5 de junio del 2018 confidencial · configurar parametros de autenticación los métodos de...

SSH DOBLE FACTOR DE AUTENTICACIÓN

5 de Junio del 2018 CONFIDENCIAL

España | Colombia | México | Estados Unidos | Chile

1

Boletin de Seguridad CSVD

SSH DOBLE FACTOR DE AUTENTICACIÓN Como es sabido, la implementación de la infraestructura de las organizaciones en la nube va en crecimiento, por tanto, esto genera una mayor exposición y riesgo para la intrusión y fuga de información por personas malintencionadas; en este boletín hacemos enfasis en el servicio SSH, de gran importancia en el flujo de trabajo de las compañias y que puede ser blanco para los atacantes. En el documento, se plantea un metodo de doble autenticación con TOTP para el ingreso de los usuarios por SSH, evitando posibles ataques de fuerza bruta y en el peor de los casos ingreso y robo de información sensible para la empresa. El metodo TOTP (time-based one-time passwords) permitirá habilitar la autenticación de dos factores para SSH con contraseñas de uso único que cambian cada 30 segundos. Al combinar este método con una contraseña o clave pública (o ambas), será posible agregar una capa adicional de seguridad, lo que garantizaría que su servidor esté lo suficientemente protegido. Dentro de las ventajas del metodo se encuentran las siguientes:

ü Basado en tiempo: la contraseña generada cambiará cada 30-60 segundos. Esto significa que si un atacante intenta usar la fuerza bruta, es casi seguro que se les acabará el tiempo antes de que se necesiten nuevas credenciales para obtener acceso.

ü Una sola vez: la contraseña será válida solo para una autenticación única, lo que

minimiza el riesgo de un ataque de repetición. Incluso si su TOTP es interceptado al enviarlo al servidor, ya no será válido después de que haya iniciado sesión.


2

Boletin de Seguridad CSVD A continuación, se relaciona una guia para configurar el factor de doble autenticación en Debian 8 y Ubuntu 16.4.

Requerimientos Previos

ü Necesitará un smartphone u otro dispositivo cliente con una aplicación autenticadora como Google Authenticator. Existen muchas otras opciones, y esta guía debería ser compatible con casi todas. Para el boletin se empleo Google Authenticator.

ü Actualice su sistema ejecutando el siguiente comando en la consola:

sudo apt-get update && sudo apt-get upgrade

Procedimiento

1. Instalar el paquete de Google Authenticator En primera medida, instalaremos el paquete Google Authenticator, que se incluye en los repositorios predeterminados de Ubuntu 16.04 y Debian 8. Este software generará claves en su Linux, que luego se vincularán con una aplicación en un dispositivo cliente para generar contraseñas de un solo uso que caducan después de un período de tiempo determinado.


3


Para instalar Google Authenticator: sudo apt-get install libpam-google-authenticator

2. Generación de la Llave Ahora que ha instalado el paquete, este será utilizado para generar claves. Estas claves luego son utilizadas por el software en los dispositivos del cliente para generar contraseñas de un solo uso basadas en el tiempo (TOTP). Asegúrese de tener su teléfono o dispositivo móvil listo, ya que aquí es donde agregará la contraseña a su aplicación de autentificación. Ejecute el programa google-authenticator: Se debe autenticar con el usuario que se desea configurar la autenticación con doble factor y generar las llaves para el mismo, para el caso haremos las configuraciones con el usuario root. google-authenticator

Aparecerá un mensaje que le pedirá que especifique si desea utilizar una autenticación basada en el tiempo (en lugar de basarse en el contador). Elija "sí" al ingresar y en el aviso. Debería ver un código QR en su terminal:


4


Usando la aplicación de autenticación en su teléfono o dispositivo móvil, escanee el código. Se debe agregar una nueva entrada a su aplicación de autenticador en el formato username@hostname.

También verá una "clave secreta" debajo del código QR. Puede ingresar esto en la aplicación de forma manual, en lugar de escanear el código QR, para agregar su cuenta. Grabe sus códigos de emergencia en un lugar seguro. Estos códigos se pueden usar para la autenticación si pierde su dispositivo, pero tenga en cuenta que cada código solo es válido una vez.


5


Se le pedirá que responda las siguientes preguntas:

¿Desea que actualice su archivo "/home/exampleuser/.google_authenticator" (y / n)? Esto especifica si la configuración de autenticación se establecerá para este usuario. Responda y para crear el archivo que almacena estas configuraciones. ¿Desea no permitir múltiples usos de la misma autenticación? Esto lo restringe a un inicio de sesión cada 30 segundos, pero aumenta sus posibilidades de detectar o incluso prevenir ataques de hombre en el medio (s / n) Esto hace que su token sea una verdadera contraseña de un solo uso, evitando que la misma contraseña se use dos veces. Por ejemplo, si configura esto como "no" y su contraseña fue interceptada mientras usted ingresó, alguien podrá ingresar a su servidor ingresándola antes de que expire el tiempo. Recomendamos encarecidamente responder y. Por defecto, los tokens son válidos por 30 segundos y para compensar posible sesgo de tiempo entre el cliente y el servidor, permitimos un extra token antes y después de la hora actual. Si tiene problemas con los pobres sincronización de tiempo, puede aumentar la ventana de su valor predeterminado tamaño de 1: 30min a aproximadamente 4min. ¿Quieres hacerlo? (S / n) Esta configuración tiene en cuenta los problemas de sincronización de tiempo en todos los dispositivos. A menos que tenga motivos para creer que su teléfono o dispositivo puede no sincronizarse correctamente, responda n. Si la computadora en la que inicia sesión no está reforzada contra la fuerza bruta intentos de inicio de sesión, puede habilitar la limitación de velocidad para el módulo de autenticación. De forma predeterminada, esto limita a los atacantes a no más de 3 intentos de inicio de sesión cada 30 segundos.


6


¿Desea habilitar la limitación de velocidad (y / n)? Esta configuración evita que los atacantes usen la fuerza bruta para adivinar su token. Aunque el límite de tiempo debería ser suficiente para evitar la mayoría de los ataques, esto garantizará que un atacante solo tenga tres oportunidades por 30 segundos para adivinar su contraseña. Recomendamos responder y.

3. Configurar parametros de autenticación

Los métodos de autenticación TOTP en esta guía usan PAM o Módulos de Autenticación Conectables. PAM integra mecanismos de autenticación de bajo nivel en módulos que se pueden configurar para diferentes aplicaciones y servicios. Como está utilizando software adicional (es decir, programas que no están integrados en la distribución de Linux), deberá configurar PAM para autenticar correctamente a los usuarios. a) Ingrese a /etc/pam.d/sshd y con privilegios sudo y agregue las siguientes líneas al

final del archivo:

auth required pam_unix.so no_warn try_first_pass auth required pam_google_authenticator.sog


7


§ La primera línea le dice a PAM que se autentique con una contraseña de usuario normal de Unix antes que otros métodos.

§ La segunda línea especifica un método adicional de autenticación, que en este

caso es el software TOTP que instalamos anteriormente.

b) Edite el archivo de configuración /etc/ssh/sshd_config para incluir las siguientes

líneas, reemplazando usuario-ejemplo con cualquier usuario del sistema para el cual quiera habilitar la autenticación de dos factores. Los comentarios (precedidos por #) se incluyen aquí, pero no deben agregarse a su archivo de configuración real:

# This line already exists in the file, and should be changed from 'no' to 'yes' ChallengeResponseAuthentication yes

# These lines should be added to the end of the file Match User usuario-ejemplo AuthenticationMethods keyboard-interactive


8


Nota: Si creó TOTP para múltiples usuarios y desea que todos utilicen la autenticación de dos factores, cree bloques de coincidencias adicionales para cada usuario, duplicando el formato de comando. c) Reinicie el daemon de SSH para aplicar estos cambios:

sudo systemctl restart ssh


9

Boletin de Seguridad CSVD Al ingresar de forma remota a la estación de trabajo configurada con factor de doble autenticación; en primer lugar se solicita la contraseña de ingreso, despues de esto se debe indicar el código de verificación que se consulta en la aplicación Google Authenticator y si es correcto permite el ingreso a la estación de forma correcta.


10


A3SEC. ESPAÑA C/ Aravaca, 6 2º Piso 28040 Madrid, España T.+34 915330978

A3SEC S.A.S Carrera 49A # 94-76 Oficina 304 Edificio Empresarial Castellana Bogotá, COLOMBIA T.+57 1 3099533

A3SEC USA 1401 Brickell Ave #320 Miami, FL 33131, USA T. +1 786 556 90 32

A3SEC. México Shakespeare 95, Piso 2. Anzures 11590. Ciudad de Mexico +5255 6725 7748

5 de junio del 2018 confidencial · configurar parametros de autenticación los métodos de...

Documents