.

RSA key fingerprint is 6b:5c:ae:66:47:9f:\

39:6e:33:9c:ec:cb:95:14:3b:de.

Are you sure you want \

to continue connecting (yes/no)?

Si te importa tu seguridad comprueba

la marca de aguas




5 - Autenticación con certificado





• Tenemos 25 máquinas diferentes • Pongo la misma clave en todas





• Tenemos 25 máquinas diferentes • Pongo la misma clave en todas • ERROR





• Tenemos 25 máquinas diferentes • Pongo claves diferentes





• Tenemos 25 máquinas diferentes • Pongo claves diferentes • HORROR





• Uso certificados para autenticarme





Solución • Creo el par c. pública/privada en el cliente • Lo subo a cada servidor • Los añado a permitidos





Solución (lado cliente) $ ssh-keygen





Solución (lado cliente) $ ssh-keygen

Crea tu par de claves ~/.ssh/id_rsa

~/.ssh/id_rsa.pub



$ ssh-keygen

Generating public/private rsa key pair.

Enter file in which to save the key

(/home/jojvavi/.ssh/id_rsa):

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in

/home/jojvavi/.ssh/id_rsa.

Your public key has been saved in

/home/jojvavi/.ssh/id_rsa.pub.

The key fingerprint is:

8b:91:85:86:d8:39:ce:b2:b1:ae:3b:d9:14:64:7

7:9c [email protected]



$ ssh-keygen

Generating public/private rsa key pair.

Enter file in which to save the key

(/home/jojvavi/.ssh/id_rsa):

Enter passphrase (empty for no passphrase):

Enter same passphrase again:

Your identification has been saved in

/home/jojvavi/.ssh/id_rsa.

Your public key has been saved in

/home/jojvavi/.ssh/id_rsa.pub.

The key fingerprint is:

8b:91:85:86:d8:39:ce:b2:b1:ae:3b:d9:14:64:7

7:9c [email protected]

Nuestro lado también tiene marca de aguas





Solución (lado cliente) $ ssh-copy-id [email protected]






Te añade al archivo de permitidos






Pero OJO, esto es el servidor




Enter passphrase for key

'/home/jojvavi/.ssh/id_rsa':




Enter passphrase for key


Nos pide la passphrase del

certificado




6 - Usar un agente para certificados

• Mi certificado está en el servidor • Pero me pide la "passphrase" • ¿Qué he ganado?





• Un certificado con pass es más robusto • Y solo es uno • Además podemos usar un agente • Metemos nuestra pass por sesión y ya





Solución (solo lado cliente) $ eval `ssh-agent –s`

$ ssh-add

Enter passphrase for






Solución (solo lado cliente) $ eval `ssh-agent –s`

$ ssh-add

Enter passphrase for


Debido a historias, ssh-agent se suele

ejecutar así



ssh como sustituto de ftp




• ftp es antiguo y sin cifrar • Y gasta dos puertos • Y es dificil de gestionar en FW

sftp




Solución ftp anonimo (lado servidor)

• Crear usuario • Crear directorios y permisos • Reconfigurar servidor ssh




• Crear usuario

# useradd –m –d /ftp –s /usr/sbin/nologin\

anonymous




• Crear usuario


anonymous

Directorio separado




• Crear usuario


anonymous

Login bloqueado a la antigua usanza




• Crear directorios y permisos # chown root:root /ftp

# cp loquesea /ftp




• Crear directorios y permisos # chown root:root /ftp

# cp loquesea /ftp

Algo de restricciones



ssh como sustituto de ftp • Reconfigurar servidor ssh

# vi /etc/ssh/sshd_config

...

Subsystem sftp /usr/lib/openssh/sftp-

server

Match User anonymous

ChrootDirectory %h

ForceCommand internal-sftp

AllowTcpForwarding no

X11Forwanding no




...


server


ChrootDirectory %h



X11Forwanding no

Que arranque el subsistema




...


server


ChrootDirectory %h



X11Forwanding no

Encerrado aquí




...


server


ChrootDirectory %h



X11Forwanding no

Solo ftp




...


server


ChrootDirectory %h



X11Forwanding no

Nada de trucos con puertos o X




...


server


ChrootDirectory %h



X11Forwanding no

Listo para Probar



ssh como forwarder o proxy




• ssh es un protocolo de transporte • Puedes encapsular lo que sea • Y llegará cifrado




Puedes tunelar • Del derecho • A la inversa • En plan dinámico/SOCKS




Puedes tunelar • Del derecho • A la inversa • En plan dinámico/SOCKS • Incluso como una VPN




Puedes tunelar • Del derecho • A la inversa • En plan dinámico/SOCKS • Incluso como una VPN

Esto último es MALA idea TCP sobre TCP -> inestable




Forward directo de puerto





• Aquí se manda allí • Usado para cifrar protocolos en claro





• Aquí se manda allí • Usado para cifrar protocolos en claro

La idea es dar una solución rápida y temporal. No sustituir a SSL




Caso Directo

Apache vps150782.ovh.n

et:80

Cliente localhost:1234 Internet




Caso Directo | Sin proxy


et:80


Petición al puerto 80

En claro




Caso Directo | Con proxy


et:80


Petición a p.1234






et:80


Transporta por ssh al p. 22

Cifrada






et:80


Petición a p.80





$ ssh –N –L 1234:127.0.0.1:80 j@vps150782

Sin terminal





$ ssh –N –L 1234:127.0.0.1:80 j@vps150782

Puerto Local





$ ssh –N –L 1234:127.0.0.1:80 j@vps150782

Puerto Remoto





La petición: • Va cifrada por el maligno internet • No PKI ni modificación del servidor

$ ssh –N –L 1234:127.0.0.1:80 j@vps150782




Caso Inverso

• Aquí es accesible desde allí • Usado para ofrecer servicios tras NAT




Caso Inverso

• Aquí es accesible desde allí • Usado para ofrecer servicios tras NAT • VPN del pobre o último recurso




Caso Inverso

ssh:22 vps150782.ovh.n

et:8080 Apache:80

Internet

NAT




Caso Inverso


et:8080 Apache:80

Internet

NAT

Detrás de NAT no puede ofrecer servicios




Caso Inverso | sin proxy


et:8080 Apache:80

Internet

NAT

Petición a p.80




Caso Inverso | Creación proxy


et:8080 Apache:80

Internet

NAT

Conexión de p. 80


Escucha en p.8080






et:8080

Apache:80 localhost:1234 Internet

NAT

Conexión a de p.1234 a 8080


Escucha en p.8080

Ahora la máquina con IP pública se queda escuchando en 8080





et:8080

Apache:80 localhost:1234 Internet

NAT

Conexión a de p.1234 a 8080


Escucha en p.8080

Todo lo que llegue allí irá tunelado a la máquina tras NAT





Caso Inverso | Usando el proxy


et:8080

Petición a 8080

Cliente




Caso Inverso | Usando el proxy

Petición a 80

Cliente Apache:80




Creación proxy | Lado Servidor


...

GatewayPorts yes






...

GatewayPorts yes

Si no sólo se podrán conectar desde el otro

extremo del túnel






...

GatewayPorts yes

Esta opción es muy peligrosa. OJO




Creación proxy | Lado Cliente

$ ssh –N –R 151.X.X.126:8080:127.0.0.1:80\

[email protected]





$ ssh –N –R 151.X.X.126:8080:127.0.0.1:80\

[email protected]

IP pública del servidor





$ ssh –N –R 151.X.X.126:8080:127.0.0.1:80\

[email protected]

Puerto del servidor





$ ssh –N –R 151.X.X.126:8080:127.0.0.1:80\

[email protected]

Puerto del cliente nateado que queremos

tunelar




Forward dinámico de puertos

• Ahora queremos algo más • Que el proxy mande lo que queramos • Donde queramos • Al puerto que queramos





• No basta un forward estático





• No basta un forward estático • No sabría donde mandar las cosas





• No basta un forward estático • Pero el protocolo SOCKS se encarga • Y hace falta un cliente SOCKS




Sin proxy

Web prohibida Cliente Internet

Proxy

FW




Sin proxy


Proxy

FW

Petición a sitio prohibido




Con proxy


Proxy

FW

Petición a proxy inocente




Con proxy


Proxy

FW

Juju ju





$ ssh –N –D 127.0.0.1:1234 [email protected]






El cliente escucha como SOCKS en este puerto






Y se tunela al servidor que actuará en nuestro

nombre






Queda configurar las aplicaciones cliente



Y se acabó Gracias por venir

Más info en https://www.michaelwlucas.com/nonfiction/ssh-mastery

https://www.michaelwlucas.com/nonfiction/ssh-mastery



SSH Para La Gestion de Redes

Documents

Transcript of SSH Para La Gestion de Redes