Imprimir el Libro CompletoImprimir el Libro Completo

Laboratorio seguridad SSH y llaves

Sitio: Facultad de Ingeniería U.Na.M.
Curso: Redes II - IC421
Libro: Laboratorio seguridad SSH y llaves
Imprimido por: Invitado
Día: miércoles, 3 de julio de 2024, 06:27

Tabla de contenidos

1. Introduccion

Como se vio anteriormente uno de los metodos para asegurar la información, ya sea su integridad, privacidad y autenticidad es el empleo de llaves de seguridad. Las mismas serán abordadas desde el punto de vista pŕactico.

Para ellos utilizaremos los paquetes openssh-server y gnupg para realizar la practica

En windows tenemos GPG4WIN y para SSH debemos activarlo

2. Cifrar y descifrar documentos

Cada clave pública y privada tiene un papel específico en el cifrado y descifrado de documentos. Se puede pensar en una clave pública como en una caja fuerte de seguridad. Cuando un remitente cifra un documento usando una clave pública, ese documento se pone en la caja fuerte, la caja se cierra, y el bloqueo de la combinación de ésta se gira varias veces. La parte correspondiente a la clave privada, esto es, el destinatario, es la combinación que puede volver a abrir la caja y retirar el documento. Dicho de otro modo, sólo la persona que posee la clave privada puede recuperar un documento cifrado usando la clave pública asociada al cifrado.

3. Creacion de llaves

Para la creacion de un par de llaves empleamos el comando

gpg --gen-key o gpg --full-generate-key

en el caso del segundo se nos abrirá un asistente en donde podemos elegir ciertas cosas como el tamaño de la llave, tipo de cifrado, etc. En ambos casos debemos escribir un ID para identificar la llave.

Una vez generada las llaves, podemos ver las que tenemos instaladas:

4. Compartiendo la llave

Para poder compartir la llave debemos realizar la exportación de la misma. Para ello debemos saber el ID (o parte del mismo que elegimos y corremos el siguiente comando)

gpg --output llave.gpg --export nombre@casa.com

Luego en la PC que queremos utilizar la llave debemos realizar al importación, y para poder utilizarla debemos firmarla como verdadera.

gpg --import llave.gpg

verificamos que se haya importado

gpg --list-keys

Una vez que la clave haya sido importada, es necesario validarla. GnuPG usa un potente y flexible modelo de confianza que no requiere que el usuario dé validez personalmente a cada clave que importe. Sin embargo, algunas claves pueden necesitar que el usuario les dé validez de forma personal. Una clave se valida verificando la huella digital de la clave, y firmando dicha clave para certificar su validez. La huella digital se puede ver con la opción de la línea de órdenes --fingerprint, pero para certificar la clave hay que editarla.

javier:~$ gpg --edit-key arancha@nav.es

pub  1024D/B63E132C  created: 1999-09-24 expires: never      trust: -/q
sub  1024g/581A915F  created: 1999-09-24 expires: never
(1)  Aranzazu (A.G.deZ.) <arancha@nav.es>

Command> fpr
pub  1024D/B63E132C 1999-09-24 Aranzazu (A.G.deZ.) <arancha@nav.es>
             Fingerprint: 4203 82E2 448C BD30 A36A  9644 0612 8A0F B63E 132C

La huella digital de una clave se verifica con el propietario de la clave. Esto puede hacerse en persona o por teléfono, o por medio de otras maneras, siempre y cuando el usuario pueda garantizar que la persona con la que se está comunicando sea el auténtico propietario de la clave. Si la huella digital que se obtiene por medio del propietario es la misma que la que se obtiene de la clave, entonces se puede estar seguro de que se está en posesión de una copia correcta de la clave.

Después de comprobar la huella digital ya se puede firmar la clave con el fin de validarla. Debido a que la verificación es un punto débil en criptografía de clave pública, es aconsejable ser cuidadoso en extremo y siempre comprobar la huella digital de una clave con la que nos dé el propietario antes de firmar dicha clave.

Command> sign

NOTA: Para poder firmar la llave importada, primero tenemos que tener una llave maestra 
del usuario generada previamente, por lo que si es la  primera vez que vamos a utilizar
 las llaves, debemos crear una llave en la segunda PC

pub  1024D/B63E132C  created: 1999-09-24 expires: never      trust: -/q
             Fingerprint: 4203 82E2 448C BD30 A36A  9644 0612 8A0F B63E 132C

     Aranzazu (A.G.deZ.) <arancha@nav.es>

Are you really sure that you want to sign this key
with your key: "Javier (Paramo S.L.) <javier@casa.es>"

Really sign? y

You need a passphrase to unlock the secret key for
user: "Javier (Paramo S.L.) <javier@casa.es>"
1024-bit DSA key, ID D58711B7, created 1999-09-24

Enter passphrase:

Una vez firmada, el usuario puede comprobar la clave para obtener un listado de las firmas que lleva y para ver la firma que le acaba de añadir. Cada identificador de usuario tendrá una o más autofirmas, así como una firma por cada usuario que haya validado la clave en cuestión.

Command> check

uid  Aranzazu (A.G.deZ.) <arancha@nav.es>
sig!       B63E132C 1999-09-24   [self-signature]
sig!       D58711B7 1999-09-24   Javier (Paramo S.L.) <javier@casa.es>
 

5. Cifrado y descifrado de documentos

Cada clave pública y privada tiene un papel específico en el cifrado y descifrado de documentos. Se puede pensar en una clave pública como en una caja fuerte de seguridad. Cuando un remitente cifra un documento usando una clave pública, ese documento se pone en la caja fuerte, la caja se cierra, y el bloqueo de la combinación de ésta se gira varias veces. La parte correspondiente a la clave privada, esto es, el destinatario, es la combinación que puede volver a abrir la caja y retirar el documento. Dicho de otro modo, sólo la persona que posee la clave privada puede recuperar un documento cifrado usando la clave pública asociada al cifrado.

Para cifrar un documento se usa la opción --encrypt. El usuario debe tener las claves públicas de los pretendidos destinatarios. El programa espera recibir como entrada el nombre del documento que se desea cifrar o, si éste se omite, una entrada típica. El resultado cifrado se coloca en la salida típica o donde se haya especificado mediante la opción --output. El documento se comprime como medida adicional de seguridad, aparte de cifrarlo.

javier:~$ gpg --output doc.gpg --encrypt --recipient arancha@nav.es doc

La opción --recipient se usa una vez para cada destinatario, y lleva un argumento extra que especifica la clave pública con la que será cifrado el documento. El documento cifrado sólo puede ser descifrado por alguien con una clave privada que complemente uno de las claves públicas de los destinatarios. El usuario, en este caso el remitente, no podrá descifrar un documento cifrado por sí mismo a menos que haya incluido su propia clave pública en la lista de destinatarios.

Para descifrar un mensaje se usa la opción --decrypt. Para ello es necesario poseer la clave privada para la que el mensaje ha sido cifrado. De igual modo que en el proceso de cifrado, el documento a descifrar es la entrada, y el resultado descifrado la salida.

arancha% gpg --output doc --decrypt doc.gpg

You need a passphrase to unlock the secret key for
user: "Aranzazu (A.G.deZ.) <arancha@nav.es>"
1024-bit ELG-E key, ID 581A915F, created 1999-09-24 (main key ID B63E132C)

Enter passphrase:

6. conexion simple por ssh

Como vimos en la pŕactica simplemente para realizar una conexion por SSH corremos el comando

ssh username@IP_del_Servidor_de_SSH

Cabe aclarar que la conexion establecida mediante el protocolo es del tipo cifrada, NO ASI EL ACCESO.

El acceso a SSH es inseguro, ya que al emplear una clave la misma puede ser obtenida mediante fuerza bruta.

Probamos conectarnos a otra pc mediante ssh utilizando en Linux la consola o en Windows Putty

En linux debemos asegurarnos que este corriendo el servicio, sino tenemos instalado el paquete lo instalamos

7. Creacion de una llave

Vamos a trabajar en la creación de una llave en este caso para realizar una conexion SSH entre cliente/servidor.

Utilizando el comando ssh-keygen

Para ellos simplemente podemos correr el comando, o pasando algunos parametros, en este caso:

-t rsa -> Especificamos que la llave sea encriptada mediante RSA.

-f llave -> nombre del archivo en que se creará la llave. (si no lo especificamos, luego se nos preguntará)

nota: al correr el comando podemos ingresar una frase de contraseña (esta frase se nos pedira luego para una mayor seguridad para obtener la llave)

Esto creará dos archivos en el ordenador con las llaves generadas. llave.pub(Llave publica) y llave (Llave privada)

Si vemos el contenido de una de estas llaves es ilegible para un usuario.

una forma de respaldar fisicamente es generar un codigo QR 40 con los datos de la llave y luego imprimirlo. Este sitio por ejemplo puede generarlo.

8. compartiendo la llave

Una vez generada las llaves. Como vimos la llave publica debe ser conocida en el servidor y debemos compartirla por un medio seguro.

La llave puede ser instalada manualmente en el archivo de configuraciones de openssh en el servidor

/home/usuario/.ssh/authorized_keys

el método que utilizaremos es mediante el comando ssh-copy-id, luego de correr el comando, se nos pedirá la contraseña de acceso al servidor

ssh-copy-id -i llave_publica.pub usuario@host

En el caso que utilizemos windows, debemos activar la caracteristica ocional OpenSHH, y no tendremos la funcion copy-id, para ello debemos copiar la llave manualmente

9. prueba conexion con llave cifrada

Ahora que tenemos instalada la llave en nuestro servidor, vamos a aumentar la seguridad de la conexion deshabilitando el acceso por contraseña, para asi poder ingresar unicamente con la llave que generamos.

Para ello debemos modificar el archivo de configuración de ssh

sudo nano /etc/ssh/sshd_config

buscar la linea:

 #PasswordAuthentication yes

descomentarla y denegar las contraseñas.

PasswordAuthentication no

podriamos tambien denegar el acceso como usuario Root si quisiesemos.

PermitRootLogin no

Una vez modificado, reiniciamos el servicio ssh en el sistema:

sudo systemctl restart sshd

Si probamos ahora debemos obtener una denegación al intentar ingresar.

Ahora para poder ingresar mediante la llave debemos correr el comando:

ssh usuario@host -i llave

10. cambio de puerto

para mayor seguridad podemos modificar el puerto que utiliza por defecto SSH para hacerlo aún mas seguro, de modo que algun atacante no conozca nuestro puerto SSH.

Para ellos abrimos el archivo de configuracion del servidor SSH. y editamos la linea puerto:

/etc/ssh/sshd_config

Podemos ver en la IANA, si el puerto que elegimos esta reservado para algo especial

Luego será necesario reciniciar el servicio. y verificar reglas de firewall dentro del sistema para ver si se encuentra habilitado.

para conectarnos luego al puerto modificado debemos incluir la linea " -p XXXX" en la conexion. siendo XXX el puerto elegido