El día 13 de junio de 2008 10:11, Sebastian Pescio <[EMAIL PROTECTED]> escribió: > Manuel, ese es un tema (el tuner en ssh). Según estuve averiguando se puede > bloquear en /etc/ssh/sshd.conf pero me lo bloquearía para todos y a mi me > sirve. > > Por eso tengo que definir eso o darle una VPN filtrando la interfaz TUN0 para > que solo puedan llegar al UNIX. > > Que opinas? > > > > --- El vie 13-jun-08, Manuel Soto <[EMAIL PROTECTED]> escribió: > >> De: Manuel Soto <[EMAIL PROTECTED]> >> Asunto: Re: Consulta: Acceso por VPN o SSH a secas >> A: [EMAIL PROTECTED], "Lista Debian-Espanol" >> <debian-user-spanish@lists.debian.org> >> Fecha: viernes, 13 junio, 2008, 11:00 am >> El día 13 de junio de 2008 8:38, Sebastian Pescio >> <[EMAIL PROTECTED]> escribió: >> > Manuel, es para mantención de un sistema de software >> remoto. >> > >> > Lo que dices es cierto de que una vez conectado puede >> hacer todo eso, pero mi idea era darle acceso por ssh a un >> equipo con linux y que desde ese equipo (con un usuario sin >> privilegios) solo puedan hacer telnet al equipo con unix. >> > >> > Que opinas? >> > >> > Salu2. >> > >> > >> > >> > --- El mié 11-jun-08, Manuel Soto >> <[EMAIL PROTECTED]> escribió: >> > >> >> De: Manuel Soto <[EMAIL PROTECTED]> >> >> Asunto: Re: Consulta: Acceso por VPN o SSH a secas >> >> A: [EMAIL PROTECTED] >> >> Cc: debian-user-spanish@lists.debian.org >> >> Fecha: miércoles, 11 junio, 2008, 2:51 pm >> >> El día 7 de junio de 2008 20:14, Sebastian Pescio >> >> <[EMAIL PROTECTED]> escribió: >> >> > Hola Compañeros. >> >> > >> >> > Les dejo esta consulta para ver que opinión >> les >> >> merece: >> >> > >> >> > Situación: >> >> > >> >> > Tengo que otorgarle acceso remoto a un >> Proveedor y >> >> estoy entre 2 soluciones: >> >> > >> >> > 1) OpenVPN. >> >> > 2) SSH a secas! >> >> > >> >> > De openVPN lo malo es que una vez conectado >> quedaría >> >> virtualmente "dentro" de mi red local, >> lo cual no >> >> me agrada en absoluto, lo bueno es que solo >> podrían >> >> conectarse quienes tengan los certificados. >> >> > >> >> > De SSH me gusta que una vez conectado al >> Server Linux >> >> (vía SSH) tendría un usuario sin privilegios y >> solo >> >> podría hacer TELNET (ya dentro de la red) contra >> un UNIX >> >> sobre el cual debe realizar mantenimientos. Lo >> malo es que >> >> cualquiera podría ponerse a realizar ataques >> contra mi >> >> Server SSH. >> >> > >> >> > Que opinan? Que les parece mejor y mas >> seguro? >> >> > >> >> > De mas está decir que este acceso se va a >> implementar >> >> en el marco de un contrato de confidencialidad, >> aunque >> >> cuando las papas queman... >> >> > >> >> > Gracias por sus opiniones. >> >> > >> >> > >> >> > >> >> > >> >> > >> >> >> ____________________________________________________________________________________ >> >> > Yahoo! Deportes Beta >> >> > ¡No te pierdas lo último sobre el torneo >> clausura >> >> 2008! Entérate aquí http://deportes.yahoo.com >> >> > >> >> > >> >> > -- >> >> > To UNSUBSCRIBE, email to >> >> [EMAIL PROTECTED] >> >> > with a subject of "unsubscribe". >> Trouble? >> >> Contact [EMAIL PROTECTED] >> >> > >> >> > >> >> >> >> El día 8 de junio de 2008 7:39, boube >> >> <[EMAIL PROTECTED]> escribió: >> >> - Mostrar texto citado - >> >> > 2008/6/7 Rhonny >> <[EMAIL PROTECTED]>: >> >> >> Buenas >> >> >> >> >> >> 2008/6/6 Sebastian Pescio >> >> <[EMAIL PROTECTED]>: >> >> >>> Hola Compañeros. >> >> > >> >> > Hola >> >> > >> >> >>> Les dejo esta consulta para ver que >> opinión >> >> les merece: >> >> >>> >> >> >>> Situación: >> >> >>> >> >> >>> Tengo que otorgarle acceso remoto a >> un >> >> Proveedor y estoy entre 2 soluciones: >> >> >>> >> >> >>> 1) OpenVPN. >> >> >>> 2) SSH a secas! >> >> >>> >> >> >>> De openVPN lo malo es que una vez >> conectado >> >> quedaría virtualmente "dentro" de mi >> red local, >> >> lo cual no me agrada en absoluto, lo bueno es que >> solo >> >> podrían conectarse quienes tengan los >> certificados. >> >> > >> >> > No sé si la VPN es la mejor opción, pero no >> tienes >> >> porque meterlo >> >> > "dentro" de la red local, puedes >> solo darle >> >> acceso a los host que te >> >> > interese. >> >> > >> >> >>> De SSH me gusta que una vez conectado >> al >> >> Server Linux (vía SSH) tendría un usuario sin >> privilegios >> >> y solo podría hacer TELNET (ya dentro de la red) >> contra un >> >> UNIX sobre el cual debe realizar mantenimientos. >> Lo malo es >> >> que cualquiera podría ponerse a realizar ataques >> contra mi >> >> Server SSH. >> >> >>> >> >> >>> Que opinan? Que les parece mejor y >> mas seguro? >> >> > >> >> > Un servidor ssh seguro (puerto distinto, >> permitir solo >> >> algunos >> >> > usuarios, . . . lo de siempre) y permitir >> solo >> >> conexiones de esa IP >> >> > usando una clave *con contraseña*. Además >> podrías >> >> crear un chroot sólo >> >> > con los comandos que necesita y limitar las >> conexiones >> >> a la máquina >> >> > que te interesa, para no darle acceso a la >> máquina >> >> entera y que no >> >> > pueda fozar libremente. La verdad, ahora >> mismo no se >> >> me ocurre algo >> >> > más paranoico ;) .Existe bastante info sobre >> todo >> >> esto, si te interesa >> >> > avisa y te paso unos links. >> >> > >> >> >>> >> >> >>> >> >> >>> >> >> >> >> >> >> Con SSH puedes usar certificados tambien, >> y si te >> >> parece, puedes >> >> >> olvidarte de las contrasenas, ya que >> estas son >> >> blanco de ataques de >> >> >> fuerza... >> >> > >> >> > Yo siempre lo solía hacer así, pero dejé >> de hacerlo >> >> por dos cosas: >> >> > >> >> > 1.- Si alguien se apropia de una máquina que >> tiene la >> >> clave estás jodido. >> >> > 2.- De esto no estoy muy seguro (si alguien >> lo sabe >> >> con certeza, >> >> > agradecería la correción ). Imagínate que >> se >> >> comentara por error un >> >> > par de líneas en el código de openssl y que >> eso >> >> afectase a la >> >> > entropía. Es muy fácil atacar a esas claves >> por >> >> fuerza bruta, sin >> >> > embargo si existe una contraseña , la cosa >> cambia. (o >> >> eso creo) >> >> > >> >> > Además es igual de cómodo, existen cosas >> como >> >> keychain [0] para que >> >> > no te pida la contraseña constatemente. >> >> > >> >> > >> >> >> Asi te olvidas de crear contrasenas >> dificiles que >> >> luego tu cliente o >> >> >> alguien podria olvidar o tenga que dejar >> anotada >> >> por ahi en un papel >> >> >> que es peor. >> >> >> >> >> >> Aca te dejo unos how to >> >> >> >> >> >> http://www.csua.berkeley.edu/~ranga/notes/ssh_nopass.html >> >> >> >> >> >> http://www.ymipollo.com/~ToRo/55093.conectarse-por-ssh-sin-password.html >> >> >> >> >> > >> >> > [0] http://www.gentoo.org/proj/en/keychain/ >> >> > >> >> > Saludos a todos! >> >> > >> >> > -- >> >> > >> >> >> ----------------------------------------------------------------- >> >> > Adrián Boubeta [EMAIL PROTECTED] >> >> > C.T.I. TEGNIX, S.L. www.tegnix.com >> >> > >> >> >> ----------------------------------------------------------------- >> >> > >> >> >> >> La primera pregunta que se me ocurre que no está >> del todo >> >> clara es >> >> >> >> - ¿Para que el acceso?, ¿Que va a hacer? >> >> >> >> Sea VPN o SSH eso te protege en el enlace pero. >> >> Independientemente de >> >> eso, si es un usuario local luego puede hacer lo >> que >> >> quiera, un >> >> telnet, ssh, nmap, o cualquier cosa desde el >> servidor y con >> >> el usuario que >> >> le asignes. Tendrías que limitar al usuario y por >> eso la >> >> pregunta de >> >> ¿que va a hacer?. >> >> >> >> >> >> ¿Has revisado si aplica una DMZ?, claro está, >> depende de >> >> las preguntas >> >> anteriores >> >> >> >> Saludos, >> >> Manuel >> > >> >> Lo que me preocupa es que utilizando SSH configure un tunel >> a otros >> puertos de otros equipos y tenga acceso entonces desde el >> equipo >> remoto a servicios que no debe, por eso es que este equipo >> en el que >> el se conecte debe estar bien aislado y bloqueado. >> >> >> En todo caso, que llegue a un equipo en la DMZ y que ese >> equipo esté >> tan aislado como puedas, por ejemplo, que sólo pueda hacer >> telnet al >> servidor que indicas. El problema en este caso es que le >> pueden pillar >> la clave cuando haga el telnet, esto dependerá de la >> seguridad de la >> DMZ y la LAN. >> >> Es importante también que no hagas uso de HUBs dado que >> ellos son >> repetidores. Los Switchs son mas bien bridged capa 2 por lo >> que es mas >> difícil capturar el tráfico del telnet. >> >> En este momento no recuerdo si puedes bloquear la creación >> de túneles >> del ssh por cada usuario individual. >> >> Saludos, >> MS > >
Yo creo que ssh sin redicción de puertos sobre una máquina de la dmz esta bien, al menos en términos de acceso a la máquina. Luego faltará el acceso que tiene con los servicios a los que estará teniendo acceso. Me explico, si llega a un Webserver tienes que limitar a las aplicaciones del web server, si accesa a la base de datos tienes que protegerla, y al final de todo, un acuerdo de confidencialidad que se firme entre las partes, requieres confianza y compromiso. Suerte
