Você está na página 1de 14

Actividad semana 3 4

Cipas: Julio Cesar Berrio Teran, Orlando Linero, Edgar Paternina

Investigue sobre las Aplicaciones Cliente SSH y Aplicaciones Servidor SSH.


Luego desarrolle un informe sobre estos.

Secure Shell

SSH (o Secure SHell) es un protocolo que facilita las comunicaciones seguras


entre dos sistemas usando una arquitectura cliente/servidor y que permite a los
usuarios conectarse a un host remotamente. A diferencia de otros protocolos de
comunicacin remota tales como FTP o Telnet, SSH encripta la sesin de
conexin, haciendo imposible que alguien pueda obtener contraseas no
encriptadas.

SSH est diseado para reemplazar los mtodos ms viejos y menos seguros
para registrarse remotamente en otro sistema a travs de la shell de comando,
tales como telnet o rsh. Un programa relacionado, el scp, reemplaza otros
programas diseados para copiar archivos entre hosts como rcp. Ya que estas
aplicaciones antiguas no encriptan contraseas entre el cliente y el servidor, evite
usarlas mientras le sea posible. El uso de mtodos seguros para registrarse
remotamente a otros sistemas reduce los riesgos de seguridad tanto para el
sistema cliente como para el sistema remoto.

Historia

Al principio slo existan los r-commands, que eran los basados en el programa
rlogin, el cual funciona de una forma similar a telnet.

La primera versin del protocolo y el programa eran libres y los cre un finlands
llamado Tatu Ylnen, pero su licencia fue cambiando y termin apareciendo la
compaa SSH Communications Security, que lo ofreca gratuitamente para uso
domstico y acadmico, pero exiga el pago a otras empresas. En el ao 1997
(dos aos despus de que se creara la primera versin) se propuso como borrador
en la IETF.

A principios de 1999 se empez a escribir una versin que se convertira en la


implementacin libre por excelencia, la de OpenBSD, llamada OpenSSH.

Caractersticas de SSH

El protocolo SSH proporciona los siguientes tipos de proteccin:

Despus de la conexin inicial, el cliente puede verificar que se est conectando al


mismo servidor al que se conect anteriormente.

El cliente transmite su informacin de autenticacin al servidor usando una


encriptacin robusta de 128 bits.

Todos los datos enviados y recibidos durante la sesin se transfieren por medio de
encriptacin de 128 bits, lo cual los hacen extremamente difcil de descifrar y leer.

El cliente tiene la posibilidad de reenviar aplicaciones X11 [1] desde el servidor.


Esta tcnica, llamada reenvo por X11, proporciona un medio seguro para usar
aplicaciones grficas sobre una red.

Ya que el protocolo SSH encripta todo lo que enva y recibe, se puede usar para
asegurar protocolos inseguros. El servidor SSH puede convertirse en un conducto
para convertir en seguros los protocolos inseguros mediante el uso de una tcnica
llamada reenvo por puerto, como por ejemplo POP, incrementando la seguridad
del sistema en general y de los datos.

Red Hat Enterprise Linux contiene el paquete general de OpenSSH (openssh) as


como tambin los paquetes del servidor OpenSSH (openssh-server) y del cliente
(openssh-clients). Consulte el captulo titulado OpenSSH en el Manual de
administracin del sistema de Red Hat Enterprise Linux para obtener instrucciones
sobre la instalacin y el desarrollo de OpenSSH. Observe que los paquetes
OpenSSH requieren el paquete OpenSSL (openssl). OpenSSL instala varias
bibliotecas criptogrficas importantes, permitiendo que OpenSSH pueda
proporcionar comunicaciones encriptadas.

Por qu usar SSH?

Los usuarios nefarios tienen a su disposicin una variedad de herramientas que


les permiten interceptar y redirigir el trfico de la red para ganar acceso al sistema.
En trminos generales, estas amenazas se pueden catalogar del siguiente modo:

Intercepcin de la comunicacin entre dos sistemas En este escenario, existe


un tercero en algn lugar de la red entre entidades en comunicacin que hace una
copia de la informacin que pasa entre ellas. La parte interceptora puede
interceptar y conservar la informacin, o puede modificar la informacin y luego
enviarla al recipiente al cual estaba destinada.

Este ataque se puede montar a travs del uso de un paquete sniffer una utilidad
de red muy comn.

Personificacin de un determinado host Con esta estrategia, un sistema


interceptor finge ser el recipiente a quien est destinado un mensaje. Si funciona
la estrategia, el sistema del usuario no se da cuenta del engao y contina la
comunicacin con el host incorrecto.

Esto se produce con tcnicas como el envenenamiento del DNS [2] o spoofing de
IP (engao de direcciones IP)

Ambas tcnicas interceptan informacin potencialmente confidencial y si esta


intercepcin se realiza con propsitos hostiles, el resultado puede ser catastrfico.

Si se utiliza SSH para inicios de sesin de shell remota y para copiar archivos, se
pueden disminuir estas amenazas a la seguridad notablemente. Esto es porque el
cliente SSH y el servidor usan firmas digitales para verificar su identidad.
Adicionalmente, toda la comunicacin entre los sistemas cliente y servidor es
encriptada. No servirn de nada los intentos de falsificar la identidad de cualquiera
de los dos lados de la comunicacin ya que cada paquete est cifrado por medio
de una llave conocida slo por el sistema local y el remoto.

Versiones

Existen 2 versiones de SSH, la versin 1 de SSH hace uso de muchos algoritmos


de cifrado patentados (sin embargo, algunas de estas patentes han expirado) y es
vulnerable a un agujero de seguridad que potencialmente permite a un intruso
insertar datos en la corriente de comunicacin. La suite OpenSSH bajo Red Hat
Enterprise Linux utiliza por defecto la versin 2 de SSH, la cual tiene un algoritmo
de intercambio de claves mejorado que no es vulnerable al agujero de seguridad
en la versin 1. Sin embargo, la suite OpenSSH tambin soporta las conexiones
de la versin 1.

INSTALACIN

Vamos a usar OpenSSH por tanto vamos a instalarlo:

sudo apt-get install openssh-server

Ahora procedemos a su configuracin.

Comandos que debemos tener en cuenta

Para editar la configuracin del servidor SSH debemos hacer en consola:

sudo gedit /etc/ssh/sshd_config

Para arrancar el servidor:

sudo /etc/init.d/ssh start

* Starting OpenBSD Secure Shell server sshd


Para parar el servidor:

sudo /etc/init.d/ssh stop

* Stopping OpenBSD Secure Shell server sshd

Para reiniciar el servidor:

sudo /etc/init.d/ssh restart

* Restarting OpenBSD Secure Shell server sshd

Configuracin del servidor

Una vez instalado, vamos a configurar el servidor, hacemos en consola:

sudo gedit /etc/ssh/sshd_config

Y podremos editar sus opciones, os pongo mi fichero de configuracin y una explicacin de


lo que podis cambiar.

# Package generated configuration file

# See the sshd_config(5) manpage for details

# Ponemos el puerto a escuchar por el SSH, por defecto es el 22. Deberemos abrir un
puerto en nuestro router redirigiendo hacia la IP interna de la mquina donde lo tengamos.

Port 1234

# Usaremos el protocolo 2 de SSH, mucho ms seguro, por tanto forzamos a que siempre
conecten por protocolo 2.

Protocol 2

# HostKeys for protocol version 2. El lugar donde se guardan las keys.


HostKey /etc/ssh/ssh_host_rsa_key

HostKey /etc/ssh/ssh_host_dsa_key

#Privilege Separation is turned on for security

UsePrivilegeSeparation yes

# Lifetime and size of ephemeral version 1 server key

KeyRegenerationInterval 3600

ServerKeyBits 2048

# Logging

SyslogFacility AUTH

LogLevel INFO

# Authentication, importante la parte PermitRootLogines vuestra decisin

LoginGraceTime 120

PermitRootLogin no

StrictModes yes

RSAAuthentication yes

PubkeyAuthentication yes

#AuthorizedKeysFile %h/.ssh/authorized_keys

# Dont read the users ~/.rhosts and ~/.shosts files

IgnoreRhosts yes
# For this to work you will also need host keys in /etc/ssh_known_hosts

RhostsRSAAuthentication no

# similar for protocol version 2

HostbasedAuthentication no

# Uncomment if you dont trust ~/.ssh/known_hosts for RhostsRSAAuthentication

#IgnoreUserKnownHosts yes

# To enable empty passwords, change to yes (NOT RECOMMENDED)

PermitEmptyPasswords no

# Change to yes to enable challenge-response passwords (beware issues with

# some PAM modules and threads)

ChallengeResponseAuthentication no

# Change to no to disable tunnelled clear text passwords

#PasswordAuthentication yes

# Kerberos options

#KerberosAuthentication no

#KerberosGetAFSToken no

#KerberosOrLocalPasswd yes

#KerberosTicketCleanup yes

# GSSAPI options
#GSSAPIAuthentication no

#GSSAPICleanupCredentials yes

X11Forwarding yes

X11DisplayOffset 10

PrintMotd no

PrintLastLog yes

TCPKeepAlive yes

#UseLogin no

#MaxStartups 10:30:60

#Banner /etc/issue.net

# Allow client to pass locale environment variables

AcceptEnv LANG LC_*

Subsystem sftp /usr/lib/openssh/sftp-server

UsePAM yes

MaxAuthTries 2

Si usamos SFTP enjaulado debemos poner esto y comentar la lnea (Subsystem sftp
/usr/lib/openssh/sftp-server):

Subsystem sftp internal-sftp


Match user servidor

ChrootDirectory /home/jail/home

AllowTcpForwarding no

ForceCommand internal-sftp

Como podis ver, usando openssh-server tambin tenis levantado un servidor sFTP.

Enjaular un usuario con OpenSSH en Ubuntu

Imaginemos que queremos crear un usuario a nuestro amigo Sanobis, pero no queremos
que pueda ver todos los archivos del sistema, es decir, vamos a enjaularle en su
directorio /home/ nicamente.

Nos bajamos este archivo:

http://www.redeszone.net/app/uploads/cdn/down/soft/redes/make_chroot_jail.sh

Y lo ponemos en el directorio raz por comodidad.

Le asignamos permisos 700

sudo chmod 700 make_chroot_jail.sh

A continuacin, escribimos:

bash make_chroot_jail.sh sanobis

Tecleamos yes, y a continuacin metemos la clave que queramos que tenga (estamos
creando un usuario nuevo).

Ahora, su directorio enjaulado es /home/jail/home/sanobis


Salimos y entramos por ssh y veremos que efectivamente no podr salir de ese directorio.
No hace falta que reiniciemos el servidor SSH.

Opciones adicionales de Seguridad

Podemos conectarnos al servidor sin usuario clave, utilizando un certificado RSA que
proporcionar mucha ms seguridad, pero como siempre que sucede en estos casoses
ms incmodo y no siempre vas a llevar encima tu certificado, por tanto, esta parte la voy a
obviar.

Podemos tambin instalar el programa fail2ban para banear IPs que hagan muchos intentos
de conexin fallidos (que metan mal la clave).

Podemos instalarlo poniendo

sudo apt-get install fail2ban

Ahora hacemos:

sudo gedit /etc/fail2ban/jail.local

Y pegamos esto:

[ssh]

enabled = true

port = 1234

filter = sshd

logpath = /var/log/auth.log

maxretry = 3
Y lo iniciamos, paramos y reiniciando haciendo como si fuera el SSH, en este caso
start=iniciar:

sudo /etc/init.d/fail2ban start

Para ver los LOGS de conexin haced esto:

cd /var/log/

gedit auth.log

Tambin tenemos otro programa dedicado exclusivamente al SSH, se llama DenyHost y


tiene una gran base de datos de IPs conocidas como atacantes. Con esto estaremos un
poquito ms seguros.

Adicional a lo que se debe entregar en la semana 3, estar la semana 4.


Debern traer en el prximo encuentro, un software o apps, que denote el
manejo de:

VoIP

VoWiFi y VoWiMAX

WebTV

Televisin web (abreviadamente web TV) es contenido original de televisin


producida para difusin a travs de la World Wide Web.

Contenido de televisin web incluye serie web como Maridos (2011presente);


miniseries originales como Dr. Horrible's Sing-Along Blog (2008 ); cortos animados
como los de Homestar Runner; y videos exclusivos que complementan las
emisiones de la televisin convencional.

Algunos distribuidores principales de televisin web son YouTube, Myspace,


Newgrounds, Blip.tv, y Crackle (Crujido).
Algunos ejemplos de empresas de produccin de televisin web son : Next New
Networks, Vuguru, Revision3, Deca, Generate LA-NY y Take180.

LiveStream TV: Ver la televisin local desde los EE.UU., Reino Unido, Alemania,
Italia, Asia y el Oriente Medio en su rea, as como ms de 200 canales de TV en
vivo y ms de 500 Video On Demand Canales. Ver TV en vivo con la comodidad
de una aplicacin sencilla. Echa un vistazo a una amplia gama de canales en la
TV Guide y averiguar lo que pasa en las prximas 24 horas. Comparta sus ideas
acerca de lo que est viendo con sus compaeros a travs de Twitter, Facebook o
correo electrnico. Ideal para ver deporte, noticias, jabones, comedia, pelculas,
msica y televisin infantil. Tambin ofrecemos ms de 45.000 ttulos de video en
demanda de que se han limpiado para su distribucin en todo el mundo. Mira los
canales de forma gratuita sin necesidad de ninguna aplicacin externa, o la
suscripcin. Los canales se actualizan automticamente. Elija entre cientos de
canales de televisin que pueden ser escuchados usando WiFi o de datos
mviles. Adems, puede utilizar Chromecast para ver los canales en los
televisores.

Las caractersticas adicionales incluyen una gua de programas, Social TV, Pausa,
Rebobinar, Grabar y On Demand. .

Caractersticas:

* Ver TV en vivo

* Lleve a su TV con usted y disfrute de todos sus deportes favoritos, noticias,


programas de televisin

* Interfaz de usuario integrada hace que sea rpido y fcil para encontrar los
programas y pelculas que desea ver.

* Programar grabaciones de DVR desde cualquier lugar


* Un toque grabacin- introduzca registrar un evento, todos los eventos, o slo los
nuevos acontecimientos.

* Explorar y Buscar en la Gua del Programa, En DVR demanda

* Uso DNLA y Chromecast para ver en vivo en su TV

* TV Social

* En vivo de televisin local de forma gratuita!

* Vea ms de 300 canales de TV en vivo gratis en SD

* Vea ms de 600 canales de vdeo a la carta gratis en SD

* canales gratuitos disponibles que incluyen la BBC, BBC News, BBC One y
muchos ms

* Disfruta de tus canales de deportes favoritos viven en sus dispositivos Android

* La aplicacin incluye la cobertura de la Premier League, Liga de Campeones,


Eliminatorias europeas, la Copa Mundial de Cricket, baloncesto, tenis y otros
deportes tambin.

Otras Caractersticas

Red de Vigilancia EE.UU., Reino Unido, alemn, francs, asitico, africano,


rabe, canadiense, canales rusos viven!

No hay necesidad de pagar ningn cargo

No se requiere de inscripcin

Canales actualizan automticamente

Interfaz fcil de usar


Amplia gama de lista de canales

Utilice cualquier red - Wi-Fi, 3G o 4G

Adems, se puede conectar estos dispositivos a los televisores con el fin de ver
los canales en la televisin

IPTV e IPTV Movil

Escogern uno de los anteriores.

Ser en la misma cipa. Nota: investigaran, como funcionan y para qu sirve la


aplicacin que escogern, y ser socializada.