2012

TUNELES SSH

Javier Garca Cambronel SEGUNDO DE ASIR 16/02/2012

[TUNELES SSH] 16 de febrero de 2012

QU ES SSH?

PRCTICA USANDO SSH Y ASEGURANDOLO

COMPROBACION

SEGUNDO DE ASIR

Pgina 1

[TUNELES SSH] 16 de febrero de 2012

QU ES SSH?
SSH (o Secure SHell) es un protocolo que facilita las comunicaciones seguras entre dos sistemas usando una arquitectura cliente/servidor y que permite a los usuarios conectarse a un host remotamente. A diferencia de otros protocolos de comunicacin remota tales como FTP o Telnet, SSH encripta la sesin de conexin, haciendo imposible que alguien pueda obtener contraseas no encriptadas. SSH est diseado para reemplazar los mtodos ms viejos y menos seguros para registrarse remotamente en otro sistema a travs de la shell de comando, tales como telnet o rsh. Un programa relacionado, el scp, reemplaza otros programas diseados para copiar archivos entre hosts como rcp. Ya que estas aplicaciones antiguas no encriptan contraseas entre el cliente y el servidor, evite usarlas mientras le sea posible. El uso de mtodos seguros para registrarse remotamente a otros sistemas reduce los riesgos de seguridad tanto para el sistema cliente como para el sistema remoto.

CARACTERISTICAS
El protocolo SSH proporciona los siguientes tipos de proteccin:

Despus de la conexin inicial, el cliente puede verificar que se est conectando al mismo servidor al que se conect anteriormente. El cliente transmite su informacin de autenticacin al servidor usando una encriptacin robusta de 128 bits. Todos los datos enviados y recibidos durante la sesin se transfieren por medio de encriptacin de 128 bits, lo cual los hacen extremamente difcil de descifrar y leer. El cliente tiene la posibilidad de reenviar aplicaciones X11 desde el servidor. Esta tcnica, llamada reenvo por X11, proporciona un medio seguro para usar aplicaciones grficas sobre una red.

SEGUNDO DE ASIR

Pgina 2

[TUNELES SSH] 16 de febrero de 2012

BREVE HISTORIA DE SSH

SSH 1.2.12 fue desarrollado por un programador finlands, Tatu Ylnen, que public su trabajo bajo una licencia libre. Pronto el xito de su programa lo llevo a patentar la marca registrada "SSH" y crear una empresa con fines comerciales. Las siguientes versiones dejaron de ser libres y se permiti su empleo nicamente para usos no comerciales. Los desarrolladores de OpenBSD se dieron cuenta de que su sistema operativo, centrado en la criptografa y seguridad, se quedaba "cojo" sin SSH. Adems, las encuestas afirmaban que lo primero que la mayora de usuarios de OpenBSD aada despus de instalar el sistema era SSH. Con estas ideas en la cabeza y bastante buenas intenciones, surgi el proyecto OpenSSH, cuyo principal objetivo consisti en desarrollar una implementacin totalmente libre de SSH. Los primeros pasos de este proyecto estuvieron centrados en utilizar solamente cdigo libre y portable. Tanto es as que pusieron especial empeo en evitar problemas con patentes y restricciones gubernamentales: la mayora de los desarrolladores residan fuera de Estados Unidos, a excepcin de Niels Provos, un alemn afincado en Michigan, que cruz la frontera a Canad para enviar su cdigo desde una pequea tienda local de informtica en Ontario (nada quera dejarse a la ligera). Todos estos esfuerzos no fueron vistos con tan buenos ojos por el desarrollador inicial de SSH, que vea como su proyecto comercial se iba al traste. Despus de varias demandas judiciales y muchas discusiones, OpenSSH pudo mantener el "SSH" en su nombre y seguir con el trabajo que estaban realizando.

SEGUNDO DE ASIR

Pgina 3

[TUNELES SSH] 16 de febrero de 2012

Qu es un tnel SSH?
La mayora de los protocolos que empleamos en nuestras comunicaciones estn basados en diseos de hace casi 30 aos, cuando la seguridad en redes telemticas no era un problema. Telnet, FTP, POP3, protocolos de uso cotidiano, descuidan la seguridad y confidencialidad de los datos que envan. De nada sirve proteger nuestros servidores, implantar una buena poltica de contraseas y actualizar las versiones de nuestros demonios, si luego cuando un usuario de POP3, por ejemplo, quiere ver su correo electrnico desde la universidad, enva su usuario y contrasea en texto plano por la red. Para evitar esto tenemos dos alternativas: bien elegir protocolos que sean seguros, bien hacer seguros los protocolos inseguros.

La idea en la que se basa este procedimiento es la de hacer un tnel por el cual viajarn los datos de manera segura ("tunneling"). El smil con la vida real est bastante bien escogido: imaginemos que la tasa de mortalidad de los diferentes medios de transporte fuese equivalente a la posibilidad de que la seguridad de nuestros datos sea violada, y que el tren representase un canal seguro y el automvil un canal inseguro.

EJEMPLO PARA CONCEPTO El tnel del Canal de la Mancha sera el ejemplo perfecto para ilustrar el concepto de "tunneling": cuando queremos viajar a travs de l con nuestro coche, tenemos que subirnos a un vagn para coches y luego cruzar el tnel en tren. Hemos incrementado sensiblemente la seguridad del viaje, porque la probabilidad de un accidente de tren es muchsimo menor que la de un accidente de coche.

SEGUNDO DE ASIR

Pgina 4

[TUNELES SSH] 16 de febrero de 2012

Este mismo proceso es el que se da a la hora de establecer un tnel seguro en la comunicacin entre cliente y servidor. En cada uno de los extremos del tnel estn las aplicaciones estndar (un demonio POP3 estndar, nuestro cliente de correo favorito...) y la comunicacin se asegura haciendo uso de toda la potencia criptogrfica de SSH. Para ello tenemos que realizar un procedimiento similar al que supondra subir nuestro coche al tren, establecer mediante SSH un renvo de los datos gracias a una tcnica denominada "portforwarding". SSH recoge los datos que el cliente quiere enviar y los renva por el tnel o canal seguro, al otro lado del tnel se recogen los datos y se renvan al servidor conveniente:

ESQUEMA GRAFICO CONEXIN SSH

SEGUNDO DE ASIR

Pgina 5

[TUNELES SSH] 16 de febrero de 2012

PRCTICA USANDO SSH Y ASEGURANDOLO

OBJETIVOS
-Utilizar SSH de forma segura, con claves de cifrado -Saltarse los proxys que nos restringen acceso a pginas web -Navegacin Annima

Moba SSH

MobaSSH es un sencillo servidor SSH para uso domstico. Es portable y muy fcil de usar, caractersticas poco comunes en este tipo de programas. Para activar MobaSSH debers pulsar Install y ejecutar el servicio. Hecho esto, MobaSSH aceptar conexiones entrantes en el puerto 22. Las credenciales de usuario son las mismas de Windows, pero no te preocupes si no has definido contraseas: el botn Manage Users abre la consola de usuarios de Windows. Las opciones avanzadas, por otro lado, se agrupan en la seccin Expert. Nada ms acceder al servidor desde tu cliente SSH favorito, comprobars que MobaSSH incluye el shell Bash y las herramientas de lnea de comandos ms tpicas de los entornos UNIX, como vim, awk, grep, sed, find, less, chmod, etctera. Es una sorpresa de lo ms agradable. Pros

Ponerlo en marcha requiere nicamente dos clic Incluye las utilidades UNIX ms comunes Compatible con Active Directory Men de opciones avanzadas

Contras

La versin gratuita no permite excluir hosts Ayuda escasa y en formato PDF

SEGUNDO DE ASIR

Pgina 6

[TUNELES SSH] 16 de febrero de 2012

EMPEZAMOS
Para ello nos dirigimos a la web del autor y seleccionamos la versin gratuita. http://mobassh.mobatek.net/

Una vez que ejecutamos el programa lo instalamos debidamente.

SEGUNDO DE ASIR

Pgina 7

[TUNELES SSH] 16 de febrero de 2012

Y as vemos como se inicia el servicio perfectamente

Entramos en la configuracin y le damos que si a permitir tneles para terminar la configuracin.

SEGUNDO DE ASIR

Pgina 8

[TUNELES SSH] 16 de febrero de 2012

SEGURIDAD EN SSH
Configuramos la seguridad de las claves generadas, decimos que siempre se requiera auntenticacinCono podemos ver las opciones son muy amplias. Y siempre que no las cambiemos se mantendrn las de el programa por defecto.

SEGUNDO DE ASIR

Pgina 9

[TUNELES SSH] 16 de febrero de 2012

AHORA CON PUTTY

Lo siguiente que hacemos va a ser descargarnos PUTTY y elegir la versin que queramos. http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html

CONFIGURAMOS PUTTY Abrimos el Putty y en el men de la izquierda, vamos a SSH->Tunnels. Indicamos un puerto superior a 1024 (pues estos estn reservados) y aadimos

SEGUNDO DE ASIR

Pgina 10

[TUNELES SSH] 16 de febrero de 2012

SEGUIMOS CONFIGURANDOLO Ahora vamos a la pestaa Session, que es la que aparece al abrir el Putty. - Donde pone Host-Name, escribimos: usuario@servidor_donde_tengo_la_cuenta - Port, para SSH por defecto es el 22, se est bien. - Mas abajo, Saved Sesions, ponemos un nombre para guardar esta configuracin. Por ejemplo: Tunel - Guardamos (pulsamos Save) - Pulsamos Open

SEGUNDO DE ASIR

Pgina 11

[TUNELES SSH] 16 de febrero de 2012

Cuando hemos pulsado en Open nos sale que si queremos abrir la conexin, y se utiliza una clave de seguridad, para este aspecto.

Vemos como se realiza la conexin

SEGUNDO DE ASIR

Pgina 12

[TUNELES SSH] 16 de febrero de 2012

TERMINAMOS CONFIGURANDO EL NAVEGADOR

Ahora solo quedara configurar Firefox para utilizar dicho proxy, para ello lo hacemos como vemos en la pantalla.

SEGUNDO DE ASIR

Pgina 13

[TUNELES SSH] 16 de febrero de 2012

COMPROBACION
Una vez hecho esto vemos como la IP con la que accedemos ha cambiado y estamos accediendo annimamente Tambin al ser una IP de un servidor de otro Pas Frances para ser exacto, podramos acceder a contenido restringido del nuestro. Y como no, saltarnos el acceso a pginas restringidas de nuestro instituto por ejemplo, universidad, lugar de trabajo.

ANTES

DESPUES

SEGUNDO DE ASIR

Pgina 14

[TUNELES SSH] 16 de febrero de 2012

VEMOS QUE DICHA IP PERTENECE A MOBATEK

SEGUNDO DE ASIR

Pgina 15