Re: Consulta: Acceso por VPN o SSH a secas

To: "Lista Debian-Espanol" <debian-user-spanish@lists.debian.org>
Subject: Re: Consulta: Acceso por VPN o SSH a secas
From: "Manuel Soto" <manuelsspace-listas@yahoo.com>
Date: Tue, 17 Jun 2008 16:57:03 -0430
Message-id: <[🔎] 947d0d2b0806171427g135d4fbbt46d6f99a9193c50e@mail.gmail.com>
In-reply-to: <307074.40843.qm@web34404.mail.mud.yahoo.com>
References: <[🔎] 947d0d2b0806130700o10eaaf6bk1ce642a400a2b63c@mail.gmail.com> <307074.40843.qm@web34404.mail.mud.yahoo.com>
El día 13 de junio de 2008 10:11, Sebastian Pescio
<sebastianpescio@yahoo.com> escribió:
> Manuel, ese es un tema (el tuner en ssh). Según estuve averiguando se puede bloquear en /etc/ssh/sshd.conf pero me lo bloquearía para todos y a mi me sirve.
>
> Por eso tengo que definir eso o darle una VPN filtrando la interfaz TUN0 para que solo puedan llegar al UNIX.
>
> Que opinas?
>
>
>
> --- El vie 13-jun-08, Manuel Soto <manuelsspace-listas@yahoo.com> escribió:
>
>> De: Manuel Soto <manuelsspace-listas@yahoo.com>
>> Asunto: Re: Consulta: Acceso por VPN o SSH a secas
>> A: sebastianpescio@yahoo.com, "Lista Debian-Espanol" <debian-user-spanish@lists.debian.org>
>> Fecha: viernes, 13 junio, 2008, 11:00 am
>> El día 13 de junio de 2008 8:38, Sebastian Pescio
>> <sebastianpescio@yahoo.com> escribió:
>> > Manuel, es para mantención de un sistema de software
>> remoto.
>> >
>> > Lo que dices es cierto de que una vez conectado puede
>> hacer todo eso, pero mi idea era darle acceso por ssh a un
>> equipo con linux y que desde ese equipo (con un usuario sin
>> privilegios) solo puedan hacer telnet al equipo con unix.
>> >
>> > Que opinas?
>> >
>> > Salu2.
>> >
>> >
>> >
>> > --- El mié 11-jun-08, Manuel Soto
>> <mrsoto2000@gmail.com> escribió:
>> >
>> >> De: Manuel Soto <mrsoto2000@gmail.com>
>> >> Asunto: Re: Consulta: Acceso por VPN o SSH a secas
>> >> A: sebastianpescio@yahoo.com
>> >> Cc: debian-user-spanish@lists.debian.org
>> >> Fecha: miércoles, 11 junio, 2008, 2:51 pm
>> >> El día 7 de junio de 2008 20:14, Sebastian Pescio
>> >> <sebastianpescio@yahoo.com> escribió:
>> >> > Hola Compañeros.
>> >> >
>> >> > Les dejo esta consulta para ver que opinión
>> les
>> >> merece:
>> >> >
>> >> > Situación:
>> >> >
>> >> > Tengo que otorgarle acceso remoto a un
>> Proveedor y
>> >> estoy entre 2 soluciones:
>> >> >
>> >> > 1) OpenVPN.
>> >> > 2) SSH a secas!
>> >> >
>> >> > De openVPN lo malo es que una vez conectado
>> quedaría
>> >> virtualmente "dentro" de mi red local,
>> lo cual no
>> >> me agrada en absoluto, lo bueno es que solo
>> podrían
>> >> conectarse quienes tengan los certificados.
>> >> >
>> >> > De SSH me gusta que una vez conectado al
>> Server Linux
>> >> (vía SSH) tendría un usuario sin privilegios y
>> solo
>> >> podría hacer TELNET (ya dentro de la red) contra
>> un UNIX
>> >> sobre el cual debe realizar mantenimientos. Lo
>> malo es que
>> >> cualquiera podría ponerse a realizar ataques
>> contra mi
>> >> Server SSH.
>> >> >
>> >> > Que opinan? Que les parece mejor y mas
>> seguro?
>> >> >
>> >> > De mas está decir que este acceso se va a
>> implementar
>> >> en el marco de un contrato de confidencialidad,
>> aunque
>> >> cuando las papas queman...
>> >> >
>> >> > Gracias por sus opiniones.
>> >> >
>> >> >
>> >> >
>> >> >
>> >> >
>> >>
>> ____________________________________________________________________________________
>> >> > Yahoo! Deportes Beta
>> >> > ¡No te pierdas lo último sobre el torneo
>> clausura
>> >> 2008! Entérate aquí http://deportes.yahoo.com
>> >> >
>> >> >
>> >> > --
>> >> > To UNSUBSCRIBE, email to
>> >> debian-user-spanish-REQUEST@lists.debian.org
>> >> > with a subject of "unsubscribe".
>> Trouble?
>> >> Contact listmaster@lists.debian.org
>> >> >
>> >> >
>> >>
>> >> El día 8 de junio de 2008 7:39, boube
>> >> <elboube@gmail.com> escribió:
>> >> - Mostrar texto citado -
>> >> > 2008/6/7 Rhonny
>> <rhonny.lanz@gmail.com>:
>> >> >> Buenas
>> >> >>
>> >> >> 2008/6/6 Sebastian Pescio
>> >> <sebastianpescio@yahoo.com>:
>> >> >>> Hola Compañeros.
>> >> >
>> >> > Hola
>> >> >
>> >> >>> Les dejo esta consulta para ver que
>> opinión
>> >> les merece:
>> >> >>>
>> >> >>> Situación:
>> >> >>>
>> >> >>> Tengo que otorgarle acceso remoto a
>> un
>> >> Proveedor y estoy entre 2 soluciones:
>> >> >>>
>> >> >>> 1) OpenVPN.
>> >> >>> 2) SSH a secas!
>> >> >>>
>> >> >>> De openVPN lo malo es que una vez
>> conectado
>> >> quedaría virtualmente "dentro" de mi
>> red local,
>> >> lo cual no me agrada en absoluto, lo bueno es que
>> solo
>> >> podrían   conectarse quienes tengan los
>> certificados.
>> >> >
>> >> > No sé si la VPN es la mejor opción, pero no
>> tienes
>> >> porque meterlo
>> >> > "dentro" de la red local, puedes
>> solo darle
>> >> acceso a los host que te
>> >> > interese.
>> >> >
>> >> >>> De SSH me gusta que una vez conectado
>> al
>> >> Server Linux (vía SSH) tendría un usuario sin
>> privilegios
>> >> y solo podría hacer TELNET (ya dentro de la red)
>> contra un
>> >> UNIX sobre el cual debe realizar mantenimientos.
>> Lo malo es
>> >> que cualquiera podría ponerse a realizar ataques
>> contra mi
>> >> Server SSH.
>> >> >>>
>> >> >>> Que opinan? Que les parece mejor y
>> mas seguro?
>> >> >
>> >> > Un servidor ssh seguro (puerto distinto,
>> permitir solo
>> >> algunos
>> >> > usuarios, . . . lo de siempre)  y permitir
>> solo
>> >> conexiones de esa IP
>> >> > usando una clave *con contraseña*. Además
>> podrías
>> >> crear un chroot sólo
>> >> > con los comandos que necesita y limitar las
>> conexiones
>> >> a la máquina
>> >> > que te interesa, para no darle acceso a la
>> máquina
>> >> entera y que no
>> >> > pueda fozar libremente. La verdad, ahora
>> mismo no se
>> >> me ocurre algo
>> >> > más paranoico ;) .Existe bastante info sobre
>> todo
>> >> esto, si te interesa
>> >> > avisa y te paso unos links.
>> >> >
>> >> >>>
>> >> >>>
>> >> >>>
>> >> >>
>> >> >> Con SSH puedes usar certificados tambien,
>> y si te
>> >> parece, puedes
>> >> >> olvidarte de las contrasenas, ya que
>> estas son
>> >> blanco de ataques de
>> >> >> fuerza...
>> >> >
>> >> > Yo siempre lo solía hacer así, pero dejé
>> de hacerlo
>> >> por dos cosas:
>> >> >
>> >> > 1.- Si alguien se apropia de una máquina que
>> tiene la
>> >> clave estás jodido.
>> >> > 2.- De esto no estoy muy seguro (si alguien
>> lo sabe
>> >> con certeza,
>> >> > agradecería la correción ). Imagínate que
>> se
>> >> comentara por error un
>> >> > par de líneas en el código de openssl y que
>> eso
>> >> afectase a la
>> >> > entropía. Es muy fácil atacar a esas claves
>> por
>> >> fuerza bruta, sin
>> >> > embargo si existe una contraseña , la cosa
>> cambia. (o
>> >> eso creo)
>> >> >
>> >> > Además es igual de cómodo, existen cosas
>> como
>> >> keychain [0] para  que
>> >> > no te pida la contraseña constatemente.
>> >> >
>> >> >
>> >> >> Asi te olvidas de crear contrasenas
>> dificiles que
>> >> luego tu cliente o
>> >> >> alguien podria olvidar o tenga que dejar
>> anotada
>> >> por ahi en un papel
>> >> >> que es peor.
>> >> >>
>> >> >> Aca te dejo unos how to
>> >> >>
>> >>
>> http://www.csua.berkeley.edu/~ranga/notes/ssh_nopass.html
>> >> >>
>> >>
>> http://www.ymipollo.com/~ToRo/55093.conectarse-por-ssh-sin-password.html
>> >> >>
>> >> >
>> >> > [0] http://www.gentoo.org/proj/en/keychain/
>> >> >
>> >> > Saludos a todos!
>> >> >
>> >> > --
>> >> >
>> >>
>> -----------------------------------------------------------------
>> >> > Adrián Boubeta     adrian.boubeta@tegnix.com
>> >> > C.T.I. TEGNIX, S.L.   www.tegnix.com
>> >> >
>> >>
>> -----------------------------------------------------------------
>> >> >
>> >>
>> >> La primera pregunta que se me ocurre que no está
>> del todo
>> >> clara es
>> >>
>> >> - ¿Para que el acceso?, ¿Que va a hacer?
>> >>
>> >> Sea VPN o SSH eso te protege en el enlace pero.
>> >> Independientemente de
>> >> eso, si es un usuario local luego puede hacer lo
>> que
>> >> quiera, un
>> >> telnet, ssh, nmap, o cualquier cosa desde el
>> servidor y con
>> >> el usuario que
>> >> le asignes. Tendrías que limitar al usuario y por
>> eso la
>> >> pregunta de
>> >> ¿que va a hacer?.
>> >>
>> >>
>> >> ¿Has revisado si aplica una DMZ?, claro está,
>> depende de
>> >> las preguntas
>> >> anteriores
>> >>
>> >> Saludos,
>> >> Manuel
>> >
>>
>> Lo que me preocupa es que utilizando SSH configure un tunel
>> a otros
>> puertos de otros equipos y tenga acceso entonces desde el
>> equipo
>> remoto a servicios que no debe, por eso es que este equipo
>> en el que
>> el se conecte debe estar bien aislado y bloqueado.
>>
>>
>> En todo caso, que llegue a un equipo en la DMZ y que ese
>> equipo esté
>> tan aislado como puedas, por ejemplo, que sólo pueda hacer
>> telnet al
>> servidor que indicas. El problema en este caso es que le
>> pueden pillar
>> la clave cuando haga el telnet, esto dependerá de la
>> seguridad de la
>> DMZ y la LAN.
>>
>> Es importante también que no hagas uso de HUBs dado que
>> ellos son
>> repetidores. Los Switchs son mas bien bridged capa 2 por lo
>> que es mas
>> difícil capturar el tráfico del telnet.
>>
>> En este momento no recuerdo si puedes bloquear la creación
>> de túneles
>> del ssh por cada usuario individual.
>>
>> Saludos,
>> MS
>
>

Yo creo que ssh sin redicción de puertos sobre una máquina de la dmz
esta bien, al menos en términos de acceso a la máquina. Luego faltará
el acceso que tiene con los servicios a los que estará teniendo
acceso. Me explico, si llega a un Webserver tienes que limitar a las
aplicaciones del web server, si accesa a la base de datos tienes que
protegerla, y al final de todo, un acuerdo de confidencialidad que se
firme entre las partes, requieres confianza y compromiso.

Suerte
Reply to:
References:
- Re: Consulta: Acceso por VPN o SSH a secas
  - From: "Manuel Soto" <manuelsspace-listas@yahoo.com>
Prev by Date: [OT] Consejo
Next by Date: Re: No resulve nombre de servidor de correo
Previous by thread: Re: Consulta: Acceso por VPN o SSH a secas
Next by thread: Re: Sid y APT
Index(es):
- Date
- Thread