Número 82: Trucos SSH - Linux Magazine

More documents

Recommendations

Info

Configurar conexiones de tunel SSH con Sshuttle y PuTTY El Túnel del Tiempo El acceso remoto a través de un enrutado inseguro como el de Internet presenta muchos riesgos: el sniffing de conexiones WLAN desde un punto de acceso público, por ejemplo, no es especialmente complicado para un intruso experimentado. Existen numerosas soluciones y productos disponibles en el mercado que nos permiten acceder con seguridad a nuestro propio servidor desde el exterior. La complejidad de estas herramientas varía con el tipo de uso y los requisitos de seguridad. Varias de estas soluciones existen únicamente para dar soporte a diversos modelos de túneles. La alternativa más obvia para un túnel es una VPN. Desde el punto de vista funcional, cualquier tecnología VPN tiene la tarea de hacer un túnel a través del inseguro entorno de Internet. El clásico túnel VPN difiere de otros tipos de túneles sobre redes TCP/ IP, ya que transporta todos los paquetes de red de forma independiente a los protocolos WWW.LINUX- MAGAZINE.ES Túneles SSH PORTADA Una conexión a prueba de sniffers es una buena idea si accedemos a nuestros datos privados viajando. Sshuttle y PuTTY nos ayudan a crear una conexión segura con unos pasos de pre-configuración míni- mos. POR THOMAS DRILLING de nivel superior. Pero un problema con la VPN es que no se puede configurar sobre la marcha: hay que planificarla y configurarla desde el principio. La herramienta Sshuttle [1] es útil para la creación de una VPN rápida. Se basa en una conexión SSH en combinación con un proxy socks transparente, dándonos de esta manera una opción para configurar una conexión segura con herramientas incorporadas. Sshuttle difiere de un túnel SSH basado en TUN/ TAP (véase el cuadro titulado “Túnel TUN/ TAP”), Túnel TUN/ TAP Heiko Bennewitz - 123RF.com reduciendo al mínimo la necesidad de una configuración previa. La VPN del Pobre En contraste con la VPN clásica, un túnel SSH es bastante fácil de instalar y configurar. A diferencia de una VPN, un túnel SSH requiere un túnel separado para cada protocolo. Por otro lado, puede funcionar sin necesidad de un software complejo o especializado en el servidor o el cliente. Sshuttle, que fue creado por el estudiante canadiense Avery Pennarun [2], La versión 4.3 o posterior de OpenSSH proporciona la opción -w que permite a los usuarios configurar una VPN. Desde entonces, los usuarios son capaces de configurar túneles de Capa 2 o Capa 3 con adaptadores de red virtuales (interfaces TUN/ TAP). Sin embargo, el enfoque de TUN/ TAP no es útil para el escenario descrito en este artículo debido a que se requiere algo de preparación en el servidor y el cliente en forma de cargar los módulos del kernel para los dispositivos TUN/ TAP. Además, es necesario configurar el demonio SSH en el servidor, permitiendo la opción PermitTunnel yes. Los comandos del Listado 1 muestran cómo configurar los adaptadores de red virtuales correspondientes del servidor y cliente. Después de hacer esto, el cliente tiene la opción de utilizar SSH para un túnel VPN: $ ssh -l usuario-p puerto-sshd-w0:0 host_objetivo Número 82 21
PORTADA Túneles SSH Figura 1: Sshuttle es muy útil, ya que se basa enteramente en herramientas habituales de un ordenador con Linux. es una herramienta de línea de comandos, escrita en Python, que ofrece a los usuarios la capacidad de operar una VPN basada en SSH entre ordenadores Linux, BSD y MacOS X. Para utilizar Sshuttle es necesario tener acceso SSH a la máquina remota y tener configurado Python en su lugar correspondiente en los dos extremos de la conexión. Sshuttle implementa un servidor proxy transparente que no requiere ninguna configuración, y al contrario que con el simple reenvío de puertos descrito anteriormente, en realidad nos permite pasar a través de peticiones DNS. Sshuttle es relativamente nuevo, y es probable que no lo encontremos en los repositorios de Linux más importantes. Las fuentes del programa, con licencia GPLv2, están disponibles en Github en forma de archivo tar o zip. Descomprimimos el programa en un directorio. Sólo necesitamos tener acceso de root en el cliente, ser root no es obligatorio para el servidor. El servidor o equipo remoto tiene que ejecutar el demonio SSH. Para implementar el software, iniciamos sesión en el cliente como root, cambiamos al directorio que contiene los archivos de programa des- Listing 1: Un Túnel TUN/ TAP 01 # Client 02 ifconfig tun0 10.0.2.1 netmask 255.255.255.252 03 # Server 04 # IP address on target computer 05 ifconfig tun0 10.0.2.2 netmask 255.255.255.252 06 route add -host target_host dev eth0 comprimidos, y establecemos una conexión con el host remoto tecleando el siguiente comando: $ sshuttle -r U usuario@nombrehost0.0.0.0/0 -vv A continuación, introducimos la contraseña para la cuenta de usuario en el host remoto o servidor, y esperamos a que el programa establezca la conexión (véase la Figura 1). Si no configuramos ninguna restricción para la red (por ejemplo 0.0.0.0/0 aquí, que se puede abreviar como 0/ 0), Sshuttle será de gran utilidad como un proxy para el tráfico TCP, por ejemplo, si el cliente se encuentra en un entorno no confiable, como un punto de acceso público. Es fácil comprobar si el túnel está activo. Simplemente navegamos hasta un sitio web como http:// www. stilllistener. addr. com/ checkpoint1/ test1. Si el túnel está funcionando, deberíamos ver la dirección IP del servidor remoto o el host, de lo contrario, veremos la dirección del router local (véase la Figura 2). Se recomienda precaución si vamos a utilizar Sshuttle desde el interior de la red de nuestra empresa: dado que el programa no necesita permisos de root en el servidor o host remoto, abre un 22 Número 82 WWW.LINUX- MAGAZINE.ES agujero en la infraestructura de seguridad y también podría estar violando la política de empresa. Además, Sshuttle es bastante nuevo y aún no ha pasado pruebas exhaustivas. PuTTY como Alternativa Si sólo tenemos acceso a un ordenador con Windows, podemos probar el cliente SSH PuTTY [3], que hace que sea muy fácil configurar un túnel SSH (véase la Figura 3). En el lado del cliente, el programa actúa como un proxy Socks. Esto significa que necesitamos redireccionar los servicios sobre los que queremos hacer un túnel, como HTTP en un navegador web, a los proxies. Como usuario, sólo tendremos que introducir el nombre del servidor al que abriremos la conexión SSH en la pestaña Sesión de PuTTY, y luego guardar el perfil cuando hayamos terminado. El cuadro de diálogo para la configuración del túnel SSH se encuentra en el árbol jerárquico a la izquierda debajo de Conexión | SSH | Túneles (véase la Figura 4). Introducimos cualquier puerto libre en el cuadro de texto Puerto fuente. Entonces podremos acceder al proxy en este puerto, el 12222 en este ejemplo. A continuación, habilitamos bien la opción Auto o Dinámica y pulsamos sobre Abrir. El servidor SSH nos pide que confirmemos la firma en el primer contacto, y en una nueva ventana de terminal nos pide el nombre de usuario y la contraseña correspondiente. Si deseamos establecer una conexión similar trabajando desde un cliente Linux, podemos utilizar el siguiente comando: $ ssh -N -D12222 U usuario@servidor -N evita lanzar un programa en el servidor, y -D nos permite especificar el puerto SOCKS local. Cuando utilizamos PuTTY, es una buena idea añadir la opción -f para enviar la solicitud a segundo plano. Si todos los parámetros son correctos, PuTTY abrirá la conexión SSH, y podremos añadir el cliente PuTTY como un proxy en alguna otra aplicación. En Firefox 8, en el cuadro de preferencias, elegimos Avanzadas y pulsamos en la pestaña Redes. En la sección Conexión, pulsamos el botón
Page 1: GRATIS Más información en página
Page 5: EDITORIAL ESTÁS LEYENDO LM Me disc
Page 8: LINUX USER 55 Bajo el Rádar Gracia
Page 13 and 14: Adonde vayas... Lee Linux Magazine
Page 15 and 16: lista todos los posibles eventos qu
Page 17 and 18: Basado en Algol 60, Niklaus Wirth d
Page 20 and 21: LINUX USER Línea de Comandos: Orto
Page 22: LINUX USER Línea de Comandos: Orto
Page 25 and 26: COMUNIDAD · Anonymous Figura 1: Tw
Page 27 and 28: COMUNIDAD · Anonymous En diciembre
Page 29 and 30: CUSL VI Fase Final Fecha: 10 - 11 M

Número 82: Trucos SSH - Linux Magazine

Create successful ePaper yourself

Delete template?

Save as template?