PDF de programación - Seguridad Informática

SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA

Felipe Andrés Corredor. Esp. Msc.
Tel: (8)6616800 Ext. 124 Fax: (8)6616800 Ext. 141
[email protected]
[email protected]

Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.

06/10/11

TIBETS - Bucaramanga 3/11/11

SSH y SCP

Problemas asociados con Telnet,ftp,rexec,etc.

Estándar ssh.

Diferentes implementaciones ssh.

Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.



Felipe Andrés Corredor. Msc.
[email protected]

Problemas con telnet, ftp, rexec, rsh, rcp

*Autenticación basada en contraseña

–Texto plano
–Vulnerable a sniffing

*Autenticación basada en dirección IP

–Usa /etc/hosts.equiv o $HOME/.rhosts
–Vulnerable a suplantación

Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.



Felipe Andrés Corredor. Msc.
[email protected]

Protocolo SSH

*Un programa servidor:sshd
*Dos programas clientes:ssh y scp
*Elimina la necesidad de telnet,ftp,rexec,rsh,y rcp
*Usa cifrado para proteger datos

–Varios métodos de cifrado
–Ataques sniffing ya no son prácticos

*Usa algoritmos de clave pública para autenticación de máquina

Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.



Felipe Andrés Corredor. Msc.
[email protected]

*Windows
–http://www.ssh.com = SSH Communications Security Corp.

Implementaciones

*Linux:
–http://www.openssh.org

Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.



Felipe Andrés Corredor. Msc.
[email protected]

Instalacion de OpenSSL

*Fuentes: http://www.openssl.org

*Binario:

rpm -ivh openssl-0.9.6c-29.rpm
dpkg -i openssl-0.9.6c-29.deb
apt-get install openssl

Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.



Felipe Andrés Corredor. Msc.
[email protected]

Instalacion de OpenSSH

*Fuentes: http://www.openssh.org

*Binario:

rpm -ivh openssh-3.0.2p-108.rpm
apt-get install openssh-3.0.2p-108.deb

Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.



Felipe Andrés Corredor. Msc.
[email protected]

Usando ssh

*ssh maquina [comando ]
*-l:login
*-c:cifrador
*-p:puerto
*$HOME/.ssh/config
*/etc/ssh/ssh_config

Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.



Felipe Andrés Corredor. Msc.
[email protected]

Usando scp

*scp origen destino

scp /ruta_local usuario@maquina:/ruta_remota/

Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.



Felipe Andrés Corredor. Msc.
[email protected]

El servidor sshd

*Iniciado por el script /etc/rc.d/sshd
*Puerto 22
*Configuración en /etc/ssh/sshd_config
*Lee la clave RSA de /etc/ssh/ssh_host_key
*Crea una clave de sesión especifica RSA
*La clave de sesión es negociada con el cliente
*Todas las comunicaciones son cifradas con la clave de sesión

Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.



Felipe Andrés Corredor. Msc.
[email protected]

Autenticacion de host

*Cada Servidor ssh necesita generar un par de claves
–Clave privada almacenada en /etc/ssh/ssh_host_key
–Clave publica almacenada en /etc/ssh/ssh_host_key.pub

*Durante la primera conexión la clave publica es transferida al
cliente
–El usuario recibe una advertencia
–La clave publica del servidor es almacenada en
$HOME/.ssh/known_hosts

*Cuando la opción StrictHostKeyChecking es establecida solo se
podrán establecer conexiones a servidores que tengan su clave
publica almacenada en /etc/ssh/known_hosts o
$HOME/.ssh/known_host.

Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.



Felipe Andrés Corredor. Msc.
[email protected]

Autenticacion de usuario

*.rhost normalmente deshabilitada
*.rhost con autenticación DSA
*DSA
*Password

Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.



Felipe Andrés Corredor. Msc.
[email protected]

Autenticacion DSA

*El usuario genera su par de claves DSA con ssh-keygen
–Clave privada es almacenada en $HOME/.ssh/identity
–Clave publica es almacenada en $HOME/.ssh/identity.pub
*Puede ser protegida con una contraseña
*Transferir la clave publica al servidor y adicionarla en
$HOME/.ssh/authorized_keys
*El usuario puede ingresar sin contraseña

Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.



Felipe Andrés Corredor. Msc.
[email protected]

Consideraciones Adicionales

*El cliente ssh usa un puerto dinámico
*El servidor usa el puerto TCP (22)
*En el firewall se deberán establecer las siguientes reglas si se
desea permitir conexiones entrantes desde internet
–#iptables -A INPUT -i eth0 -p tcp –sport 1024:65535 -d 10.0.0.2 22 -j
ACCEPT
– #iptables -A OUTPUT -i eth0 -p tcp -s 10.0.0.2 22 –dport
1024:65535 -j ACCEPT

Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.



Felipe Andrés Corredor. Msc.
[email protected]

Consideraciones Adicionales

Firewall
#iptables -A INPUT -i eth0 -p tcp –sport 1024:65535 -d 10.0.0.2
22 -j ACCEPT
#iptables -A OUTPUT -i eth0 -p tcp -s 10.0.0.2 22 –dport
1024:65535 -j ACCEPT
Estación
#ssh -P 10.0.0.2
Estacion
$ssh-keygen -t dsa
$cd .ssh
$ls -la
$cat id_dsa
$cat id_dsa.pub
$scp id_dsa.pub [email protected]:.ssh/authorized_keys
$ssh -l root 192.168.1.1

Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.



Felipe Andrés Corredor. Msc.
[email protected]

.

ACLARACIÓN
DE DUDAS

Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.



Felipe Andrés Corredor. Msc.
[email protected]

PROXY

RFC 2616
*El cliente inicia la conexión al puerto del servidor PROXY
–El cliente envía la petición al servidor PROXY utilizando la
forma normal de HTTP
–El servidor PROXY hace la conexión con el servidor http a
nombre propio
–Los datos resultado dicha conexión son enviados al
cliente inicial

Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.



Felipe Andrés Corredor. Msc.
[email protected]

Ventajas y Desventajas

*Ventajas
–El servidor PROXY hace la resolución DNS
–Logging
–Control de acceso granular (usuario,ip del cliente,ip del
servidor,tipo de documento, expresiones regulares,etc.)
–Servidor PROXY puede hacer cache

*Desventajas
–Solo trabaja para protocolos específicos
–Generalmente es mas lento que NAT

Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.



Felipe Andrés Corredor. Msc.
[email protected]

Servidores Proxy para Linux

*Apache:http://www.apache.org
–Soporta PROXY para http/ftp en un modulo separado
–Muy útil cuando se quiere combinar servidor de web y PROXY
*Squid:http://www.squid.org
–PROXY para http,ftp,isp,gopher
–Muy ajustable
*TIS:http://www.tis.com
–Varios servidores PROXY para telnet,ftp,gopher

Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.



Felipe Andrés Corredor. Msc.
[email protected]

Instalacion y Configuracion de SQUID

*Cambiar el archivo de configuración en /etc/squid.conf

CONFIGURACION DE ACL'S

*/etc/rc.d/squid start

Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.



Felipe Andrés Corredor. Msc.
[email protected]

Instalacion y Configuracion de SQUID
*http_port 3128
*cache_mem 8 MB
# ACCESS CONTROLS
acl palabras url_regex "/etc/squid/palabras.bad"
acl msn req_mime_type -i ^application/x-msn-messenger$
acl msn-gat url_regex –i gateway.dll?
acl macDuros arp "/etc/squid/duros.mac"
acl salaa src "/etc/squid/salaa.ips"
acl salab src "/etc/squid/salab.ips"
acl salac src "/etc/squid/salac.ips"
acl salad src "/etc/squid/salad.ips"
acl dominios dstdomain "/etc/squid/dominios.bad"

Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.



Felipe Andrés Corredor. Msc.
[email protected]

Instalacion y Configuracion de SQUID

PERMISOS

http_access allow manager localhost
http_access allow manager
#****************************************************************
****************************************
http_access allow macDuros
http_access deny palabras
http_access deny msn
http_access allow msn-gat
http_access deny dominios
#*********-----FILTROS --------*********************
http_access allow salaa

Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.



Felipe Andrés Corredor. Msc.
[email protected]

Instalacion y Configuracion de SQUID

FIREWALL
#))************FIREWALL EXT**************************((

up iptables -F
#up iptables -t filter -A OUTPUT -o eth0 -s 172.16.6.5 -j ACCEPT
up iptables -t filter -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
up iptables -t filter -A OUTPUT -o eth0 -p tcp --dport 8080 -j ACCEPT
up iptables -t filter -A OUTPUT -o eth0 -p tcp --dport 443 -j ACCEPT
up iptables -t filter -A OUTPUT -o eth0 -p udp --dport 53 -j ACCEPT
up iptables -t filter -A OUTPUT -o eth0 -p tcp --dport 21 -j ACCEPT
up iptables -t filter -A OUTPUT -o eth0 -p tcp --dport 20 -j ACCEPT
#up iptables -t filter -A OUTPUT -o eth0 -p tcp --dport 80 -j ACCEPT
up iptables -A INPUT -i lo -j ACCEPT
#up iptables -A INPUT -i eth0 -j DROP
up iptables -A OUTPUT -o eth0 -j DROP

Facultad de Ciencias Básicas e Ingeniería.
Universidad de los Llanos.



Felipe Andrés Corredor. Msc.
[email protected]

Instalacion y Configuracion de SQUID

iface eth1 inet static
address 172.16.6.1
netmask 255.255.255.0
#))****************FIREWALL BY FELI***********************+((

#up iptables -F
up iptables -t filter -A INPUT -i eth1 -s 172.16.6.0/24 -p tcp --dport 3128 -j

ACCEPT

up iptables -t filter -A INPUT -s 172.16.6.0/24 -p tcp --dport 22 -j LOG --log-

prefix " Acceso SSH -> " --log-level 4

up iptables -t filter -A INPUT -s 172.16.6.0/24 -p tcp --dport 22 -j ACCEPT
up iptables -t filter -A INPUT -s 172.16.6.0/24 -p tcp --dport 80 -j ACC