conexión ssh e instalación de firewall csf en linux ubuntu
DESCRIPTION
Se explica a detalle los pasos para realizar una conexión ssh y la instalacion del firewall Config Security & FirewallTRANSCRIPT
1
T2
Seguridad Informática #6 Fernando Escamilla Hernández #14 Nancy Paredes Moreno #16 Jahel Pérez Gutiérrez #24 Arturo Serrano Valencia #27 Paul Torres Rivera #29 Sandro Iván Yllescas Lamas
7B E #2
INTRODUCCIÓN
En el internet existen infinidad de páginas web que brindan información, servicios,
entretenimiento, entre otras muchas opciones. Los servidores que almacenan todos los sitios de
internet, están expuestos a grandes amenazas, principalmente el robo de información o
denegación de servicio.
Generalmente las formas en las que “personas no autorizadas” tienen acceso es por ataques
informáticos o robo de contraseñas, por ende, toda persona que tenga un servidor sabe que
debe cuidar la forma en la que administras sus servidores. Para ello, genera conexiones cifradas,
instala un Firewall, entre otras medidas de seguridad.
Objetivo de la práctica
Generar una conexión segura mediante el protocolo SSH v2 e instalar ConfigSecurity & Firewall,
para compartir archivos, realizar un chat y configurar el Firewall para aumentar la seguridad
denegando o permitiendo puertos.
Requerimientos
● 3 equipos de cómputo, uno para funcionar como servidor y los otros 2 como clientes
● Un router para que se cree la conexión LAN
● El software de SSH y ConfigSecurity & Firewall, (que se mostrar cómo descargar en la
práctica).
● Acceso a internet para la descarga del software.
Contenido Protocolo SSH .............................................................................................................................................. 2
Acciones con SSH ....................................................................................................................................... 3
¿Cómo podemos hacer aún más segura nuestra conexión SSH? ................................................................ 4
ConfigServer & Firewall ................................................................................................................................ 5
Instalación del chat Netcat ............................................................................................................................ 6
2
Protocolo SSH
Instalar SSH en el equipo servidor
Revisamos la dirección IP que tiene el equipo Servidor
La dirección IP del servidor es: 192.168.1.67
Revisamos la dirección IP del Cliente
La dirección IP es: 192.168.1.69
Ahora realizamos un ping del servidor al cliente, para validar que haya comunicación
De servidor a cliente:
De cliente a servidor
Ahora nos conectamos al servidor con la siguiente instrucción
“ssh NombreDelServidor@IPdelServidor” y damos ENTER. A continuación nos pedirá la contraseña
del servidor, la ingresamos.
Ejemplo: “ssh [email protected]”…. Contraseña
3
¡Perfecto! como podemos observar, la terminal de comandos ahora muestra que está en el
equipo remoto o servidor.
Acciones con SSH
Copiar archivos de local a servidor
Se utiliza el comando “scp rutaOrigen usuario@dominio:/rutaDestino” y nos solicitará la
contraseña.
Copiar archivos de servidor a local
Se utiliza el comando “scp usuario@dominio:/rutaOrigen rutaDestino” nos solicitara la contraseña,
la ingresamos.
4
¿Cómo podemos hacer aún más segura nuestra conexión SSH?
Como ya sabemos realizar una conexión SSH nos proporciona desde su creación una total
seguridad, sin embargo, esto no nos garantiza que no sea vulnerable hacia algún ataque. Por
ello es que podemos modificar las características de seguridad de la conexión SSH.
Para realizar estas modificaciones realice los siguientes pasos:
1. Localice el archivo “sshd_config”, generalmente se encuentra en /etc/ssh.
2. Lo abrimos con nuestro editor de textos preferido
3. ¿Qué podemos hacer?
a. Cambiar el puerto por defecto, generalmente cuando un hacker quiere atacar una
conexión SSH ataca el puerto 22, que es puerto por defecto que utiliza SSH. Al
realizar esta modificación en donde dice port podremos hacer un poco más segura
nuestra conexión.
b. Deshabilitar el acceso root, cuando realizamos la conexión al servidor impedir la
conexión con privilegios, esto hará que nuestra conexión se tenga que iniciar
mediante un usuario ya establecido. Una vez ingresando con un usuario podremos
tener acceso root mediante el comando sudo. Para impedir el acceso root,
modificamos el campo que dice PermitRootLogin.
c. Deshabilitar la versión 1 del protocolo SSH, modificaremos la variable Protocol.
“Protocol 2”
d. Limitar el número de intentos, se refiere a cuántas veces nos podemos equivocar al
momento de poner el usuario o la contraseña, mediante la variable MaxAuthTries.
e. Limitar el número de pantallas simultáneas, con la variable MaxStartups 2.
f. Limitar el tiempo que estará disponible la sesión, modificando la variable
LoginGraceTime 20, la duración sería de 20 segundos.
g. Limitar los usuarios de acceso, direcciones o redes desde las cuales se puede
establecer una conexión. Con la variable AllowUser [email protected].
5
ConfigServer & Firewall
Es de suma importancia al momento de tener un servidor o al administrar un hosting, tener todas
las medidas de seguridad para que nuestro servicio siempre esté en funcionamiento.
Instalación de CSF
1. Descargamos ConfigServer & Firewall
a. Comando: “wget http://www.configserver.com/free/csf.tgz”
b.
2. Descomprimimos el archivo
a. Comando: “tar -xzf csf.tgz”
b. 3. Instalamos el archivo
a. Entramos a la carpeta que contiene el archivo instalador “cd csf”
b. c. Instalamos el archivo con el comando “sh install.sh”. Debemos ser super usuarios
para ejecutar este comando.
d.
4. Hay que validar que los módulos de iptables requeridos, estén disponibles.
a. Comando: “perl /usr/local/csf/bin/csftest.pl”. Debe ejecutarse como super usuario.
6
5. Configuración básica
a. Para iniciar con las configuraciones básicas, editará el archivo “csf.conf”. Este
archivo se encuentra en la ruta /etc/csf. Comando “nano /etc/csf/csf.conf”.
b. Los cambios se realizarán cuando se reinicie el servicio, con el comando: “csf -r”.
Ya tenemos nuestro servidor con una conexión SSH y con un Firewall, el hecho de tener instalado
un Firewall no significa que ya estemos 100% seguros, el siguiente paso es configurar nuestro
Firewall acorde a nuestras necesidades. Lo que veremos en esta práctica es como denegar o
permitir puertos de comunicación TCP/UDP para inhabilitar el funcionamiento de un chat.
Instalación del chat Netcat
Se procede a instalar desde la terminal.
Una vez instalado realice la siguiente configuración
Esta instalación se debe hacer en ambos equipos (cliente, servidor).
Primero necesita saber que dirección IP tiene el equipo servidor con el comando “ifconfig”.
Debemos de editar el archivo de configuración del firewall para que permita la comunicación por el puerto
2121. Para ello entramos a la ubicación del archivo de configuración de csf, es necesario que seamos
super usuarios.
7
Abrimos el archivo de configuración con el comando nano.
Presionamos las teclas CTRL+W para buscar y escribimos TCP_IN
En esa lista de puertos agregamos el puerto 2121, esto nos permitirá establecer la comunicación por ese
puerto. Ahora presionamos las teclas CTRL+O y ENTER para guardar los cambios, ahora CTRL+X para
salir del editor.
8
Para que los cambios se ejecuten por el firewall, es necesario reiniciar el servicio con el comando “csf -r-”
Una vez hecho este proceso, podremos hacer el chat con net cat
A continuación abra la terminal en el equipo servidor, escriba el siguiente comando “nc -l -p 2121”,
presione la tecla ENTER.
Servidor
Como se ve en la imagen, la terminal queda a la escucha de una comunicación en el puerto 2121.
Ahora en el equipo cliente, abra la terminal y escriba el comando para establecer una comunicación, “nc
ipServidor puerto” ejemplo nc 192.168.43.63 2121
Cliente
Comando para iniciar la conexión con el servidor.
Cliente
Servidor
Cliente
Servidor
Hemos establecido una comunicación instantánea con otro equipo de manera local.
Ahora si el archivo de configuración del Firewall no tuviera el puerto 2121 habilitado la conexión no re
realizaría, se podrían escribir los mensajes pero no llegarían. Al momento de intentar realizar la conexión
no vería ningún mensaje de error, únicamente la conexión no se haría y la pantalla se quedaría estática.
Es posible conectarnos con infinidad de puertos, sin embargo es necesario darlos de alta en el Firewall
para que sea posible la conexión.
Los puertos que agregamos en el archivo de configuración son los únicos puertos que es estarán abiertos,
todo puerto que no esté declarado ahí, estará cerrado.