Comunidad Gambas-es
conexión ssh seguridad - Versión para impresión

+- Comunidad Gambas-es (https://gambas-es.org)
+-- Foro: Linux (https://gambas-es.org/forum-9.html)
+--- Foro: Mundo Linux (https://gambas-es.org/forum-10.html)
+--- Tema: conexión ssh seguridad (/thread-1244.html)



conexión ssh seguridad - Shell - 23-02-2023

Buenas!.

Antes de nada.

¿ Suele existir un leve retraso cuando se escribe las ordenes  esperando respuesta del servidor ?.
Quiero decir que no es tan fluida la entrada de teclado como cuando lo haces en el ordenador directamente.
Aunque los equipos están en la misma red, el servidor de ssh está instalado en un equipo que se conecta por wifi.

La parte de seguridad.

Me pasa por la cabeza que se pueda conectar cualquiera y deshabilitado el servicio sssh, ya que cada vez que arranca
el sistema, parece que el servicio siempre se está ejecutando. Y eso que la última vez lo paré.
 
Código:
[code]

Al final tuve que hacer:

[code]

( Debe ser que he pegado con formato. En la primera parte de código muestra Code y en la segunda no).

¿ Cómo puedo estar seguro de que un intruso no se conecta al servidor ssh ?.
Ya que en principio veo que se le puede decir desde que se conecte con un usuario concreto del ordenador y aparentemente solo la ip de este equipo,
pero claro usa el nombre del usuario que está realizando la sesión.

Se crea como una llave cuando se conecta por primera vez.

Saludos


RE: conexión ssh seguridad - Shordi - 23-02-2023

Cita:¿ Suele existir un leve retraso cuando se escribe las ordenes  esperando respuesta del servidor ?.
Quiero decir que no es tan fluida la entrada de teclado como cuando lo haces en el ordenador directamente.
Aunque los equipos están en la misma red, el servidor de ssh está instalado en un equipo que se conecta por wifi.

En los viejos tiempos de las redes lentas (de cuando los routers manejaban 10 mb y había 200 km entre un punto y otro) sí. Ahora yo, las pocas veces que me conecto aún a la red de la empresa y lo que recuerdo de los últimos años, no. Ten en cuenta que son ráfagas muy pequeñas de información, de letra en letra, y eso hoy día no es nada.
Si dentro de tu propia wifi te pasa... pues no sé qué decirte. Yo ahora me conecto así con la Pi y no noto ningún delay.
 
Cita:¿ Cómo puedo estar seguro de que un intruso no se conecta al servidor ssh ?.
Primero tu router le tiene que dejar pasar, cosa que no es tan sencilla si tu red está convenientemente cerrada. Si, además, no tienes una IP fija, es difícil convertirte en objetivo de nadie.
Pero pasada esa capa de seguridad, cambia el puerto por el trabaja el servidor ssh del 22, que es el estándar, a cualquier número enrevesado y alto 41056, por ejemplo.
Eso lo haces en el fichero /etc/ssh/sshd.config. Verás una línea  #Port=22 , la descomentas eliminando la almohadilla y cambas el numerito. Luego reinicias el servicio o la máquina, lo que más rabia te de y ya está.
A partir de ahí quien quiera conectarse con tu máquina debe conocer dicho puerto y ejecutar un

ssh usuario@ip -p numerito

Si eso te es incómodo, en tu máquina habitual haz lo mismo pero en el fichero /etc/ssh/ssh.config (sin la d). y ya está, saldrás desde el puerto 41056 por defecto. Eso sí, si quieres conectar con  cualquier otro servidor tendrás que escribir 

ssh usuario@ip -p22

ssh es uno de los protocolos básicos de seguridad en el que tienes que confiar. Si tus claves son seguras, si tus firewall están configurados y este tipo de precauciones tomadas, no te apures que estás seguro.

Como anécdota viejuna, hace muchos años cuando aún no sabía esto que te cuento, miré en los logs del sistema los intentos de conexión fallidos al servidor ssh y me salieron más de 40.000. Desde un proveedor chino habían estado intentado romper por fuerza bruta la contraseña pasándole un diccionario entero. Como la clave era segura no lo consiguieron. Le hice al servidor lo que te cuento más arriba y en los siguientes 10 años no tuve ningún intento externo de conexión.

Saludos


RE: conexión ssh seguridad - Shell - 23-02-2023

(23-02-2023, 18:58)Shordi escribió: Primero tu router le tiene que dejar pasar, cosa que no es tan sencilla si tu red está convenientemente cerrada.

Supongo que en parte te refieres a que una cosa es la red local  que tienen Ip's como 192.168.X.X a lo que es la ip pública, que no sé si es fija o varia.
Que por cierto la ip pública se puede obtener de esta forma:

[code]

Distintos ordenadores de la red local comparten esa ip, pero luego cada máquina individualmente puede tener un puerto abierto.
Si atacan a un pc de esa red, ¿ a cual pc se supone que están atacando ?. ¿ Al que tenga abierto el puerto ?. ¿ Y si son más de uno con el mismo puerto ?.
En parte lo que quiero decir es que una cosa es que dentro de la propia red el puerto es visible, pero desde el exterior no.

Esta son los puertos del router ( que son los mismos que tiene abierto la ip pública ).
Cita: 
PORT    STATE    SERVICE
21/tcp  filtered ftp
22/tcp  filtered ssh
23/tcp  filtered telnet
53/tcp  open     domain
80/tcp  open     http
443/tcp open     https
990/tcp filtered ftps

En este pc tengo el servidor Samba instalado
Eso te abre estos  puertos:
Cita: 
PORT    STATE SERVICE
139/tcp open  netbios-ssn
445/tcp open  microsoft-ds

Pero externamente la ip pública no tiene esos puertos abiertos.
 
Cita:ssh es uno de los protocolos básicos de seguridad en el que tienes que confiar. Si tus claves son seguras, si tus firewall están configurados y este tipo de precauciones tomadas, no te apures que estás seguro.

Gracias.

Saludos


RE: conexión ssh seguridad - Shordi - 23-02-2023

Cita:22/tcp  filtered ssh
Lo de los routers es un carajal que cada uno tiene su propia interfaz y su propia manera de llamar las cosas. Por lo que me muestras, el 22, que es el de ssh está cerrado , o a la espera de ser redirigido (suponiendo que filtered quiera decir eso).

Lo que tienes que hacer es redirigir ese puerto (o el que elijas para ssh) a una ip interna del aparato que actúe como servidor (al que tienes que dar una ip fija dentro del rando de 192.168, etc.). Eso se suele llamar NAT en el router. Así todas las llamadas externas a tu red vía ese puerto sólo pueden ir contra el servidor y el resto de máquinas queda a salvo.

Dentro de la propia wifi, el ruter no pinta nada y lo que interviene es el propio firewall de cada máquina (el más clásico es iptables pero se ha ido imponiendo fwu (o algo así, escribo de memoria). Si el firewall de la máquina deja entrar por el 22, que normalmente sí deja, pues la útima defensa es el propio ssh con sus claves, que no es moco de pavo.

Saludos


RE: conexión ssh seguridad - Shell - 24-02-2023

(23-02-2023, 21:53)Shordi escribió: Lo de los routers es un carajal que cada uno tiene su propia interfaz y su propia manera de llamar las cosas. Por lo que me muestras, el 22, que es el de ssh está cerrado , o a la espera de ser redirigido (suponiendo que filtered quiera decir eso).

Que suerte tengo. Acabo de cargarme el mensaje, le di a una tecla y me parece que fui hacía atrás.

Según este documento, filtrado es que existe un firewall que bloquea el acceso. A veces el propio router lo hace.
Es un pdf.

Introducción a TCP/IP
 
(23-02-2023, 21:53)Shordi escribió: Dentro de la propia wifi, el ruter no pinta nada y lo que interviene es el propio firewall de cada máquina (el más clásico es iptables pero se ha ido imponiendo fwu (o algo así, escribo de memoria). Si el firewall de la máquina deja entrar por el 22, que normalmente sí deja, pues la útima defensa es el propio ssh con sus claves, que no es moco de pavo.

Iptables me suena muchisimo de haberlo leído algo por Internet, al final es fwu el que se lleva el gato al agua.

Cuando estuve en el curso de administradores de redes Internet y extranet estaba volcado en Windows NT, quizás más bien el 2000.
Tendría que buscar algún manual dedicados más a redes y Linux. Linux también dimos en el curso, buena parte, buen tutor, acabada
la parte de Linux, nos quitan al tutor y nos ponen a un toston de tutor que debían de tenerlo en conserva. Cuantas trifulcas generó.

Saludos


RE: conexión ssh seguridad - jguardon - 24-02-2023

(24-02-2023, 15:36)Shell escribió: Iptables me suena muchisimo de haberlo leído algo por Internet, al final es fwu el que se lleva el gato al agua.

Iptables es el estándar. Lo demás son interfaces livianos que intentan facilitar el uso de un firewall muy potente a través de una cosa muy cutre como UFW, pensado para los que no quieren complicarse mucho la vida.

De verdad, Iptables no es tan complicado y si lo combinas con ipset ya es la hostia. Pero claro, eso solo tiene sentido si administras un servidor expuesto a todo el Internet. Para una máquina detrás de un router casero, no merece la pena, porque el router por defecto tiene todos los puertos cerrados ( o casi... ).

SSH ya de por sí, es un protocolo de comunicación suficientemente seguro en cuanto a encriptación y seguridad siempre que uses una contraseña bien segura. Actualmente nuestro servidor de gambas-es.org recibe miles de ataques diariamente y eso que no escucha en el puerto estándar que es el 22, pero aún así, los hackers escanean todos los puertos sin excepción en busca de alguna grieta de seguridad. Ante eso no hay nada que hacer, sólo confiar en la robustez de tu contraseña y por supuesto, en otros mecanismos de rechazo y baneo de IP's ante determinado número de ataques fallidos a un servicio (Fail2Ban, interesante e imprescindible herramienta). Además SSH permite el uso de combinaciones de claves privadas que prescinden de contraseñas escritas desde teclado, que dotan de mayor seguridad cuando se combinan con determinados parámetros de conexión a SSH: https://www.ssh.com/academy/ssh-keys

Por lo demás, SSH es la forma de acceder remotamente a tu máquina de la manera más eficaz y segura y creo que no tiene rival actualmente. Puedes ignorar ataques al puerto 22 porque fundamentalmente los atacantes usan diccionarios de passwords muy típicas que quiero creer que nadie en su sano juicio usaría, pero si tienes contraseñas complicadas con números, letras, mayúsculas y signos con longitudes por encima de 12 caracteres, es prácticamente imposible que alguien rompa tu password en menos de 1000 años.

Y menos dentro de tu LAN, chaval... Tongue

Saludos


RE: conexión ssh seguridad - Shell - 25-02-2023

(24-02-2023, 20:41)jguardon escribió: Iptables es el estándar. Lo demás son interfaces livianos que intentan facilitar el uso de un firewall muy potente a través de una cosa muy cutre como UFW, pensado para los que no quieren complicarse mucho la vida.

El ufw resulta muy sencillo y como dices es muy cutre pero hace su función. La verdad es que pocas veces lo uso. Esto no es Windows.
 
(24-02-2023, 20:41)jguardon escribió: De verdad, Iptables no es tan complicado y si lo combinas con ipset ya es la hostia. Pero claro, eso solo tiene sentido si administras un servidor expuesto a todo el Internet. Para una máquina detrás de un router casero, no merece la pena, porque el router por defecto tiene todos los puertos cerrados ( o casi... ).

Por eso no veo la necesidad de complicarse mucho. El tema del ssh es más por asegurar como es. En el curso decía que hubo una primera versión
que no era tan segura y ya con la segunda mejoraron ese problema, que sustituye al telnet ( se queda en deshuso ).

En cuanto al servidor de Gambas, ¿ te encargas personalmente de la seguridad o la empresa que presta el servicio hace algo ?.

Escanear los puerto no parece nada complejo. nmap lo tendrás más que conocido.
Si esta aplicación escanea los puertos, aunque se cambie del 22 a otro, lo detectará de alguna forma.

Saludos


RE: conexión ssh seguridad - Shordi - 25-02-2023

Cita:Escanear los puerto no parece nada complejo. nmap lo tendrás más que conocido.
Si esta aplicación escanea los puertos, aunque se cambie del 22 a otro, lo detectará de alguna forma.

Sí, con nmap puedes ver qué puertos están abiertos pero no puedes ver qué demonio es el que escucha en ese puerto. Eso corta mucho la posibilidad de que intenten reventar el ssh.

Saludos