ADMINISTRACIN DE RED CON LINUX

Laboratorio N 3B
CRIPTOGRAFIA

Tecsup

Administracin de Red con Linux

CRIPTOGRAFIA
OBJETIVOS
Evaluar el riesgo de las claves.
Implementar autentificacin usando llaves.
EQUIPOS
1 Computadora
PROCEDIMIENTO
PARTE 1 EXPOSICION DE LOS SERVICIOS
Los diversos servicios ofrecidos a Internet estn
pudiendo accederse desde cualquier lugar, en
muchos casos el ingreso est condicionado a
un Login y Password. Como los Servicios
de Correos, acceso a Web, acceso remoto.
Plantearemos el caso del Servicio SSH como
patrn.

expuestos,

22

ACCESO A LOS SERVICIOS

1. (EP) Ingreso al SSH:

Conectese con el CLIENTE (PUTTY) al Servicio SSH:

SSH

Intentare un
Password..
(tecsup),no ingresa
intentare con otro
password (1234)

22

Nota:

Como

observa

es
cuestin
de
tiempo
para
que
siga
y pueda dar la clave. En Internet existen

intentando el ESPIA
programas maliciosos

(robots) que estn buscando servicios como

el SSH permanentemente y reintentando diferentes combinaciones de
claves. Es cuestin de tiempoooooo.
Link: http://www.itwire.com/content/view/13841/53/

VISUALIZANDO EVENTOS
2. (PL) Monitoreo:
# tail f /var/log/secure
Estn
tratando de
ingresar ...

Tecsup

Administracin de Red con Linux

PARTE 2

RECOMENDACIN 1: LIMITAR EL LOGIN A

(root)

Debido al riesgo del ingreso con la cuenta de (root) se recomienda

impedir el ingreso con esta cuenta. La mayora de los Servicios tiene
Seguir, esta
opciones de configuracin para limitar el ingreso como (root).
recomendacin
Tomaremos como referencia al Servicio SSH.
...
CONFIGURANDO
3. (PL) Personalizando:

Bloqueando Login de root:

sshd_config

Ubique la variable
retire el comentario
e indicar la opcin
(no).

Activando los cambios:

# service

sshd

restart

PRUEBA
4. (I1) Conectndose al SSH :
Comprobado, no
me acepta la clave:
papaya.

Probando con la cuenta (root):

Ingresando con otra cuenta (benito):

Password: gato1

Ingresando como (root)

Password: papaya

Nota: De esta forma se evitara ingresar directamente como

(root) disminuyendo el riesgo, pero ahora el ESPIA podra
intentar probar con cuentas de Login.

Tecsup

Administracin de Red con Linux

PARTE 3 RECOMENDACIN 2: USAR LLAVES PBLICAS/PRIVADAS

Debido a que el acceso de los Servicios es va autentificacin de un
LOGIN y PASSWORD. Siendo estos dos factores la identificacin y no
teniendo la certeza si el que se est conectando es realmente la
persona autorizada. Es necesario elevar el nivel de autentificacin.
El uso de Criptografa (Algoritmo) ASIMETRICO es recomendada para
garantizar la autentificacin.

Seguir,
tambin esta
recomendacin
...

Link: http://es.wikipedia.org/wiki/Criptograf%C3%ADa_asim%C3%A9trica
CUENTA DE USUARIO
5. (PL) Genere la siguiente cuenta de usuario, tal como se muestra:
Cuenta que usaremos mas adelante
para Logearse con LLAVES

PRUEBA
6. (I1) Conectndose al SSH por PUTTY:

Ya ingrese, desde esta

consola realizaremos la
generacin de las llaves.

Probando con la cuenta (cucho):

Al logearse como (cucho)

se encuentra ubicado por
defecto en esta ubicacin

Nota: No cierre esta consola, desde esta consola realizaremos los

pasos de LLAVES ASIMETRICAS

LLAVES ASIMETRICAS
7. (I1) Procesos :
GENERAR DIRECTORIO
El directorio .ssh del USER se alojara las
llaves y unicamente la cuenta del USER
tendra los permisos respectivos:
$ mkdir

.ssh

$ chmod f R

700

.ssh

$ ls la

Tecsup

Administracin de Red con Linux

GENERANDO LAS LLAVES (PUBLICA/PRIVADA)

Ingresar al directorio .ssh:
$ cd

.ssh

Generar las llaves asimetricas:

Tipo de algoritmo
asimtrico. El (rsa) es
recomendado por su
confiabilidad

Tamao de la llave
en bits

$ ssh-keygen b

1024

Directorio para guardar la llave, aceptar el

directorio por defecto
* <Enter>

rsa

Confirma la frase:

elperuavanza

Frase para encriptar los archivos de

las llaves que se estn generando
Ingrese la frase:

elperuavanza

Indica la generacin de la
llave pblica (id_rsa.pub)

Indica la generacin de la
llave privada (id_rsa)

Visualizando:
$ ls -la

Los archivos deben de tener permiso 600:

$ chmod 600

id_rsa.pub

$ ls -la

COPIANDO LLAVE PUBLICA

En el archivo (authorized_keys) el programa SSH almacena las llaves
Publicas. En este archivo debera de copiar el contenido del archivo de la
llave publica (id_rsa.pub):
Inicialmente el archivo (authorized_keys) no
existe, al copiar se genera tambin el
archivo

$ cp

id_rsa.pub

$ chmod 600
$ cat

authorized_keys

authorized_keys

authorized_keys

Tecsup

Administracin de Red con Linux

TRANSFIRIENDO LA LLAVE PRIVADA

8. (I1) Procesos :
VISUALIZANDO
Visualize el contenido del archivo (id_rsa):
$ cat

id_rsa

Esta llave ser usada como

reemplazo al password

Muy Difcil de
que alguien lo
averige...

COPIANDO
Genere el directorio LLAVE en el disco de

I1:

Existe diversos metodos para transmitir el archivo como FTP SEGURO o via
USB. Pero usaremos la propiedad de copiado del PUTTY:

Menu Edicin > Pegar

4

En este Directorio
guardaremos la
llave privada.. a
obtener.

Acceder al
men
*Clic Derecho

Cargue el NOTEPAD

Retire todas las lneas

innecesarias. El archivo
debe quedar nicamente
con el contenido de la llave
privada

Ubicarse en directorio (llave)

2
6
Opcin que
copiara a
memoria todo
lo digitado en
la consola de
Putty

Ya tengo la
llave privada en
mi PC...

Nombre del archivo: id_rsa

8
9
7

Tecsup

Administracin de Red con Linux

PARTE 4 DESHABILITAR ACCESO VIA PASSWORD

En SERVICIOS de alto riesgo es recomendable la desactivacin de la
autentificacin con PASSWORD y usar los mtodos de llaves (algoritmos
asimtricos). Desactivaremos el ingreso con PASSWORD del SSH
CONFIGURANDO
9. (PL) Personalizando:

Deshabilitando el ingreso con PASSWORD ubique las variables:

Habilitando autenticacin de
algoritmo RSA

sshd_config

Habilitando autenticacin
con llaves publicas

Ubicacin del Archivo de

las llaves publicas

Desactivando la
autenticacin con
Password

Activando los cambios:

# service

sshd

restart

PRUEBA
10. (I1) Conectndose al SSH :

Cierre la consola PUTTY

Conectese nuevamente con la cuenta (cucho) al SSH:
1

Comprobado, no acepta
la autenticacin con
password.

Tecsup

Administracin de Red con Linux

PARTE 5 USANDO LLAVES CON PUTTY

Los Clientes de SSH como caractersticas tienen la propiedad de
configurar la opcin del uso de llaves. El uso de las llaves implica
que el cliente debe de soportar algoritmos asimtricos. PUTTY soporta
los algoritmos RSA. PUTTY puede generar las llaves RSA usando el
programa PUTTYGEN. Tambin el programa PUTTYGEN se usa para adecuar al
formato de PUTTY la llaves transferidas de otros Sistemas (Este es
nuestro caso).
PAQUETE
11. (I1) Nombre del paquete:
puttygen

Info: www.chiark.greenend.org.uk/~sgtatham/putty/download.html

encuentra
carpeta SOFT

Nota: El Software se
virtual Windows,

en el escritorio de la maquina

INSTALACION

(I1) El software cliente (puttygen) no requiere un proceso de

instalacion. El archivo (puttygen) es un programa ejecutable.

ADECUANDO FORMATO DE LLAVE

12. (I1) Procesos:
* Doble
Clic
Ubquese en el directorio (llave)

CARGANDO LLAVE

Seleccionado el archivo de la llave

privada

Indique la frase con que fue

encriptado la informacin de la llave
5

elperuavanza
3

Informando que la llave ha sido

importado correctamente

Tecsup

Administracin de Red con Linux

Ventana que muestra la informacin de la llave privada.

No cambie ni edite ningn valor

Llave publica del Servidor
obtenida de la llave privada

Identificador del SERVER

Esta oculta, la frase: peruavanza

Salvando la llave Privada
al formato de PUTTY

Tipo de llave que fue

generado: RSA

Cantidad de Bits
de la llave

Guardando con el nombre de (id_rsa), al

guardarse se podr automticamente la
extensin .ppk

10

11

CONFIGURANDO PERFIL DE PUTTY DEL SSH

13. (I1) Personalizando:

2
Indicar el archivo de la llave con
formato putty (id_rsa.ppk)

Seccin para personalizar

la autentificacin

Tecsup

Administracin de Red con Linux

AUTENTIFICANDOSE CON LLAVE

14. (I1) Ingresando:
Ingrese la frase con que fue
encriptado la llave

elperuavanza

Password: papaya
Ahora cambie a (root)

Ahora si est bien, bien, bien ..

seguro el acceso. La nica forma
de ingresar es con la llave
privada .

Revisare estos Links

para seguir aprendiendo,
tengo que estar preparado
para los intrusos...

Info:
http://en.wikipedia.org/wiki/Secure_Shell
http://winscp.net/eng/docs/ssh
http://www.rfc-zone.org/rfc1244.html

TECSUP
GD