OpenSSH Introducción Encriptacion Funcionamiento Configuración y uso
OpenSSH Servicio que me permite acceder a equipos remotos Anteriormente se usaba: Rlogin Telnet
OpenSSH Características: _Utiliza el puerto 22 TCP y UDP (por defecto) _Utiliza protocolo SSH _Modelo cliente-servidor _Permite autentificacion de usuarios y claves/contraseñas _Esta implementado en la mayoría de los Sistemas Operativos (OpenSSH)
OpenSSH Ventajas: _Envío de la información de autentificacion cifrada _Envío de los datos de la comunicación cifrados _El cliente puede ejecutar aplicaciones graficas de forma segura _En futuras conexiones el cliente puede saber que esta conectado al mismo servidor _Evita suplantación de identidad e intercepcion de la comunicación entre dos maquinas
OpenSSH Hay 2 versiones de SSH : 1.SSH1 2.SSH2, incorpora varias mejoras respeto al primero.
OpenSSH Encriptacion: Es una ciencia que emplea las matemáticas para cifrar y descifrar los datos. A partir de un texto se logra otro llamado criptograma que no es interpretable sino que debe ser descodificado por medio de la clave adecuada.
OpenSSH Resuelve los siguientes problemas en las comunicaciones: 1.Privacidad. Solo el legitimo destinatario podrá decodificar la información. 2.Integridad. Si la información se altera en el camino es posible detectarla. 3.Autentificacion. El emisor y el receptor pueden confirmar la identidad del otro. 4.No Rechazo. El emisor no puede negar que es el autor de la información. Estos 4 elementos son los principios básicos que tiene que proteger la SI (Seguridad Informática).
OpenSSH Tipos de Encriptacion Simétrica o de Clave Compartida. 1. Simétrica o de Clave Compartida. 2. Asimétrica o de Clave Publica/Privada.
OpenSSH Tipos de Encriptacion Simétrica o de Clave Compartida. 1. Simétrica o de Clave Compartida. Tanto el emisor como el receptor conocen la clave empleada para cifrar los datos. Los algoritmos son rápidos. Precisa de claves de mas de 40 bits, sino, el mensajes seria fácil de descifrar por criptoanálisis. Como inconveniente, la clave tiene que ser conocida por emisor y receptor. Algoritmos empleados: DES, AES, IDEA, Blowfish.
OpenSSH DES: Usa claves de seguridad de 48 bits + 8 paridad. Usa claves de seguridad de 48 bits + 8 paridad. Usado por bancos. Usado por bancos. En desuso En desuso
OpenSSH IDEA: Libre, para uso no comercial. Libre, para uso no comercial. Trabaja con claves de 128 bits cifrando bloques de 64 bits. Trabaja con claves de 128 bits cifrando bloques de 64 bits. No ha sido descifrada su clave hasta el momento. No ha sido descifrada su clave hasta el momento.
OpenSSH 2. Asimétrica o de Clave Publica/Privada. 2. Asimétrica o de Clave Publica/Privada. Tanto el emisor como el receptor tienen 2 claves. La Privada: Solo conocida por su dueño, nunca se envía por la red. La Publica: Conocida por todos los usuarios que vayan a ser destinatarios del emisor. Nota: Las claves publicas/privadas se generan a la vez y forman un par biunívoco.
OpenSSH Los algoritmos son sencillos pero lentos. Trabajan hasta con 1024 bits, para eso hace falta bastante potencia. Trabajan hasta con 1024 bits, para eso hace falta bastante potencia. La clave privada el conocida solo por el dueño. La clave privada el conocida solo por el dueño. Se tiene que garantizar la autenticidad de la clave publica, por ellos han surgido los certificados digitales. Se tiene que garantizar la autenticidad de la clave publica, por ellos han surgido los certificados digitales. Algoritmos empleados: RSA, DSA, MD5, SHA1, Diffie-Helman. Algoritmos empleados: RSA, DSA, MD5, SHA1, Diffie-Helman.
OpenSSH RSA: Se puede emplear para cifrar o firmar documentos. Se puede emplear para cifrar o firmar documentos. Para ser un algoritmo seguro, necesita trabajar con 1024 bits. Para ser un algoritmo seguro, necesita trabajar con 1024 bits. La patente finalizo en el año La patente finalizo en el año La firma digital es reversible, pero la encriptacion no. La firma digital es reversible, pero la encriptacion no.
OpenSSH DSA: Se puede emplear para cifrar o firmar documentos. Se puede emplear para cifrar o firmar documentos. Mas seguro que RSA. Mas seguro que RSA. La firma digital es reversible, pero la encriptacion no. La firma digital es reversible, pero la encriptacion no.
OpenSSH RSA: Se puede emplear para cifrar o firmar documentos. Se puede emplear para cifrar o firmar documentos. Para ser un algoritmo seguro, necesita trabajar con 1024 bits. Para ser un algoritmo seguro, necesita trabajar con 1024 bits. La patente finalizo en el año La patente finalizo en el año La firma digital es reversible, pero la encriptacion no. La firma digital es reversible, pero la encriptacion no.
OpenSSH El servicio SSH trabaja con: Algoritmos Asimétricos para establecer la conexión. Algoritmos Simétricos para la transferencia de información.
OpenSSH Funcionamiento del Servicio SSH: Pasos necesarios para establecer una comunicación a través de SSH: 1. El cliente abre una conexión TCP sobre el puerto 22 del servidor. 1. El cliente abre una conexión TCP sobre el puerto 22 del servidor. 2. Cliente y servidor negocian la versión de SSH a emplear y el algoritmo de cifrado simétrico a emplear en la transferencia de la información. 2. Cliente y servidor negocian la versión de SSH a emplear y el algoritmo de cifrado simétrico a emplear en la transferencia de la información. 3. Servidor envía su clave publica al cliente. 3. Servidor envía su clave publica al cliente.
OpenSSH 4. Cliente compara esa clave publica con la que tiene almacenada de ese servidor para ver si es autentica. 5. Cliente genera una clave de sesión aleatoria y crea un mensaje en el que incluye: La clave aleatoria que ha creado. La clave aleatoria que ha creado. Algoritmo de cifrado seleccionado en el Paso 2. Algoritmo de cifrado seleccionado en el Paso 2. Lo cifra todo con la clave publica del servidor (recibida en el paso 3) y se la envía al servidor. Lo cifra todo con la clave publica del servidor (recibida en el paso 3) y se la envía al servidor.
OpenSSH 6. En el resto de la comunicación los datos se cifran con el algoritmo seleccionado en el Paso 2 y la clave aleatoria creada en el paso anterior. 7. Se produce la autentificacion del usuario. 8. Se inicia la sesión del usuario. En la practica el servicio SSH, crea un tunel por el cual los datos viajan seguros (“tunneling”) en una red insegura.
OpenSSH
Archivos Relacionados a la configuracion del sever/cliente ( /etc/ssh): ssh_config : cliente ssh sshd_config: servidor ssh ssh_host_dsa_key: host private key dsa ssh_host_dsa_key.pub: host public key dsa ssh_host_key: deprecated ssh1 host private key ssh_host_key.pub: deprecated ssh1 host public key ssh_host_rsa_key: host private key rsa ssh_host_rsa_key.pub: host public key rsa
OpenSSH Archivos Relacionados a la configuracion del home directory del usuario ( $HOME/,ssh): authorized_keys : llaves publicas conocidas known_host: lista de llaves publicas RSA id_dsa_key: local private key dsa id_dsa_key.pub: local public key dsa id_rsa_key: local private key rsa id_rsa_key.pub: local public key rsa
OpenSSH Creación de llaves Publicas y Privadas: Ssh-keygen [-t dsa] [-b 2048] Solicita password para la clave privada Graba las llaves en $HOME/.ssh/id_[dr]sa[.pub]
OpenSSH Copiar las llaves a un servidor remoto: Ssh-copy-id -i $HOME/.ssh/id_rsa.pub Guarda la llave en $HOME/.ssh/authorized_keys
OpenSSH Conectarse a un equipo Remoto: Ssh -l user ip/fqdn Ssh
OpenSSH Copiando a archivos con scp: Scp -r /home/rino Scp hola.txt Scp Scp -P5533
OpenSSH Copiando a archivos con sftp: sftp sftp -o Port=[PuertoDeEscucha]
OpenSSH Parametros significativos de la configuracion: /etc/ssh/sshd_config Port 22 AdressFamily inet/inet6/any ListenAddress :: Protocol 2 Hostkey LogLevel INFO LoginGraceTime 2m PermitRootLogin no MaxAuthTries 2 MaxSessions 10 PubKeyAuthentication yes
OpenSSH Parametros significativos de la configuracion: /etc/ssh/sshd_config PermitEmptyPasswords no AcceptEnv AllowTcpForwarding yes X11Forwarding yes PrintMod yes PrintLastLog yes ClientAliveCountMax 3 PidFile MaxStartups 10 AllowUsers DenyUsers AllowTcpForwarding UsePam
OpenSSH Parametros significativos de la configuracion: /etc/ssh/sshd_config PermitEmptyPasswords no AcceptEnv AllowTcpForwarding yes X11Forwarding yes PrintMod yes PrintLastLog yes ClientAliveCountMax 3 PidFile MaxStartups 10 AllowUsers DenyUsers AllowTcpForwarding UsePam
OpenSSH Parametros significativos de la configuracion: /etc/ssh/sshd_config PermitEmptyPasswords no AcceptEnv AllowTcpForwarding yes X11Forwarding yes PrintMod yes PrintLastLog yes ClientAliveCountMax 3 PidFile MaxStartups 10 AllowUsers DenyUsers AllowTcpForwarding UsePam
OpenSSH Utilizar conexiones con llaves: 1 - Ssh-agent -k 2 - Eval `ssh-agent` 3 - Ssh-add (nos pide la clave)
Bibliografía /wiki/Base+de+Conocimiento/Certificaci%C3%B3n+LPI+102#section- Certificaci%C3%B3n+LPI+102-Tareas+de+Administracion+de+Seguridad