ssh para la gestion de redes
Post on 20-Dec-2015
239 Views
Preview:
DESCRIPTION
TRANSCRIPT
SSH para la
Gestión de
Redes
Semana Cultural 2015 IES Jaume II El Just
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
¿Qué es SSH?
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
¿Qué es SSH?
• Un sustituto cifrado de telnet
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
¿Qué es SSH?
• Un sustituto cifrado de telnet • Un sustituto cifrado de rcp
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
¿Qué es SSH?
• Un sustituto cifrado de telnet • Un sustituto cifrado de rcp • Un sustituto cifrado de ftp
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
¿Qué es SSH?
• Un sustituto cifrado de telnet • Un sustituto cifrado de rcp • Un sustituto cifrado de ftp • Un redirector de puertos
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
¿Qué es SSH?
• Un sustituto cifrado de telnet • Un sustituto cifrado de rcp • Un sustituto cifrado de ftp • Un redirector de puertos • Un proxy • Un tunel • Una VPN
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
¿Qué es SSH?
Tunelador arbitrario CUALQUIER protocolo TCP/IP
Criptografía de extremo a extremo
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Sustituto de telnet y rcp
Quieres trabajar en máquina remota • En el pasado usabas telnet
• Abrías una conexión y ya
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Sustituto de telnet y rcp
Quieres trabajar en máquina remota • En el pasado usabas telnet
• Abrías una conexión y ya
Y cualquier mandril podía ver tu clave en claro
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Sustituto de telnet y rcp
La clave de root es
oW5MGlK2yMcBpFWkXA
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Sustituto de telnet y rcp
Dios bendiga a los
protocolos sin cifrar
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Sustituto de telnet y rcp
Quieres trabajar en máquina remota • En el siglo XXI usas ssh
• Criptografía asimétrica • Todo cifrado por el puerto 22
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Sustituto de telnet y rcp
Uso básico
ssh usr@srvr.com
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Sustituto de telnet y rcp
Uso básico
ssh usr@srvr.com
Te autenticas por password o certificado Y obtienes un terminal allí lejos
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Sustituto de telnet y rcp
Y si solo quiero ejecutar algo
ssh usr@srvr.com 'comando'
Y se ejecuta allí Y ves la salida aquí
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Sustituto de telnet y rcp
Y si el servidor escucha en otro puerto
ssh –p 443 usr@srvr.com
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Sustituto de telnet y rcp
Y si el servidor escucha en otro puerto
ssh –p 443 usr@srvr.com
443 es el puerto HTTPS Suele estar abierto en FWs
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Sustituto de telnet y rcp
A veces no quiero ni un terminal
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Sustituto de telnet y rcp
Solo copiar archivo de allá a aquí
scp usr@srvr.com:/f1 f2
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Sustituto de telnet y rcp
Solo copiar archivo de allá a aquí
scp usr@srvr.com:/f1 f2
OJO con las rutas
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Sustituto de telnet y rcp
O de aquí a allí
scp f1 u@s.es:/tmp/f1
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Sustituto de telnet y rcp
Incluso de a freír puñetas al quinto pino
scp u1@s1.es:/f1 u2@s2.es:/f2
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Sustituto de telnet y rcp
Solo por esto ssh ya merece un altar
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Sustituto de telnet y rcp
Solo por esto ssh ya merece un altar Pero aún hay más
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Sustituto de telnet y rcp
Pero antes veamos buenas prácticas
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
1 - Desactivar el acceso como root
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
1 - Desactivar el acceso como root
Es urgente, de verdad
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
1 - Desactivar el acceso como root
Es urgente, de verdad
En serio
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
1 - Desactivar el acceso como root
Internet está lleno de botnets rusas y chinas, mayormente
Que buscan claves
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
1 - Desactivar el acceso como root
grep -i "failed.*pass*.*ssh2$" /var/log/auth.log | \
sed 's/^.*from //;s/ port.*$//' | sort | uniq | wc -l
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
1 - Desactivar el acceso como root
grep -i "failed.*pass*.*ssh2$" /var/log/auth.log | \
sed 's/^.*from //;s/ port.*$//' | sort | uniq | wc -l
Esto da como salida 45 45 tios intentando entrar de continuo
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
1 - Desactivar el acceso como root
u@svr.com# vi /etc/ssh/sshd_config
...
PermitRootLogin no
Para desactivar el acceso
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
1 - Desactivar el acceso como root
u@svr.com# vi /etc/ssh/sshd_config
...
PermitRootLogin no
Para desactivar el acceso
Archivo de conf como servidor
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
1 - Desactivar el acceso como root
Hazlo o un gatito morirá
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
1 - Desactivar el acceso como root
O un mandril vivirá
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
Mmmm, login remoto
como root
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
2 - Escuchar en otros puertos
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
2 - Escuchar en otros puertos
A veces un FW no te deja llegar a tus máquinas remotas
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
2 - Escuchar en otros puertos
Solución u@svr.com# vi /etc/ssh/sshd_config
...
Port 443
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
3 - La conexión se corta
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
3 - La conexión se corta
• ssh es TCP
Orientado a conexión No debería de quedarse colgado
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
3 - La conexión se corta
• ssh es TCP • Pero hay mucho trasto defectuoso • Podemos dejar un top abierto • O mandar "latidos"
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
3 - La conexión se corta
Solución I u@cl.com$ vi /etc/ssh/ssh_config
...
ServerAliveInterval 30
ServerAliveCountMax 5
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
3 - La conexión se corta
Solución I u@cl.com$ vi /etc/ssh/ssh_config
...
ServerAliveInterval 30
ServerAliveCountMax 5 Archivo de conf como cliente
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
3 - La conexión se corta
Solución I u@cl.com$ vi /etc/ssh/ssh_config
...
ServerAliveInterval 30
ServerAliveCountMax 5
El cliente pide respuesta al
servidor
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
3 - La conexión se corta
Solución II u@svr.com# vi /etc/ssh/sshd_config
...
ClientAliveInterval 30
ClientAliveCountMax 5
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
3 - La conexión se corta
Solución II u@svr.com# vi /etc/ssh/sshd_config
...
ClientAliveInterval 30
ClientAliveCountMax 5
El servidor pide respuesta al
cliente
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
4 - Validación contra spoofing
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
4 - Validación contra spoofing
• ssh soporta criptografía asimétrica
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Clave para cifrar
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Clave para descifrar
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Clave para descifrar
Clave para cifrar
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
4 - Validación contra spoofing
• Tenemos un cliente y un servidor • El servidor acepta a quién dé una clave • Validemos la clave pública del servidor • Y evitamos spoofing
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
4 - Validación contra spoofing
Solución (en el servidor) $ ssh-keygen -lf ssh_host_rsa_key.pub
2048 6b:5c:ae:66:47:9f:39:6e:33:9c:ec:\
cb:95:14:3b:de root@vps (RSA)
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
4 - Validación contra spoofing
Solución (en el servidor) $ ssh-keygen -lf ssh_host_rsa_key.pub
2048 6b:5c:ae:66:47:9f:39:6e:33:9c:ec:\
cb:95:14:3b:de root@vps (RSA)
Marca de aguas de la clave
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
4 - Validación contra spoofing
Solución alternativa(en el servidor)
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
$ ssh-keygen -lv -f ssh_host_rsa_key.pub
2048 6b:5c:ae:66:47:9f:39:6e:33:9c:ec:\
cb:95:14:3b:de root@vps (RSA)
+--[ RSA 2048]----+
| |
| |
| . |
| o |
| S . + |
| . +. o + |
| +..+ ++ E|
| .o...%. |
| o.. +== |
+-----------------+
Randomart ASCII para mejor
validar
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
$ ssh-keygen -lv -f ssh_host_rsa_key.pub
2048 6b:5c:ae:66:47:9f:39:6e:33:9c:ec:\
cb:95:14:3b:de root@vps (RSA)
+--[ RSA 2048]----+
| |
| |
| . |
| o |
| S . + |
| . +. o + |
| +..+ ++ E|
| .o...%. |
| o.. +== |
+-----------------+
El algoritmo de validación se llama de "El obispo borracho": www.dirk-loss.de/sshvis/drunken_bishop.pdf
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
4 - Validación contra spoofing
Cliente se conecta: • Comprueba la clave pública • Si es nueva o cambiada muestra marca de aguas • Y pide confirmación
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
4 - Validación contra spoofing
Solución (en el cliente)
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
$ ssh jojvavi@vps150782.ovh.net
The authenticity of host 'vps150782.ovh.net
(151.80.156.126)' can't be established.
RSA key fingerprint is 6b:5c:ae:66:47:9f:\
39:6e:33:9c:ec:cb:95:14:3b:de.
Are you sure you want \
to continue connecting (yes/no)?
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
$ ssh jojvavi@vps150782.ovh.net
The authenticity of host 'vps150782.ovh.net
(151.80.156.126)' can't be established.
RSA key fingerprint is 6b:5c:ae:66:47:9f:\
39:6e:33:9c:ec:cb:95:14:3b:de.
Are you sure you want \
to continue connecting (yes/no)?
Si te importa tu seguridad comprueba
la marca de aguas
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
5 - Autenticación con certificado
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
5 - Autenticación con certificado
• Tenemos 25 máquinas diferentes • Pongo la misma clave en todas
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
5 - Autenticación con certificado
• Tenemos 25 máquinas diferentes • Pongo la misma clave en todas • ERROR
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
5 - Autenticación con certificado
• Tenemos 25 máquinas diferentes • Pongo claves diferentes
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
5 - Autenticación con certificado
• Tenemos 25 máquinas diferentes • Pongo claves diferentes • HORROR
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
5 - Autenticación con certificado
• Uso certificados para autenticarme
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
5 - Autenticación con certificado
Solución • Creo el par c. pública/privada en el cliente • Lo subo a cada servidor • Los añado a permitidos
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
5 - Autenticación con certificado
Solución (lado cliente) $ ssh-keygen
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
5 - Autenticación con certificado
Solución (lado cliente) $ ssh-keygen
Crea tu par de claves ~/.ssh/id_rsa
~/.ssh/id_rsa.pub
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key
(/home/jojvavi/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in
/home/jojvavi/.ssh/id_rsa.
Your public key has been saved in
/home/jojvavi/.ssh/id_rsa.pub.
The key fingerprint is:
8b:91:85:86:d8:39:ce:b2:b1:ae:3b:d9:14:64:7
7:9c jojvavi@vps150782.ovh.net
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key
(/home/jojvavi/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in
/home/jojvavi/.ssh/id_rsa.
Your public key has been saved in
/home/jojvavi/.ssh/id_rsa.pub.
The key fingerprint is:
8b:91:85:86:d8:39:ce:b2:b1:ae:3b:d9:14:64:7
7:9c jojvavi@vps150782.ovh.net
Nuestro lado también tiene marca de aguas
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
5 - Autenticación con certificado
Solución (lado cliente) $ ssh-copy-id jojvavi@vps150782.ovh.net
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
5 - Autenticación con certificado
Solución (lado cliente) $ ssh-copy-id jojvavi@vps150782.ovh.net
Te añade al archivo de permitidos
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
5 - Autenticación con certificado
Solución (lado cliente) $ ssh-copy-id jojvavi@vps150782.ovh.net
Pero OJO, esto es el servidor
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
$ ssh jojvavi@vps150782.ovh.net
Enter passphrase for key
'/home/jojvavi/.ssh/id_rsa':
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
$ ssh jojvavi@vps150782.ovh.net
Enter passphrase for key
'/home/jojvavi/.ssh/id_rsa':
Nos pide la passphrase del
certificado
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
6 - Usar un agente para certificados
• Mi certificado está en el servidor • Pero me pide la "passphrase" • ¿Qué he ganado?
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
6 - Usar un agente para certificados
• Un certificado con pass es más robusto • Y solo es uno • Además podemos usar un agente • Metemos nuestra pass por sesión y ya
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
6 - Usar un agente para certificados
Solución (solo lado cliente) $ eval `ssh-agent –s`
$ ssh-add
Enter passphrase for
'/home/jojvavi/.ssh/id_rsa':
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Ideas prácticas para ssh
6 - Usar un agente para certificados
Solución (solo lado cliente) $ eval `ssh-agent –s`
$ ssh-add
Enter passphrase for
'/home/jojvavi/.ssh/id_rsa':
Debido a historias, ssh-agent se suele
ejecutar así
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como sustituto de ftp
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como sustituto de ftp
• ftp es antiguo y sin cifrar • Y gasta dos puertos • Y es dificil de gestionar en FW
sftp
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como sustituto de ftp
Solución ftp anonimo (lado servidor)
• Crear usuario • Crear directorios y permisos • Reconfigurar servidor ssh
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como sustituto de ftp
• Crear usuario
# useradd –m –d /ftp –s /usr/sbin/nologin\
anonymous
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como sustituto de ftp
• Crear usuario
# useradd –m –d /ftp –s /usr/sbin/nologin\
anonymous
Directorio separado
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como sustituto de ftp
• Crear usuario
# useradd –m –d /ftp –s /usr/sbin/nologin\
anonymous
Login bloqueado a la antigua usanza
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como sustituto de ftp
• Crear directorios y permisos # chown root:root /ftp
# cp loquesea /ftp
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como sustituto de ftp
• Crear directorios y permisos # chown root:root /ftp
# cp loquesea /ftp
Algo de restricciones
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como sustituto de ftp • Reconfigurar servidor ssh
# vi /etc/ssh/sshd_config
...
Subsystem sftp /usr/lib/openssh/sftp-
server
Match User anonymous
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwanding no
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
# vi /etc/ssh/sshd_config
...
Subsystem sftp /usr/lib/openssh/sftp-
server
Match User anonymous
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwanding no
Que arranque el subsistema
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
# vi /etc/ssh/sshd_config
...
Subsystem sftp /usr/lib/openssh/sftp-
server
Match User anonymous
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwanding no
Encerrado aquí
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
# vi /etc/ssh/sshd_config
...
Subsystem sftp /usr/lib/openssh/sftp-
server
Match User anonymous
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwanding no
Solo ftp
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
# vi /etc/ssh/sshd_config
...
Subsystem sftp /usr/lib/openssh/sftp-
server
Match User anonymous
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwanding no
Nada de trucos con puertos o X
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
# vi /etc/ssh/sshd_config
...
Subsystem sftp /usr/lib/openssh/sftp-
server
Match User anonymous
ChrootDirectory %h
ForceCommand internal-sftp
AllowTcpForwarding no
X11Forwanding no
Listo para Probar
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
• ssh es un protocolo de transporte • Puedes encapsular lo que sea • Y llegará cifrado
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Puedes tunelar • Del derecho • A la inversa • En plan dinámico/SOCKS
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Puedes tunelar • Del derecho • A la inversa • En plan dinámico/SOCKS • Incluso como una VPN
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Puedes tunelar • Del derecho • A la inversa • En plan dinámico/SOCKS • Incluso como una VPN
Esto último es MALA idea TCP sobre TCP -> inestable
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Forward directo de puerto
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Forward directo de puerto
• Aquí se manda allí • Usado para cifrar protocolos en claro
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Forward directo de puerto
• Aquí se manda allí • Usado para cifrar protocolos en claro
La idea es dar una solución rápida y temporal. No sustituir a SSL
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Caso Directo
Apache vps150782.ovh.n
et:80
Cliente localhost:1234 Internet
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Caso Directo | Sin proxy
Apache vps150782.ovh.n
et:80
Cliente localhost:1234 Internet
Petición al puerto 80
En claro
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Caso Directo | Con proxy
Apache vps150782.ovh.n
et:80
Cliente localhost:1234 Internet
Petición a p.1234
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Caso Directo | Con proxy
Apache vps150782.ovh.n
et:80
Cliente localhost:1234 Internet
Transporta por ssh al p. 22
Cifrada
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Caso Directo | Con proxy
Apache vps150782.ovh.n
et:80
Cliente localhost:1234 Internet
Petición a p.80
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Caso Directo | Con proxy
$ ssh –N –L 1234:127.0.0.1:80 j@vps150782
Sin terminal
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Caso Directo | Con proxy
$ ssh –N –L 1234:127.0.0.1:80 j@vps150782
Puerto Local
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Caso Directo | Con proxy
$ ssh –N –L 1234:127.0.0.1:80 j@vps150782
Puerto Remoto
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Caso Directo | Con proxy
La petición: • Va cifrada por el maligno internet • No PKI ni modificación del servidor
$ ssh –N –L 1234:127.0.0.1:80 j@vps150782
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Caso Inverso
• Aquí es accesible desde allí • Usado para ofrecer servicios tras NAT
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Caso Inverso
• Aquí es accesible desde allí • Usado para ofrecer servicios tras NAT • VPN del pobre o último recurso
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Caso Inverso
ssh:22 vps150782.ovh.n
et:8080 Apache:80
Internet
NAT
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Caso Inverso
ssh:22 vps150782.ovh.n
et:8080 Apache:80
Internet
NAT
Detrás de NAT no puede ofrecer servicios
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Caso Inverso | sin proxy
ssh:22 vps150782.ovh.n
et:8080 Apache:80
Internet
NAT
Petición a p.80
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Caso Inverso | Creación proxy
ssh:22 vps150782.ovh.n
et:8080 Apache:80
Internet
NAT
Conexión de p. 80
Transporta por ssh al p. 22
Escucha en p.8080
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Caso Inverso | Creación proxy
ssh:22 vps150782.ovh.n
et:8080
Apache:80 localhost:1234 Internet
NAT
Conexión a de p.1234 a 8080
Transporta por ssh al p. 22
Escucha en p.8080
Ahora la máquina con IP pública se queda escuchando en 8080
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
ssh:22 vps150782.ovh.n
et:8080
Apache:80 localhost:1234 Internet
NAT
Conexión a de p.1234 a 8080
Transporta por ssh al p. 22
Escucha en p.8080
Todo lo que llegue allí irá tunelado a la máquina tras NAT
Caso Inverso | Creación proxy
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Caso Inverso | Usando el proxy
ssh:22 vps150782.ovh.n
et:8080
Petición a 8080
Cliente
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Caso Inverso | Usando el proxy
Petición a 80
Cliente Apache:80
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Creación proxy | Lado Servidor
# vi /etc/ssh/sshd_config
...
GatewayPorts yes
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Creación proxy | Lado Servidor
# vi /etc/ssh/sshd_config
...
GatewayPorts yes
Si no sólo se podrán conectar desde el otro
extremo del túnel
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Creación proxy | Lado Servidor
# vi /etc/ssh/sshd_config
...
GatewayPorts yes
Esta opción es muy peligrosa. OJO
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Creación proxy | Lado Cliente
$ ssh –N –R 151.X.X.126:8080:127.0.0.1:80\
jojvavi@vps150782.ovh.net
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Creación proxy | Lado Cliente
$ ssh –N –R 151.X.X.126:8080:127.0.0.1:80\
jojvavi@vps150782.ovh.net
IP pública del servidor
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Creación proxy | Lado Cliente
$ ssh –N –R 151.X.X.126:8080:127.0.0.1:80\
jojvavi@vps150782.ovh.net
Puerto del servidor
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Creación proxy | Lado Cliente
$ ssh –N –R 151.X.X.126:8080:127.0.0.1:80\
jojvavi@vps150782.ovh.net
Puerto del cliente nateado que queremos
tunelar
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Forward dinámico de puertos
• Ahora queremos algo más • Que el proxy mande lo que queramos • Donde queramos • Al puerto que queramos
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Forward dinámico de puertos
• No basta un forward estático
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Forward dinámico de puertos
• No basta un forward estático • No sabría donde mandar las cosas
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Forward dinámico de puertos
• No basta un forward estático • Pero el protocolo SOCKS se encarga • Y hace falta un cliente SOCKS
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Sin proxy
Web prohibida Cliente Internet
Proxy
FW
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Sin proxy
Web prohibida Cliente Internet
Proxy
FW
Petición a sitio prohibido
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Con proxy
Web prohibida Cliente Internet
Proxy
FW
Petición a proxy inocente
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Con proxy
Web prohibida Cliente Internet
Proxy
FW
Juju ju
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Creación proxy | Lado Cliente
$ ssh –N –D 127.0.0.1:1234 u@svr.com
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Creación proxy | Lado Cliente
$ ssh –N –D 127.0.0.1:1234 u@svr.com
El cliente escucha como SOCKS en este puerto
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Creación proxy | Lado Cliente
$ ssh –N –D 127.0.0.1:1234 u@svr.com
Y se tunela al servidor que actuará en nuestro
nombre
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
ssh como forwarder o proxy
Creación proxy | Lado Cliente
$ ssh –N –D 127.0.0.1:1234 u@svr.com
Queda configurar las aplicaciones cliente
Semana Cultural 2015 IES Jaume II El Just
SSH para la Gestión de Redes
Y se acabó Gracias por venir
Más info en https://www.michaelwlucas.com/nonfiction/ssh-mastery
top related