ssh: una solución más segura

ssh

Protocolo Secure Shell, se usa para conexiones de red cifradas y autentificadas de forma más segura.

Desafortunadamente las conexiones vía telnet tienen un problema grave de seguridad ya que los datos se envían sin cifrar. Así, cualquier intruso puede interceptar nuestros datos y obtener nuestro nombre de usuario y password del sistema además del contenido de la comunicación.

La solución que se adopta es utilizar un sistema alternativo denominado SSH. ssh cifra los datos antes de pasarlos a la red, descifrándolos cuando llegan a su destino. El procedimiento de cifrado asegura que el intruso que capture los datos será incapaz de descifrarlos y verlos.

Para iniciar la conexión (seguimos con nuestra máquina ficticia de ejemplo) escribiremos^4.10:

$ ssh -l usuario tux.midomio.org 

o equivalentemente

$ ssh usuario@tux.midomio.org

La primera vez que conectemos aparecerá

The authenticity of host 'tux.midominio.org (xx.xx.xx.xx)' can't be established. 

RSA key fingerprint is 49:8c:9c:10:a9:c5:5d:e2:cd:88:65:f0:dc:02:f4:cf. 

Are you sure you want to continue connecting (yes/no)?

Escribimos yes e Intro. Cuando siga, y aparezca

Warning: Permanently added 'tux.midominio.org' (RSA) to the list of known hosts. 

usuario@tux.midominio.org's password:

será el momento de introducir la contraseña.

No pensemos que es algo para ``hackers'' y que no nos puede afectar. En la actualidad<sup>4.11</sup>, los ordenadores de los centros TIC permiten conexiones ssh. De esa forma, como los alumnos conocen ya las IPs de las máquinas inician sesiones con otros ordenadores del instituto (por ejemplo, el de la mesa del profesor) y pueden borrar o ``trastear'' sobre ellos.

Por ejemplo, supongamos que la IP de la mesa del profesor es 192.168.3.24, un alumno/a escribirá:

$ssh usuario@192.168.3.24

como todos los ordenadores tienen un sólo usuario de nombre y contraseña usuario, cuando se le solicite escribirá los datos que le permiten autenticarse e iniciará una conexión con la máquina del ``profe''. Si ahora escribe:

$turnoff

el ``pobre profe'' verá que se le apaga la máquina como por arte de magia. Pero puede ser aún peor y que le borren cualquier dato que piensa está a buen recuado en su ordenador.

Footnotes

... escribiremos^4.10

Cada servidor SSH tiene un identificador único y secreto, llamado host key, para identificarse frente a los clientes que se conectan. La primera vez que nos conectamos a un servidor, la parte pública de la host key se copia en nuestra cuenta local (asumiendo que respondemos yes). Cada vez que nos conectemos a este servidor, el cliente SSH comprobará la identidad del servidor remoto con esta clave pública. Dicha clave pública, así como la del resto de máquinas con las que nos vayamos conectando se encuentra guardada en $HOME/.ssh/known_hosts

... actualidad^4.11

Se está en fase de solucionarlo.