1

T2

Seguridad Informática #6 Fernando Escamilla Hernández #14 Nancy Paredes Moreno #16 Jahel Pérez Gutiérrez #24 Arturo Serrano Valencia #27 Paul Torres Rivera #29 Sandro Iván Yllescas Lamas

7B E #2

INTRODUCCIÓN

En el internet existen infinidad de páginas web que brindan información, servicios,

entretenimiento, entre otras muchas opciones. Los servidores que almacenan todos los sitios de

internet, están expuestos a grandes amenazas, principalmente el robo de información o

denegación de servicio.

Generalmente las formas en las que “personas no autorizadas” tienen acceso es por ataques

informáticos o robo de contraseñas, por ende, toda persona que tenga un servidor sabe que

debe cuidar la forma en la que administras sus servidores. Para ello, genera conexiones cifradas,

instala un Firewall, entre otras medidas de seguridad.

Objetivo de la práctica

Generar una conexión segura mediante el protocolo SSH v2 e instalar ConfigSecurity & Firewall,

para compartir archivos, realizar un chat y configurar el Firewall para aumentar la seguridad

denegando o permitiendo puertos.

Requerimientos

● 3 equipos de cómputo, uno para funcionar como servidor y los otros 2 como clientes

● Un router para que se cree la conexión LAN

● El software de SSH y ConfigSecurity & Firewall, (que se mostrar cómo descargar en la

práctica).

● Acceso a internet para la descarga del software.

Contenido Protocolo SSH .............................................................................................................................................. 2

Acciones con SSH ....................................................................................................................................... 3

¿Cómo podemos hacer aún más segura nuestra conexión SSH? ................................................................ 4

ConfigServer & Firewall ................................................................................................................................ 5

Instalación del chat Netcat ............................................................................................................................ 6

2

Protocolo SSH

Instalar SSH en el equipo servidor

Revisamos la dirección IP que tiene el equipo Servidor

La dirección IP del servidor es: 192.168.1.67

Revisamos la dirección IP del Cliente

La dirección IP es: 192.168.1.69

Ahora realizamos un ping del servidor al cliente, para validar que haya comunicación

De servidor a cliente:

De cliente a servidor

Ahora nos conectamos al servidor con la siguiente instrucción

“ssh NombreDelServidor@IPdelServidor” y damos ENTER. A continuación nos pedirá la contraseña

del servidor, la ingresamos.

Ejemplo: “ssh paul@192.168.1.67”…. Contraseña

3

¡Perfecto! como podemos observar, la terminal de comandos ahora muestra que está en el

equipo remoto o servidor.

Acciones con SSH

Copiar archivos de local a servidor

Se utiliza el comando “scp rutaOrigen usuario@dominio:/rutaDestino” y nos solicitará la

contraseña.

Copiar archivos de servidor a local

Se utiliza el comando “scp usuario@dominio:/rutaOrigen rutaDestino” nos solicitara la contraseña,

la ingresamos.

4

¿Cómo podemos hacer aún más segura nuestra conexión SSH?

Como ya sabemos realizar una conexión SSH nos proporciona desde su creación una total

seguridad, sin embargo, esto no nos garantiza que no sea vulnerable hacia algún ataque. Por

ello es que podemos modificar las características de seguridad de la conexión SSH.

Para realizar estas modificaciones realice los siguientes pasos:

1. Localice el archivo “sshd_config”, generalmente se encuentra en /etc/ssh.

2. Lo abrimos con nuestro editor de textos preferido

3. ¿Qué podemos hacer?

a. Cambiar el puerto por defecto, generalmente cuando un hacker quiere atacar una

conexión SSH ataca el puerto 22, que es puerto por defecto que utiliza SSH. Al

realizar esta modificación en donde dice port podremos hacer un poco más segura

nuestra conexión.

b. Deshabilitar el acceso root, cuando realizamos la conexión al servidor impedir la

conexión con privilegios, esto hará que nuestra conexión se tenga que iniciar

mediante un usuario ya establecido. Una vez ingresando con un usuario podremos

tener acceso root mediante el comando sudo. Para impedir el acceso root,

modificamos el campo que dice PermitRootLogin.

c. Deshabilitar la versión 1 del protocolo SSH, modificaremos la variable Protocol.

“Protocol 2”

d. Limitar el número de intentos, se refiere a cuántas veces nos podemos equivocar al

momento de poner el usuario o la contraseña, mediante la variable MaxAuthTries.

e. Limitar el número de pantallas simultáneas, con la variable MaxStartups 2.

f. Limitar el tiempo que estará disponible la sesión, modificando la variable

LoginGraceTime 20, la duración sería de 20 segundos.

g. Limitar los usuarios de acceso, direcciones o redes desde las cuales se puede

establecer una conexión. Con la variable AllowUser paul@192.168.1.67.

5

ConfigServer & Firewall

Es de suma importancia al momento de tener un servidor o al administrar un hosting, tener todas

las medidas de seguridad para que nuestro servicio siempre esté en funcionamiento.

Instalación de CSF

1. Descargamos ConfigServer & Firewall

a. Comando: “wget http://www.configserver.com/free/csf.tgz”

b.

2. Descomprimimos el archivo

a. Comando: “tar -xzf csf.tgz”

b. 3. Instalamos el archivo

a. Entramos a la carpeta que contiene el archivo instalador “cd csf”

b. c. Instalamos el archivo con el comando “sh install.sh”. Debemos ser super usuarios

para ejecutar este comando.

d.

4. Hay que validar que los módulos de iptables requeridos, estén disponibles.

a. Comando: “perl /usr/local/csf/bin/csftest.pl”. Debe ejecutarse como super usuario.

6

5. Configuración básica

a. Para iniciar con las configuraciones básicas, editará el archivo “csf.conf”. Este

archivo se encuentra en la ruta /etc/csf. Comando “nano /etc/csf/csf.conf”.

b. Los cambios se realizarán cuando se reinicie el servicio, con el comando: “csf -r”.

Ya tenemos nuestro servidor con una conexión SSH y con un Firewall, el hecho de tener instalado

un Firewall no significa que ya estemos 100% seguros, el siguiente paso es configurar nuestro

Firewall acorde a nuestras necesidades. Lo que veremos en esta práctica es como denegar o

permitir puertos de comunicación TCP/UDP para inhabilitar el funcionamiento de un chat.

Instalación del chat Netcat

Se procede a instalar desde la terminal.

Una vez instalado realice la siguiente configuración

Esta instalación se debe hacer en ambos equipos (cliente, servidor).

Primero necesita saber que dirección IP tiene el equipo servidor con el comando “ifconfig”.

Debemos de editar el archivo de configuración del firewall para que permita la comunicación por el puerto

2121. Para ello entramos a la ubicación del archivo de configuración de csf, es necesario que seamos

super usuarios.

7

Abrimos el archivo de configuración con el comando nano.

Presionamos las teclas CTRL+W para buscar y escribimos TCP_IN

En esa lista de puertos agregamos el puerto 2121, esto nos permitirá establecer la comunicación por ese

puerto. Ahora presionamos las teclas CTRL+O y ENTER para guardar los cambios, ahora CTRL+X para

salir del editor.

8

Para que los cambios se ejecuten por el firewall, es necesario reiniciar el servicio con el comando “csf -r-”

Una vez hecho este proceso, podremos hacer el chat con net cat

A continuación abra la terminal en el equipo servidor, escriba el siguiente comando “nc -l -p 2121”,

presione la tecla ENTER.

Servidor

Como se ve en la imagen, la terminal queda a la escucha de una comunicación en el puerto 2121.

Ahora en el equipo cliente, abra la terminal y escriba el comando para establecer una comunicación, “nc

ipServidor puerto” ejemplo nc 192.168.43.63 2121

Cliente

Comando para iniciar la conexión con el servidor.

Cliente

Servidor

Cliente

Servidor

Hemos establecido una comunicación instantánea con otro equipo de manera local.

Ahora si el archivo de configuración del Firewall no tuviera el puerto 2121 habilitado la conexión no re

realizaría, se podrían escribir los mensajes pero no llegarían. Al momento de intentar realizar la conexión

no vería ningún mensaje de error, únicamente la conexión no se haría y la pantalla se quedaría estática.

Es posible conectarnos con infinidad de puertos, sin embargo es necesario darlos de alta en el Firewall

para que sea posible la conexión.

Los puertos que agregamos en el archivo de configuración son los únicos puertos que es estarán abiertos,

todo puerto que no esté declarado ahí, estará cerrado.