ADMINISTRACIÓN DE RED CON LINUX
Laboratorio N° 3B
CRIPTOGRAFIA
“
”
Tecsup
Administración de Red con Linux
“
CRIPTOGRAFIA”
OBJETIVOS
Evaluar el riesgo de las l as claves. Implementar autentificación usando llaves.
EQUIPOS
1 Computadora
PROCEDIMIENTO PARTE 1 EXPOSICION DE LOS SERVICIOS Los diversos servicios ofrecidos a Internet están pudiendo accederse acc ederse desde cualquier c ualquier lugar, luga r, en muchos casos el ingreso está es tá condicionado condiciona do a un Login y Password . Como los Servicios de Correos, acceso a Web, acceso remoto. Plantearemos el caso del Servicio SSH como patrón.
expuestos,
22
ACCESO A LOS SERVICIOS 1. (EP) Ingreso al SSH:
Conectese con el CLIENTE (PUTTY) al Servicio SSH:
SSH
“Intentare un Password.. tecsup) ,no ( tecsup) ,no ingresa intentare con otro assword ( 1234)” 1234)”
22
Nota:
Como
observa es cuestión de tiempo para que siga intentando el ESPIA y pueda dar la clave. En Internet existen
programas maliciosos (robots) que están buscando servicios como el SSH permanentemente y reintentando diferentes combinaciones de claves. Es cuestión de tiempoooooo. Link: http://www.itwire.com/content/view/13841/53/
VISUALIZANDO EVENTOS 2. (PL) Monitoreo: # tail –f /var/log/secure “Están tratando de ingresar ..”. ingresar ..”.
1
Tecsup
Administración de Red con Linux
PARTE 2 RECOMENDACIÓN 1: LIMITAR EL LOGIN LOGIN A (root) Debido al riesgo del ingreso con la cuenta de (root) se recomienda impedir el ingreso con esta cuenta. La mayoría de los Servicios tiene “Seguiré, esta opciones de configuración para limitar el ingreso como (root). recomendación Tomaremos como referencia al Servicio SSH. ..”.
CONFIGURANDO 3. (PL) Personalizando:
Bloqueando Login de root: sshd_config
“Ubique la variable retire el comentario e indicar la opción opción ( no ).” no
Activando los cambios: # service
sshd
restart
PRUEBA 4.
(I1) Conectándose al SSH : “Comprobado, no me acepta la clave: papaya”. papaya”.
Probando con la cuenta (root):
Ingresando con otra cuenta (benito):
Password: gato1
“Ingresando como ( root ) root
Password: papaya
Nota: De esta forma se evitara ingresar directamente como (root) disminuyendo el riesgo, pero ahora el ESPIA podría intentar probar con cuentas de Login.
2
Tecsup
Administración de Red con Linux
PARTE 3 RECOMENDACIÓN 2: USAR LLAVES PÚBLICAS/PRIVADAS Debido a que el acceso de los Servicios es vía autentificación de un LOGIN y PASSWORD. Siendo estos dos factores la identificación y no teniendo la certeza si el que se está conectando es realmente la persona autorizada. auto rizada. Es necesario nec esario elevar el nivel de autentificació a utentificación. n. El uso de Criptografía (Algoritmo) ASIMETRICO es recomendada para garantizar la autentificación. autentificación. Link:
“Seguiré, también esta recomendación
http://es.wikipedia.org/wiki/Criptograf%C3%ADa_asim%C3%A9trica
CUENTA DE USUARIO 5. (PL) Genere la siguiente cuenta de usuario, usuario , tal como se muestra: “Cuenta que usaremos mas adelante para Logearse con con LLAVES ”
PRUEBA
6. (I1) Conectándose al SSH por PUTTY:
“Ya ingrese, desde esta consola realizaremos la generación de las llaves llaves”. ”.
Probando con la cuenta (cucho):
“Al logearse como (cucho) se encuentra ubicado ubicado por defecto en e sta ubicación”
Nota: No cierre cie rre esta consola, conso la, desde esta est a consola realizaremos real izaremos los pasos de LLAVES LLA VES ASIMETRICAS ASIMETRIC AS
LLAVES ASIMETRICAS 7. (I1) Procesos :
GENERAR DIRECTORIO El directorio .ssh del USER se alojara alojara las
llaves y unicamente la cuenta del USER tendra los permisos respectivos: $ mkdir
.ssh
$ chmod –f –R
700
.ssh
$ ls –la
3
Tecsup
Administración de Red con Linux
GENERANDO LAS LLAVES (PUBLICA/PRIVADA) Ingresar al directorio .ssh:
$ cd
.ssh
Generar las llaves asimetricas:
“Tipo de algoritmo asimétrico. El ( r sa ) es recomendado por su confiabilidad”
“Tamaño de la llave en bits”
$ ssh-keygen – b b
1024
–t
“ Directorio para guardar la llave, llave, aceptar el directorio por defecto” defecto ” *
rsa
“Confirma la frase: 1
elperuavanza
“ Frase para encriptar encriptar los archivos archivos de las llaves que se están generando” “Ingrese la frase:
2
3
elperuavanza
“Indica la generación de la llave pública (id_rsa.pub) ”
“Indica la generación de la llave privada (id_rsa) ”
Visualizando: $ ls -la
Los archivos deben de tener permiso 600: $ chmod 600
id_rsa.pub
$ ls -la
COPIANDO LLAVE PUBLICA
En el archivo (authorized_keys) el programa SSH almacena las llaves Publicas. En este archivo debera de copiar el contenido del archivo de la llave publica (id_rsa.pub): authorized_keys “ Inicialmente el archivo archivo ( authorized_keys ) no existe, al copiar se genera también el el archivo”
$ cp
id_rsa.pub authorized_keys
$ chmod 600 $ cat
authorized_keys
authorized_keys
4
Tecsup
Administración de Red con Linux
TRANSFIRIENDO LA LLAVE PRIVADA 8.
(I1) Procesos : VISUALIZANDO
Visualize el contenido del archivo (id_rsa): $ cat
id_rsa
“ Esta llave será usada como como reemplazo al password ”
“Muy Difícil de que alguien lo averigüe..”. averigüe..”.
“En este Directorio guardaremos la llave privada.. a obtener ”. ”.
COPIANDO
Genere el directorio LLAVE en el disco de
I1:
Existe diversos metodos para transmitir el archivo como FTP SEGURO o via USB. Pero usaremos la propiedad de copiado del PUTTY:
“ Menu Edición > Pegar Pegar ”
“ Acceder al menú” menú ” *C lili c Derecho Derecho
1
“Cargue el NOTEPAD”
4 3
5
“ Retire todas las líneas líneas innecesarias. El archivo debe quedar únicamente con el contenido de la llave privada”
“Ubicarse en directorio ( llave )” l lave 2 6
“Opción que copiara a memoria todo lo digitado en la consola de Putty”
“Ya tengo la llave privada en mi PC..”. PC..”.
“ Nombre del archivo: archivo: id_rsa
8 9 7
5
Tecsup
Administración de Red con Linux
PARTE 4 DESHABILITAR ACCESO VIA PASSWORD En SERVICIOS de alto riesgo es recomendable la desactivación de la autentificación con PASSWORD y usar los métodos de llaves (algoritmos asimétricos). Desactivaremos el ingreso con PASSWORD del SSH
CONFIGURANDO 9. (PL) Personalizando:
Deshabilitando el ingreso con PASSWORD ubique las variables: “Habilitando autenticación de algoritmo RSA
sshd_config
“Habilitando autenticación autenticación con llaves publicas”
“Ubicación del Archivo de las llaves publicas”
“Desactivando la autenticación con Password”
Activando los cambios: # service
sshd
restart
PRUEBA
10. (I1) Conectándose al SSH :
Cierre la consola PUTTY Conectese nuevamente con la cuenta (cucho) al SSH: 1
“Comprobado, no acepta la autenticación con password ”. ”.
2
6
Tecsup
Administración de Red con Linux
PARTE 5 USANDO LLAVES CON PUTTY Los Clientes de SSH como características tienen la propiedad de configurar la opción del uso de llaves. El uso de las llaves implica que el cliente debe de soportar algoritmos asimétricos. PUTTY soporta los algoritmos RSA. PUTTY puede generar las llaves RSA usando el programa PUTTYGEN. PUT TYGEN. También el programa PUTTYGEN se usa us a para adecuar adecua r al formato de PUTTY la llaves transferidas de otros Sistemas (Este es nuestro caso).
PAQUETE 11. (I1) Nombre del paquete: puttygen
Info: www.chiark.greenend.org.uk/~sgtatham/putty/download.html
encuentra en carpeta SOFT
Nota: El Software se virtual Windows,
el escritorio de la maquina
INSTALACION
(I1) El software cliente puttygen ( ) no requiere un proceso de
instalacion. El archivo puttygen ( puttygen) es un programa ejecutable.
ADECUANDO FORMATO DE LLAVE 12. (I1) Procesos: * Doble Clic “Ubíquese en el directorio ( llave )” l lave
CARGANDO LLAVE
2
1
4
“Seleccionado el archivo de la llave privada”
“ Indique la frase frase con que fue encriptado la información de la llave” 5
elperuavanza 3
6
7
7
“ Informando que que la llave ha sido importado correctamente”
Tecsup
Administración de Red con Linux “Ventana que muestra la información de la llave privada.
No cambie ni edite edite
ningún valor” valor”
“Llave publica del Servidor obtenida de la llave privada”
“Identificador del SERVER”
“Esta oculta, la frase: peruavanza ” “Salvando la llave Privada al formato de PUTTY”
8
9
“Tipo de llave que fue generado: RSA” RSA”
“Cantidad de Bits de la llave”
“Guardando con el nombre de ( id_rsa ), al id_rsa guardarse se se podrá automáticame automáticamente nte la extensión .ppk ”
10
11
CONFIGURANDO PERFIL DE PUTTY DEL SSH 13. (I1) Personalizando:
2
“ Indicar el archivo de la llave con id_rsa.ppk formato putty ( id_rsa.ppk )”
1
4
“Sección para personalizar la autentificació autentificación” n”
8
3
Tecsup
Administración de Red con Linux
5
6
7
AUTENTIFICANDOSE AUTENTIFICANDOSE CON LLAVE LL AVE 14. (I1) Ingresando: “ Ingrese la frase con que que fue encriptado la llave”
elperuavanza
“ Password: papaya ” “ Ahora cambie a ( root )” root
“Ahora si está bien , bien, bien .. seguro el acceso. La única forma de ingresar es con la llave privada ”.
“Revisare estos Links para seguir aprendiendo, aprendiendo, tengo que estar preparado para los intrusos..”. intrusos..”.
Info: http://en.wikipedia.org/wiki/Secure_Shell http://winscp.net/eng/docs/ssh http://www.rfc-zone.org/rfc1244.html
TECSUP GD
9