Re: Consulta: Acceso por VPN o SSH a secas

To: sebastianpescio@yahoo.com, "Lista Debian-Espanol" <debian-user-spanish@lists.debian.org>
Subject: Re: Consulta: Acceso por VPN o SSH a secas
From: "Manuel Soto" <manuelsspace-listas@yahoo.com>
Date: Fri, 13 Jun 2008 09:30:36 -0430
Message-id: <[🔎] 947d0d2b0806130700o10eaaf6bk1ce642a400a2b63c@mail.gmail.com>
In-reply-to: <896567.72286.qm@web34408.mail.mud.yahoo.com>
References: <947d0d2b0806101851g40b0407arf01532bc1b523f15@mail.gmail.com> <896567.72286.qm@web34408.mail.mud.yahoo.com>
El día 13 de junio de 2008 8:38, Sebastian Pescio
<sebastianpescio@yahoo.com> escribió:
> Manuel, es para mantención de un sistema de software remoto.
>
> Lo que dices es cierto de que una vez conectado puede hacer todo eso, pero mi idea era darle acceso por ssh a un equipo con linux y que desde ese equipo (con un usuario sin privilegios) solo puedan hacer telnet al equipo con unix.
>
> Que opinas?
>
> Salu2.
>
>
>
> --- El mié 11-jun-08, Manuel Soto <mrsoto2000@gmail.com> escribió:
>
>> De: Manuel Soto <mrsoto2000@gmail.com>
>> Asunto: Re: Consulta: Acceso por VPN o SSH a secas
>> A: sebastianpescio@yahoo.com
>> Cc: debian-user-spanish@lists.debian.org
>> Fecha: miércoles, 11 junio, 2008, 2:51 pm
>> El día 7 de junio de 2008 20:14, Sebastian Pescio
>> <sebastianpescio@yahoo.com> escribió:
>> > Hola Compañeros.
>> >
>> > Les dejo esta consulta para ver que opinión les
>> merece:
>> >
>> > Situación:
>> >
>> > Tengo que otorgarle acceso remoto a un Proveedor y
>> estoy entre 2 soluciones:
>> >
>> > 1) OpenVPN.
>> > 2) SSH a secas!
>> >
>> > De openVPN lo malo es que una vez conectado quedaría
>> virtualmente "dentro" de mi red local, lo cual no
>> me agrada en absoluto, lo bueno es que solo podrían
>> conectarse quienes tengan los certificados.
>> >
>> > De SSH me gusta que una vez conectado al Server Linux
>> (vía SSH) tendría un usuario sin privilegios y solo
>> podría hacer TELNET (ya dentro de la red) contra un UNIX
>> sobre el cual debe realizar mantenimientos. Lo malo es que
>> cualquiera podría ponerse a realizar ataques contra mi
>> Server SSH.
>> >
>> > Que opinan? Que les parece mejor y mas seguro?
>> >
>> > De mas está decir que este acceso se va a implementar
>> en el marco de un contrato de confidencialidad, aunque
>> cuando las papas queman...
>> >
>> > Gracias por sus opiniones.
>> >
>> >
>> >
>> >
>> >
>> ____________________________________________________________________________________
>> > Yahoo! Deportes Beta
>> > ¡No te pierdas lo último sobre el torneo clausura
>> 2008! Entérate aquí http://deportes.yahoo.com
>> >
>> >
>> > --
>> > To UNSUBSCRIBE, email to
>> debian-user-spanish-REQUEST@lists.debian.org
>> > with a subject of "unsubscribe". Trouble?
>> Contact listmaster@lists.debian.org
>> >
>> >
>>
>> El día 8 de junio de 2008 7:39, boube
>> <elboube@gmail.com> escribió:
>> - Mostrar texto citado -
>> > 2008/6/7 Rhonny <rhonny.lanz@gmail.com>:
>> >> Buenas
>> >>
>> >> 2008/6/6 Sebastian Pescio
>> <sebastianpescio@yahoo.com>:
>> >>> Hola Compañeros.
>> >
>> > Hola
>> >
>> >>> Les dejo esta consulta para ver que opinión
>> les merece:
>> >>>
>> >>> Situación:
>> >>>
>> >>> Tengo que otorgarle acceso remoto a un
>> Proveedor y estoy entre 2 soluciones:
>> >>>
>> >>> 1) OpenVPN.
>> >>> 2) SSH a secas!
>> >>>
>> >>> De openVPN lo malo es que una vez conectado
>> quedaría virtualmente "dentro" de mi red local,
>> lo cual no me agrada en absoluto, lo bueno es que solo
>> podrían   conectarse quienes tengan los certificados.
>> >
>> > No sé si la VPN es la mejor opción, pero no tienes
>> porque meterlo
>> > "dentro" de la red local, puedes solo darle
>> acceso a los host que te
>> > interese.
>> >
>> >>> De SSH me gusta que una vez conectado al
>> Server Linux (vía SSH) tendría un usuario sin privilegios
>> y solo podría hacer TELNET (ya dentro de la red) contra un
>> UNIX sobre el cual debe realizar mantenimientos. Lo malo es
>> que cualquiera podría ponerse a realizar ataques contra mi
>> Server SSH.
>> >>>
>> >>> Que opinan? Que les parece mejor y mas seguro?
>> >
>> > Un servidor ssh seguro (puerto distinto, permitir solo
>> algunos
>> > usuarios, . . . lo de siempre)  y permitir solo
>> conexiones de esa IP
>> > usando una clave *con contraseña*. Además podrías
>> crear un chroot sólo
>> > con los comandos que necesita y limitar las conexiones
>> a la máquina
>> > que te interesa, para no darle acceso a la máquina
>> entera y que no
>> > pueda fozar libremente. La verdad, ahora  mismo no se
>> me ocurre algo
>> > más paranoico ;) .Existe bastante info sobre todo
>> esto, si te interesa
>> > avisa y te paso unos links.
>> >
>> >>>
>> >>>
>> >>>
>> >>
>> >> Con SSH puedes usar certificados tambien, y si te
>> parece, puedes
>> >> olvidarte de las contrasenas, ya que estas son
>> blanco de ataques de
>> >> fuerza...
>> >
>> > Yo siempre lo solía hacer así, pero dejé de hacerlo
>> por dos cosas:
>> >
>> > 1.- Si alguien se apropia de una máquina que tiene la
>> clave estás jodido.
>> > 2.- De esto no estoy muy seguro (si alguien lo sabe
>> con certeza,
>> > agradecería la correción ). Imagínate que se
>> comentara por error un
>> > par de líneas en el código de openssl y que eso
>> afectase a la
>> > entropía. Es muy fácil atacar a esas claves por
>> fuerza bruta, sin
>> > embargo si existe una contraseña , la cosa cambia. (o
>> eso creo)
>> >
>> > Además es igual de cómodo, existen cosas como
>> keychain [0] para  que
>> > no te pida la contraseña constatemente.
>> >
>> >
>> >> Asi te olvidas de crear contrasenas dificiles que
>> luego tu cliente o
>> >> alguien podria olvidar o tenga que dejar anotada
>> por ahi en un papel
>> >> que es peor.
>> >>
>> >> Aca te dejo unos how to
>> >>
>> http://www.csua.berkeley.edu/~ranga/notes/ssh_nopass.html
>> >>
>> http://www.ymipollo.com/~ToRo/55093.conectarse-por-ssh-sin-password.html
>> >>
>> >
>> > [0] http://www.gentoo.org/proj/en/keychain/
>> >
>> > Saludos a todos!
>> >
>> > --
>> >
>> -----------------------------------------------------------------
>> > Adrián Boubeta     adrian.boubeta@tegnix.com
>> > C.T.I. TEGNIX, S.L.   www.tegnix.com
>> >
>> -----------------------------------------------------------------
>> >
>>
>> La primera pregunta que se me ocurre que no está del todo
>> clara es
>>
>> - ¿Para que el acceso?, ¿Que va a hacer?
>>
>> Sea VPN o SSH eso te protege en el enlace pero.
>> Independientemente de
>> eso, si es un usuario local luego puede hacer lo que
>> quiera, un
>> telnet, ssh, nmap, o cualquier cosa desde el servidor y con
>> el usuario que
>> le asignes. Tendrías que limitar al usuario y por eso la
>> pregunta de
>> ¿que va a hacer?.
>>
>>
>> ¿Has revisado si aplica una DMZ?, claro está, depende de
>> las preguntas
>> anteriores
>>
>> Saludos,
>> Manuel
>

Lo que me preocupa es que utilizando SSH configure un tunel a otros
puertos de otros equipos y tenga acceso entonces desde el equipo
remoto a servicios que no debe, por eso es que este equipo en el que
el se conecte debe estar bien aislado y bloqueado.


En todo caso, que llegue a un equipo en la DMZ y que ese equipo esté
tan aislado como puedas, por ejemplo, que sólo pueda hacer telnet al
servidor que indicas. El problema en este caso es que le pueden pillar
la clave cuando haga el telnet, esto dependerá de la seguridad de la
DMZ y la LAN.

Es importante también que no hagas uso de HUBs dado que ellos son
repetidores. Los Switchs son mas bien bridged capa 2 por lo que es mas
difícil capturar el tráfico del telnet.

En este momento no recuerdo si puedes bloquear la creación de túneles
del ssh por cada usuario individual.

Saludos,
MS
Reply to:
Prev by Date: Re: fetchmail
Next by Date: Re: fetchmail
Previous by thread: Re: Consulta: Acceso por VPN o SSH a secas
Next by thread: Re: Consulta: Acceso por VPN o SSH a secas
Index(es):
- Date
- Thread