SSH on Adrián Lois

Port Knocking: mejorar la seguridad en conexiones SSH

Wed, 10 Aug 2022 18:54:00 +0000

Port knocking o golpeteo de puertos es un método que proporciona seguridad frente a ataques de servicios de red, consiste en realizar una serie de peticiones de conexión con una secuencia ordenada de puertos para poder habilitar una regla previamente configurada en la máquina remota que nos permita abrir una comunicación única entre cliente/servidor y establecer finalmente una conexión abierta SSH hacia el servidor remoto.

El uso de esta implementación puede ser catalogado como seguridad por oscuridad.

2FA: segundo factor de autenticación en conexiones SSH

Wed, 22 Jun 2022 11:53:00 +0000

Implementar un segundo factor de autenticación 2FA en servicios SSH sin duda es una muy buena opción de seguridad no solo para servidores expuestos a internet sino para aquellos usuarios que pueden elevarse a un contexto privilegiado de sudo y servidores críticos en una red interna corporativa.

Con este mecanismo de autenticación en dos pasos se estaría reduciendo en gran medida la superficie de ataque de los vectores de entrada a estos sistemas por parte de un posible atacante.

Pivoting entre proxys encadenados con Proxychains

Mon, 29 Jun 2020 15:48:00 +0000

Proxychains es una herramienta que actúa como un servidor proxy soportando conexiones TCP en protocolos HTTP, HTTPS, SOCKS4 y SOCKS5. Su principal característica es el encadenamiento de servidores proxy configurados y como redirige estas peticiones de uno a otro.

En una fase de reconocimiento y enumeración hacia un sitio web, dependiendo el caso, intentamos mantener un cierto grado de anonimato ocultando nuestra dirección IP pública. Para ello usamos servidores Proxy o VPN siendo estas más fiables, prácticas y con un mayor nivel de garantía.

Hydra, Medusa y Ncrack: password cracking por fuerza bruta y password spraying

Tue, 23 Jun 2020 16:22:00 +0000

THC-Hydra, Medusa y Ncrack son herramientas para realizar ataques de fuerza bruta a servicios activos cliente/servidor como: ssh, ftp, rdp, smb, mysql, telnet, http, imap, vnc, etc.

Para mostrar el uso de estas herramientas usaré el siguiente escenario de ejemplos. Escaneando con nmap los equipos remotos y puertos empleados para cada tipo de servicio.

nmap -p 21 10.0.0.16      # Windows 7 servicio FTP
nmap -p 3389 10.0.0.16    # Windows 7 servicio RDP
nmap -p 445 10.0.0.16     # Windows 7 servicio SMB/CIFS
nmap -p 22 10.0.0.40      # Linux servicio SSH

sshuttle: Múltiples túneles SSH y VPN (Proxy transparente)

Thu, 02 Apr 2020 07:30:00 +0000

sshuttle. Se trata de un cliente SSH desarrollado en python que actúa como un proxy transparente funcionando como una VPN. No se trata de una VPN como definición, sshuttle crea de forma automática distintas reglas usando pfctl (pf - Packet Filter) o en su defecto iptables para un múltiple reenvío de puertos a través de una conexión tunelizada vía SSH.

Ya comenté las diferencias entre los distintos tipos de túneles SSH. Esta aplicación nos abstrae de los detalles de realizar manualmente cada reenvío -port forwarding- a cada IP/Puerto hacia la red remota a la que queremos acceder.

fail2ban: control de ataques de fuerza bruta en servicios Linux

Wed, 17 Jul 2019 17:22:00 +0000

fail2ban es una aplicación IDPS (Intrusion Detection and Prevention Systems) que supervisa las conexiones externas de direcciones IPs a servicios internos, se puede parametrizar para bloquear los intentos de accesos externos por fuerza bruta. En base al cumplimiento de las directivas definidas y asociadas a determinados servicios.

fail2ban detecta conexiones que puedan ser anómalas y bloquea la IP pública que intenta acceder a dichos servicios por lo que sería un sistema activo (analiza, detecta y actúa al momento), lo hace añadiendo reglas iptables rechazando las conexiones procedentes de esa dirección IP pública.

Plink SSH: auto-aceptar hostkey al crear túnel local port forwarding

Sat, 16 Feb 2019 20:30:00 +0000

Hostkey o fingerprint SSH

Cuando nos conectamos a través de un cliente SSH como PuTTY, por primera vez en una conexión se nos mostrará una alerta de seguridad indicando que el host key no está cacheado en el registro, no es más que la huella digital o fingerprint de la máquina remota a la que nos conectamos usado como método de confianza para garantizar la autenticidad de la máquina remota.

Esta host key al no estar registrada o cacheada por la máquina cliente que establece la conexión por primera vez, nos alerta de que no hay garantía de que el servidor remoto sea quien creemos que es.

Resetear password SSO Administrator@vsphere.local en vCenter (VCSA)

Mon, 11 Feb 2019 20:30:00 +0000

Para resetear la password SSO del usuario “Administrator@vsphere.local” de vCenter. Accedemos a la gestión del VCSA (vCenter Server Appliance) por el puerto 5480 con el usuario root y password.

https://IP-vCenter_o_hostname:5480

Una vez en el appliance de vCenter, en la sección de Acceso marcamos:

Habilitar inicio de sesión en SSH.
Habilitar el shell Bash.

Figura 1: Habilitar el acceso SSH y Shell Bash para VCSA.

Túnel SSH Port Forwarding: Local, Remote y Dynamic [Explicado]

Wed, 30 Jan 2019 20:30:00 +0000

¿Qué es SSH? Link to heading

SSH (Secure Shell) es un protocolo de comunicaciones seguras entre dos sistemas usando una arquitectura cliente/servidor que permite a los usuarios conectarse a un host remotamente para su posterior administración.

A diferencia de otros protocolos de comunicación remota como FTP o Telnet (Telecommunication Network), SSH cifra la sesión de conexión y la comunicación ofreciendo también una infraestructura de autenticación PKI (Public Key Infrastructure) para la conexión con el host remoto.

Montar FTP/FTPS remoto en Linux con CurlFtpFS y SSHFS

Fri, 16 Nov 2018 21:22:00 +0000

Para montar una carpeta de un directorio FTP o FTPS remoto en un sistema Linux y acceder a ella de forma local como un volumen más del sistema. Se puede usar CurlFtpFS o SSHFS.

CurlFtpFS Link to heading

CurlFtpFS lo usaremos si no disponemos de conexión SSH hacia el servidor FTP remoto (la transferencia de datos es más lenta).

Instalamos curlftpfs.

sudo apt install curlftpfs

Creamos el directorio en el que montaremos el FTP/FTPS.

Túnel SSH con PuTTY para RDP (local port forwarding)

Wed, 01 Aug 2018 19:57:00 +0000

Un túnel SSH se utiliza principalmente para tunelizar tráfico sobre internet o sobre una red local de una manera segura. Podemos encapsular un tipo de protocolo sobre una conexión establecida SSH (Secure SHell).

Supongamos que nos queremos conectar a un servidor interno de una red local a través de Internet, pero el firewall de la compañía restringe las conexiones origen dirigidas a determinados puertos, entre ellos el 3389 (puerto por defecto usado para RDP), sin embargo si permite conexiones al puerto 22 (puerto por defecto para SSH).