INSTITUTO TECNOLGICO SUPERIOR DE

COATZACOALCOS
Unidad 2:

Seguridad informtica

26 de septiembre del 2016

SSH/OpenSSH
SSH es un protocolo de comunicacin que se sienta al menos Capa 7 (Aplicacin) del
Modelo OSI, y que provee una interface segura para acceder al intrprete de comandos
(shell de UNIX) de una mquina en forma remota. En estricto rigor SSH cubre las capas
57 del OSI, porque provee la interface de conexin de la aplicacin (capa 7), un
procedimiento para (de)encriptacin y transferencia (capa 6) y gestin de autenticacin de
sesin con/sin encriptacin por canales especiales (capa 5).
Esto significa que con SSH es posible loguear a una mquina remota que usa Linux y operar
con ella como si estuviramos fsicamente sentados frente a ella, en cuanto a lo que a lneas
de comandos respecta. O sea, mientras no hagamos sudo ifdow eth0 o cualquier cosa que
desconecte la red, la terminal es nuestra.
Bajo distribuciones de Linux, para obtener SSH se instala el paquete OpenSSH, bajo el
nombre usual de ssh-client. Esto permite conectarse a otras mquinas. Para instalar el
servidor, que permite conectarse a la mquina local desde otros puntos de red, se instala
el paquete del servidor llamado ssh-server en distribuciones RedHat como Fedora,
o openssh-server en distribuciones como (X/K/Edu)Ubuntu.

Ejemplo
Para conectarse a una mquina remota el protocolo SSH hace uso del puerto 22, y provee
de aplicaciones que permiten ejecutar transacciones SSH a la mquina remota:

ssh (a secas), es el cliente que realiza la conexin al intrprete de comandos

remoto.
scp es un cliente similar a cp para copiar archivos.
ssh-agent es un agente que almacena claves y logins de SSH para facilitar el uso
repetido de stas.
ssh-keygen permite generar Llaves de Autenticacin.
Por ejemplo:
Acceder a nuestra terminal de usuario en la mquina remota remoto.cl:

[yo@mipc ~]> ssh usuario@remoto.cl

remoto.cl - usuarios password: _
Welcome.
1

INSTITUTO TECNOLGICO SUPERIOR DE

COATZACOALCOS
Unidad 2:

Seguridad informtica

26 de septiembre del 2016

[usuario@remoto.cl ~]>
scp (secure cp) es el cliente para copiar archivos a la mquina remota.
Por ejemplo:

Copiar un himno nacional a mi cuenta en la mquina remota remoto.cl:

[yo@mipc ~]> scp /media/cdrom/La_Marseillaise.ogg

usuario@remoto.cl:mimusica/himnos
usuarios password:
Copying [===========35%

] 01:20

1646 KiB

[yo@mipc ~]>

Opciones
Algunas opciones interesantes de ssh:
Tnel

Opcin
Tnel
dinmico

Argumento

Descripcin

ssh -Dnnnn Crear un puente SOCKS por el puerto nnnn

local

Puerto local en el cual abrir la conexin.

target:port

Mquina y puerto remotos a los cuales conectar, resueltos desde el

host SSH.

Establece una conexin a nuestro destino utilizando un puente el cual es la

mquina target en la cual tenemos acceso a una cuenta. Con esto se puede tunelear la
conexin, es decir pasar la responsabilidad al target para que derive las conexiones SSH
que hacemos hacia ella. De este modo se puede por ejemplo, acceder a la red interna de
la cual target es un gateway, o derivar trfico de un servicio TCP como mensajera
instantnea o navegacin web usando una mquina target cuyo trfico no est bloqueado.

INSTITUTO TECNOLGICO SUPERIOR DE

COATZACOALCOS
Unidad 2:

Seguridad informtica

26 de septiembre del 2016

La utilidad de un tnel es variada, permitiendo cosas como por ejemplo redirigir

seguramente un servicio crtico entre dos firewalls. Es tambin una manera de saltar las
restricciones de cortafuegos en instituciones antilibertarias.
Hay que tomar en cuenta que el destino del puente (target:port) se resuelve desde el host
al que nos estamos conectando, por tanto los nombres e IPs se resuelven desde su red, no
desde la nuestra. Por ejemplo, el siguiente comando:
ssh -L 9990:192.168.20.131:5906 myremoteuser@192.168.5.80
Abre una conexin desde nuestro puerto local 9990 a la mquina con IP 192.168.20.131,
pero no a la que responde a nosotros con esa IP, sino a la que responde al
servidor 192.168.5.80. Por tanto si estamos en una red distinta a la del servidor SSH,
estamos abriendo puertos a las mquinas de su red, no de la nuestra. De esta forma es
posible conectar por SSH a servicios de red que estn localizados detrs de un router o en
una intranet (provisto, claro, que tengamos acceso al router o a una IP publica).

Ejemplo de tnel
SOCKS

Opcin
Tnel
dinmico
nnnn

Argumento
ssh -Dnnnn

Descripcin
Crear un puente SOCKS por el puerto nnnn

Un puerto remoto desocupado en la

mquina local.

Al cambiar el tipo de conexin a un puente SOCKS (usando -Dnnnn), es posible conectar

directamente a esa mquina remota y usarla como proxy en cualquier aplicacin que sopore
SOCKS, por ejemplo Firefox. Este tipo de proxy tiene la ventaja que no es necesario que la
aplicacin que usa el proxy sepa que est siendo tunelizada.
Por ejemplo, si hacemos:
ssh -D4321 miusuario@remoto.cl
Y luego procedemos a configurar Firefox como sigue:

INSTITUTO TECNOLGICO SUPERIOR DE

COATZACOALCOS
Unidad 2:

Seguridad informtica

26 de septiembre del 2016

Configurando Firefox con un proxy SOCKS

(clic para ver con ms detalle)
Podremos conectarnos a Internet como si estuviramos fsicamente conectados
a remoto.cl.
Llaves de Autenticacin
Opcin
Autenticar

Argumento
ssh illave_priv

Descripcin
Antenticar usando una llave privada (RSA/DSA) en vez de
un par usuario-contrasea

Con ssh -i podemos utilizar nuestras propias claves de autenticacin o identificadores en la

forma de archivos de texto que contienen una clave pblica (o privada) RDA/DSA. Estos
archivos son en realidad pares de claves privada/pblica en sistema RSA o DSA.
Simplemente nos quedamos nosotros con la llave privada, y otorgamos acceso a la clave
pblica a la mquina a la cual nos queremos conectar, almacenando la llave pblica
bajo/home/usuario/.ssh/. Cuando tratemos de conectarnos con SSH usando la cuenta de
usuario usuario, el sistema remoto nos lanzar un desafo en la forma de un mensaje
encriptado con la clave pblica que le hemos provisto. Como nosotros y slo
nosotros tenemos la clave privada, nuestro cliente SSH puede desencriptar el mensaje y
responder al desafo remoto, demostrando que somos quien decimos ser para que el
servidor remoto nos autorice el acceso.

INSTITUTO TECNOLGICO SUPERIOR DE

COATZACOALCOS
Unidad 2:

Seguridad informtica

26 de septiembre del 2016

Llave USB
Este mtodo de autenticacin por medio de un desafo de un sistema pblico es el mtodo
para el cual los pendrives, originalmente llamados usb keys (llaves USB) fueron inventados
originalmente.

Procedimiento para crear una llave SSH

Conexin Sin Login (Conexin por Comando)
Con el mtodo anterior es posible crear cuentas de usuario accesibles slo va SSH para
ejecutar tareas de red por este medio, por ejemplo: backup de directorios a un servidor
principal, sin necesidad de conectar a la mquina con una contrasea. De este modo es
posible usar este proceso en forma desatentida (automatizada).
Los pares de claves se crean con la utilidad especial ssh-keygen.
Tener cuidado al usar esta caracterstica si se otorga al login sin contrasea muchos
privilegios
Puente Reverso
sshfs (SSH FileSystem)
Ver ssh-remote-mount
Resumen de SSHFS
Capa 5 y 6 del Modelo OSI
Permite montar una carpeta de un host remoto como si fuera un sistema de
archivos estndar, pero usando SSH para la transmisin de datos.
"cloop" FS Layer
5

INSTITUTO TECNOLGICO SUPERIOR DE

COATZACOALCOS
Unidad 2:

Seguridad informtica

26 de septiembre del 2016

Resumen de cloop
Sistema de Archivos compress-loop
Capa 6 del Modelo OSI
Acceso a imgenes comprimidas con almacenamiento y descompresin en tiempo
real