PDF de programación - introduccion ssh 0.2

Introducción a Secure Shell

Javier Smaldone

http://www.smaldone.com.ar

Versión 0.2 - 20 de enero de 2004

Resumen

Este texto tiene como objetivo servir de guía introductoria al uso de Secure Shell. No se trata de una
descripción exhaustiva acerca de sus posibilidades, aunque trataré de explorar algunas de sus caracte-
rísticas y funciones más útiles. También realizaré una breve descripción de los métodos de cifrado1, en
particular de los sistemas de cifrado asimétrico y de RSA.

No soy experto en cifrado ni en seguridad informática. Sólo he intentado escribir un pequeño texto

de ayuda a quienes, como yo, comienzan a utilizar esta herramienta.

Índice

1. Introducción

1.1. ¿Qué es la “seguridad”? . . . .
1.2. ¿Qué es el Secure Shell? . . .
1.3. Algoritmos de cifrado .
. . . .
1.3.1. Cifrado simétrico . . .
1.3.2. Cifrado asimétrico . .

. . . .
. . . .
. . . .
. . . .
. . . .

. . . .
. . . .
. . . .
. . . .
. . . .

. . .
. . .
. . .
. . .
. . .

. . . .
. . . .
. . . .
. . . .
. . . .

. . . .
. . . .
. . . .
. . . .
. . . .

. . . .
. . . .
. . . .
. . . .
. . . .

. . . .
. . . .
. . . .
. . . .
. . . .

. . .
. . .
. . .
. . .
. . .

2. Secure Shell. Principios y funcionamiento

2.3. Configuración de OpenSSH . .

2.1. Descripción general del funcionamiento de SSH . .
. . .
. . . .
2.2. Métodos de autenticación de usuarios
. . .
2.2.1. Autenticación con contraseña:
. . . .
. . .
2.2.2. Autenticación con clave pública: . . .
. . . .
. . .
. . .
. . . .
. . .
. . . .
. . .
. . . .
. . . .
. . .
. . .
. . . .

. . . .
2.3.1. Archivo sshd_config . . . .
. . . .
2.3.2. Archivo ssh_config .
. . . .
2.3.3. Otros archivos:
. . . .
2.3.4. El servidor de SSH . .
. . . .
. . . .
2.3.5. El cliente de SSH . . .

3. Usando Secure Shell

3.1.
3.2.

. . . .

. . . .

Iniciando una sesión remota con contraseña .
. . .
Iniciando una sesión remota con clave pública . . .
. . .
3.2.1. Generando las claves .
.
3.2.2. Transfiriendo la clave pública al servidor
. . . .
. . .
3.2.3.
. . . .
. . . .
3.2.4. Asegurando la clave privada .
. . .
. . .
. . . .
. . . .
3.2.5.
. . .
3.2.6. Usando ssh-agent en el shell
. . . .
.
3.2.7. Usando ssh-agent en X-Window . . .
. . .

Iniciando la sesión . .

ssh-agent

. . .

. . . .

. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .

. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .

. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .

. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .

. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .

. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .

. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .

. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .

. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .

. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .

2
2
2
2
3
4

5
5
7
7
7
7
7
8
8
9
9

10
10
11
11
12
12
12
13
13
13

. .
. .
. .
. .
. .

. .
. .
. .
. .
. .
. .
. .
. .
. .
. .

. .
. .
. .
. .
. .
. .
. .
. .
. .

1La palabra inglesa “crypt” suele traducirse como “criptografía” o “encripción”, vocablos inexistentes en el idioma español. El

término correcto es “cifrado”.

1

3.3. Ejecución de comandos remotos . . .
. . . .
3.4. Transfiriendo archivos con Secure Copy . . .
. . . .
3.5. Aplicaciones X11 a través de SSH . .
3.6. Túneles IP cifrados con SSH .
. . . .
. . . .

. . .
. . .
. . .
. . .

. . . .
. . . .
. . . .
. . . .

. . . .
. . . .
. . . .
. . . .

. . . .
. . . .
. . . .
. . . .

. . . .
. . . .
. . . .
. . . .

. . .
. . .
. . .
. . .

. .
. .
. .
. .

4. Acerca de este documento

4.1. Copyright

. . . .

. . .

. . . .

. . . .

. . . .

. . .

. . . .

. . . .

. . . .

. . . .

. . .

. .

A. El algoritmo RSA (Rivest-Shamir-Adleman)

A.1. Descripción del algoritmo . . .
A.2. Un ejemplo . . .
. . . .

. . .

. . . .
. . . .

. . . .
. . . .

. . .
. . .

. . . .
. . . .

. . . .
. . . .

. . . .
. . . .

. . . .
. . . .

. . .
. . .

. .
. .

14
14
14
14

14
14

15
15
15

1.

Introducción

1.1. ¿Qué es la “seguridad”?

Hace un par de años asistí a un curso de seguridad del que, si algo aprendí, fue una frase muy clarifi-
cadora respecto de la seguridad: “La seguridad no es un producto, es un proceso”. Muchas veces, decimos
que “el software X es seguro” o que “el protocolo Y es seguro”, siendo que lo correcto sería decir que “tal
sistema ofrece tal o cual mecanismo que permite asegurar la seguridad en tal o cual sentido”. Es asom-
broso ver en la actualidad a supuestos “expertos” en seguridad que venden soluciones mágicas (“seguridad
en cajas”). Para que un sistema sea considerado seguro en determinado grado, deben definirse, respetarse
y revisarse continuamente políticas y procedimientos tendientes a lograr ese objetivo.

Si a lo largo de este texto usted encuentra que en algún momento digo que algo “es seguro”, le pido que

lo tome como una forma abreviada de decir lo que he expresado en el párrafo precedente.

1.2. ¿Qué es el Secure Shell?

Secure Shell, también llamado SSH, es un protocolo utilizado para login y ejecución de procesos re-

motos.

Resumiendo (quizás demasiado) SSH nos permite:

Iniciar sesiones (login) en servidores remotos.

Ejecutar comandos remotamente.

Copiar archivos entre distintos hosts.

Ejecutar aplicaciones X11 remotamente.

Realizar túneles IP cifrados.

Divertirnos2.

SSH no es solo un reemplazo de telnet, rlogin, rexec, ftp, XDMCP y otros. Además de brindar todas
estas posibilidades con, básicamente, un único programa, brinda comunicaciones seguras (cifradas) entre
el cliente y el servidor.

1.3. Algoritmos de cifrado

Trataré de explicar muy brevemente (dado mis pobres conocimientos al respecto) los principios básicos

del cifrado de información.

Las técnicas de cifrado consisten en manipular la información de manera de asegurar las siguientes

propiedades:

2¡Nunca debemos olvidarnos de esto!

2

Figura 1: Cifrado simétrico

1. Confidencialidad: No puede acceder a la información nadie que no sea su legítimo destinatario.

2.

Integridad: La información no puede ser alterada (sin ser esto detectado) en el tránsito desde el
emisor hacia el destinatario.

3. No repudio: El creador o emisor de la información no puede dejar de reconocer su autoría.

4. Autenticación: Tanto el emisor como el receptor pueden confirmar la identidad de la otra parte invo-

lucrada en la comunicación.

En particular, para lo que nos interesa, prestaremos atención a tipos de algoritmos: los de cifrado simétrico
(con clave compartida) y los de cifrado asimétrico (con clave pública y clave privada).

1.3.1. Cifrado simétrico

Esta técnica consiste en el uso de una clave que es conocida tanto por el emisor como por el receptor

(y, se supone, por nadie más). La figura 1 muestra un esquema de este tipo:

E y R conocen la clave K. El emisor, E, desea transmitir el mensaje Mensa je a R. Para ello, utilizando
determinado algoritmo de cifrado simétrico y la clave K, genera el mensaje Mensa jeK, que es transmitido
a R. Éste, aplicando la misma clave y el algoritmo inverso, obtiene nuevamente el mensaje original.

Al respecto del algoritmo utilizado, es deseable que cumpla varias propiedades, entre ellas:

Que sea muy difícil descifrar el mensaje sin conocer la clave.

Que la publicidad del algoritmo de cifrado/descifrado no tenga influencia en la seguridad del mismo.
(¡Nunca un algoritmo de cifrado puede basarse en la suposición de que nadie conoce exactamente
cómo funciona!)

Que una mínima alteración de la clave, produzca grandes cambios en el mensaje cifrado.

Quizás el ejemplo más simple de cifrado simétrico sea el juego de niños de desplazar las letras del men-
saje una determinada cantidad de posiciones: Por ejemplo, cifrar el mensaje “Hola Mundo” como “Ipmb
Nvñep”, desplazando las letras una posición. En este caso, la clave que ambas partes deben conocer es la
cantidad de posiciones que se desplazaron las letras. (De todas formas, esto no es muy difícil de averiguar,
¿no?)3.

La principal desventaja del cifrado simétrico consiste en que ambas partes deben conocer la clave: Un

secreto compartido no es un secreto por mucho tiempo.

Entre los algoritmos de cifrado simétrico más utilizados podemos nombrar 3DES, Blowfish, IDEA,

CAST128 y Arcfour

3Una variante de este algoritmo, conocida como ROT13 dado que desplaza las letras 13 posiciones, es muy utilizada para cifrar

textos de forma simple.

3

Figura 2: Confidencialidad mediante cifrado asimétrico

Figura 3: Autenticidad mediante cifrado asimétrico

1.3.2. Cifrado asimétrico

Las técnicas de cifrado asimétrico se basan en el uso de dos claves: una pública y otra privada.
En el ejemplo de la figura 2, R posee dos claves: KR (su clave privada, conocida sólo por él) y KRP (su
clave pública, conocida por cualquiera). En este ejemplo, E desea transmitir el mensaje Mensa je a R, de
manera que nadie, excepto este último, pueda conocer su contenido. Para ello, utilizando la clave KRP y un
algoritmo de cifrado asimétrico, genera el mensaje Mensa jeKR, el cual es transmitido. Luego, R, utilizando
el algoritmo inverso y su clave privada KR, reproduce el mensaje original.

El algoritmo debe garantizar que nadie que no conozca la clave KR puede obtener el mensaje original.
La figura 3 muestra un ejemplo en el cual, E cifra el mensaje con su clave privada KE, obteniendo
el mensaje Mensa jeKE, que es transmitido a R quien, usando la clave privada de E (KEP), obtiene el
mensaje original. Dado que KEP es pública, cualquiera podría haber obtenido el mensaje, pero lo que esto
le garantiza a R es que la única persona que pudo haberlo generado es E (ya que solamente él conoce la
clave KE con que fue cifrado)4.

El siguiente ejemplo, la figura 4 muestra los dos casos anteriores combinados para lograr las propieda-

des de confidencialidad y de autenticación.

La complejidad computacional de los al