Seguridad on El blog de Ignacio https://www.igalvan.es/tags/seguridad/ Recent content in Seguridad on El blog de Ignacio Hugo -- gohugo.io es Ignacio Galván Vitas Sun, 01 Aug 2021 21:04:00 +0100https://www.igalvan.es/logo.svg Proteger SSH mediante Port Knocking https://www.igalvan.es/posts/proteger-ssh-mediante-port-knocking/ Sun, 01 Aug 2021 21:04:00 +0100 https://www.igalvan.es/posts/proteger-ssh-mediante-port-knocking/ Hoy vamos a ver cómo ocultar un servicio que tengamos publicado en Internet aprovechándonos de una técnica conocida como Port Knocking. En nuestro caso lo haremos con el servicio SSH.

Máquina servidor

Lo primero es instalar el paquete de EPEL para posteriormente instalar el paquete knock-server. También es necesario instalar libpcap.

[root@knockd ~]# yum install libpcap

[...]

[root@knockd ~]# yum install epel-release

[...]

[root@knockd ~]# yum install knock-server

[...]

El siguiente paso es eliminar de nftables la regla que permite las conexiones SSH remotas mediante el siguiente comando. Ten en cuenta que en mi instalación se usa la zona por defecto llamada public.

[root@knockd ~]# firewall-cmd --zone=public --remove-service=ssh --permanent
success
[root@knockd ~]# firewall-cmd --reload

El siguiente paso es modificar el fichero /etc/knockd.conf y dejarlo con el siguiente contenido. Por favor, cambiad los puertos a otra secuencia. 😜

[options]
        UseSyslog

[opencloseSSH]
        sequence      = 51234:udp,55678:tcp,59124:udp
        seq_timeout   = 15
        tcpflags      = syn,ack
        start_command = /bin/firewall-cmd --zone=public --add-rich-rule "rule family="ipv4" source address="%IP%" service name="ssh" accept"
        cmd_timeout   = 10
        stop_command  = /bin/firewall-cmd --zone=public --remove-rich-rule "rule family="ipv4" source address="%IP%" service name="ssh" accept"

El último paso es habilitar e iniciar el servicio knockd.

sudo systemctl enable knockd && sudo systemctl start knockd

Máquina cliente

En la máquina cliente desde la que vamos a acceder por SSH es necesario instalar el cliente de knock. Al igual que en el servidor es necesario disponer del repositorio EPEL.

yum install epel-release

[...]

yum install knock

[...]

Vamos a una un primer intento de conexión mediante SSH para que veamos que no es posible conectar.

[ignacio@knock-client ~]$ ssh root@192.168.122.186
ssh: connect to host 192.168.122.186 port 22: No route to host
[ignacio@knock-client ~]$

Ahora vamos a usar el cliente de knock que hemos instalado para hacer la “llamada” y que se abra la puerta.

[root@knock-client ~]# knock -v -d 1 192.168.122.186 51234:udp 55678:tcp 59124:udp
hitting udp 192.168.122.186:51234
hitting tcp 192.168.122.186:55678
hitting udp 192.168.122.186:59124
[root@knock-client ~]# ssh root@192.168.122.186
root@192.168.122.186's password:  
Last failed login: Sun Aug  1 20:51:14 WEST 2021 from knock-client on ssh:notty
Last login: Sun Aug  1 20:25:03 2021 from knock-client
[root@knockd ~]#

En el fichero messages del servidor podemos ver lo siguiente:

Aug  1 20:51:26 knock-client knockd: 192.168.122.136: opencloseSSH: Stage 1
Aug  1 20:51:26 knock-client knockd: 192.168.122.136: opencloseSSH: Stage 2
Aug  1 20:51:26 knock-client knockd: 192.168.122.136: opencloseSSH: Stage 3
Aug  1 20:51:26 knock-client knockd: 192.168.122.136: opencloseSSH: OPEN SESAME
Aug  1 20:51:26 knock-client knockd: opencloseSSH: running command: /bin/firewall-cmd --zone=public --add-rich-rule "rule family="ipv4" source address="192.168.122.136" service name="ssh" accept"
Aug  1 20:51:31 knock-client systemd-logind: New session 4 of user root.
Aug  1 20:51:31 knock-client systemd: Started Session 4 of user root.
Aug  1 20:51:37 knock-client knockd: 192.168.122.136: opencloseSSH: command timeout
Aug  1 20:51:37 knock-client knockd: opencloseSSH: running command: /bin/firewall-cmd --zone=public --remove-rich-rule "rule family="ipv4" source address="192.168.122.136" service name="ssh" accept"
]]> 73000 cámaras IP con la configuración de seguridad por defecto https://www.igalvan.es/posts/73000-camaras-ip-con-la-configuracion/ Fri, 07 Nov 2014 22:53:00 +0000 https://www.igalvan.es/posts/73000-camaras-ip-con-la-configuracion/ A veces nos volvemos paranoicos con nuestra #privacidad como está sucediendo el caso de la doble verificación de #WhatsApp y otras veces nos olvidamos de ella, tanto que compramos un cacharro como una #cámara #IP que abre las puertas de nuestra casa al mundo y dejamos la configuración de #seguridad por defecto.


Si no te lo crees, en esta página web encontrarás más de 73000 cámaras abiertas al mundo con las credenciales por defecto del fabricante.


http://insecam.com/

]]> Tu coche hablará con mi coche y será el mayor paso en seguridad en años https://www.igalvan.es/posts/tu-coche-hablara-con-mi-coche-y-sera-el/ Tue, 14 Oct 2014 13:02:00 +0100 https://www.igalvan.es/posts/tu-coche-hablara-con-mi-coche-y-sera-el/ Link: Tu coche hablará con mi coche y será el mayor paso en seguridad en años

Te explicamos que son los sistemas Vehicle To Vehicle o Car To Car, cómo funcionan y qué ventajas de seguridad aportan a la conducción de…

]]> Windows 8 protección de contenidos para niños https://www.igalvan.es/posts/youtube-httpwww/ Sun, 21 Apr 2013 11:43:00 +0100 https://www.igalvan.es/posts/youtube-httpwww/ [youtube http://www.youtube.com/watch?v=yKutCok_vaQ?wmode=transparent&autohide=1&egm=0&hd=1&iv_load_policy=3&modestbranding=1&rel=0&showinfo=0&showsearch=0&w=500&h=375]

Este video tutorial será útil para todos aquellos que tengáis hijos y les permutáis usar un ordenador con Windows 8 instalado.

(Source: http://www.youtube.com/)

]]> ONO y la no seguridad de sus redes https://www.igalvan.es/posts/ono-y-la-no-seguridad-de-sus-redes/ Sun, 14 Oct 2012 10:25:00 +0100 https://www.igalvan.es/posts/ono-y-la-no-seguridad-de-sus-redes/ Este problema es recurrente desde hace ya mucho tiempo, no entiendo como a estas alturas no lo han solucionado.

Enlace al artículo: http://feedproxy.google.com/~r/ElLadoDelMal/~3/SpmRu3HTaGM/ono-la-insegura-estructura-de-la-red-de.html

]]> El mejor espía de China, es .... ¡Apple! https://www.igalvan.es/posts/el-mejor-espia-de-china-es-apple/ Thu, 11 Oct 2012 07:11:00 +0100 https://www.igalvan.es/posts/el-mejor-espia-de-china-es-apple/ El uso de satélites comerciales realizar los mapas de las aplicaciones de Google, Nokia y ahora la propia Apple está poniendo de manifiesto que suponen un grave peligro para aquellas naciones que quieren guardar en secreto sus instalaciones militares. Se trata de un nuevo riesgo que hasta ahora no han sabido afrontar de una forma eficiente. La pregunta es, ¿deberían los gobiernos llegar a algún acuerdo para que este tipo de instalaciones sean ocultadas antes de publicar estas aplicaciones o por el contrario debe primar el derecho a la información frente a la Seguridad Nacional?

Enlace al artículo (en inglés) http://news.cnet.com/8301-17938_105-57528736-1/apple-maps-outs-secret-military-site-irks-taiwan/


]]> Crear un certificado wildcard para un dominio desde una entidad certificadora Windows Server https://www.igalvan.es/posts/crear-un-certificado-wildcard-para-un_1442/ Sun, 09 May 2010 12:33:00 +0100 https://www.igalvan.es/posts/crear-un-certificado-wildcard-para-un_1442/
Bueno, hoy vamos a ver cómo crear un certificado wildcard usando la entidad certificadora que nos proporciona Windows Server 2008. Si os preguntáis para qué podemos querer un certificado de este tipo, la razón es sencilla, imaginaros que tenéis  cinco servidores Exchange, un ISA Server y dos IIS en tu organización. Si quieres usar el servicio de SSL con todos ellos tendrías que crearte ocho certificados individuales y lo peor de todo esto, tienes que mantenerlos controlados, verificar sus fechas de caducidad, etc. ¿No sería mucho más sencillo tener un único certificado para cualquier máquina de ese dominio? A mí me lo parece y eso por eso que siempre uso certificados wildcard.

Como prerrequisitos estableceremos  dos sencillos puntos:
  • Tener una entidad certificadora Windows 2008 integrada en el dominio.
  • Cinco  minutos de tiempo para crear el certificado.
En mi caso, voy a crear el certificado para mi segundo dominio de pruebas, averno.des. Los pasos serían los siguientes:
  • Abrimos el Administrador de Internet Information Services (IIS) y en el árbol de la izquierda localizamos el servidor IIS sobre el que queremos realizar la solicitud del certificado. Una vez localizado, hacemos doble clic sobre el icono de Certificados de servidor del panel central de la consola.
  • En este segundo paso, debemos hacer clic sobre la opción Crear certificado de dominio… del panel de la derecha y rellenar los datos que nos solicita el asistente. El único campo con el que tenéis que tener especial cuidado es con el campo de“Nombre común que debéis rellenarlo con un texto con el formato “*.dominio.ext” (sin las comillas), fijaros bien, que sino luego el certificado no sirve como wildcard. Una vez completado, tan solo falta hacer clic en el botón Siguiente.
  • El tercer paso es seleccionar la entidad certificadora de vuestro dominio que generará el nuevo certificado.
  • Por último, una vez generado el nuevo certificado, vamos a comprobar que realmente hemos generado un certificado wildcard. Para comprobarlo tan solo hay que abrir el certificado, y en la pestaña de Detalles, buscar el campo Asunto. Deberemos ver un valor para CN similar al de la imagen que se encuentra a continuación.

Sencillo, ¿verdad?]]> 100 mejores herramientas de seguridad de código abierto https://www.igalvan.es/posts/100-mejores-herramientas-de-seguridad_1810/ Sat, 23 Jan 2010 09:10:00 +0000 https://www.igalvan.es/posts/100-mejores-herramientas-de-seguridad_1810/ Vamos a hacer un poco de apología del software libre.

http://www.jeromiejackson.com/index.php/top-100-security-tools

]]>