Luis Carlos Quiones Daz

Tecnologa Redes y Seguridad Informtica

Configuraciones bsicas de seguridad del servicio SSH en Centos 7 con direccionamiento

IPV6

El servicio ssh es uno de los sistemas ms usados para la conexiones remostas, este se
caracteriza por su seguridad en cuanto a la encriptacin de datos a travs del medio.
Para la implementacin del servicio ssh, utilizaremos un servidor en Centos 7, usando el
protocolo IPV6 para el direccionamiento.
Lo primero que debemos hacer el instalar el servicio ssh aunque cuando instalamos nuestro
sistema operativo este se instala por defecto en ese caso lo comprobaremos si se encuentra
instalado.
Instalar el servicio ssh.

Una vez instalado el servicio este crea un directorio llamado ssh en la carpeta / etc / y con
ella sus archivos de configuracin.

En archivo donde vamos a realizar nuestras configuraciones se llama sshd_config. Una

recomendacin antes de comenzar es siempre realizar una copia de respaldo de este archivo
esto en caso de que se nos modifique o cambiemos alguna lnea por error.
Realizaremos una copia de respaldo en un directorio llamado respaldo creado en el usuario
luis. Dentro del directorio ssh ejecutamos el siguiente comando.

Ya realizada la copia empezaremos con la configuracin bsica de nuestro servidor ssh. Para
editar el archivo utilizaremos el editor de texto vim, para abrir el archivo ejecutaremos el
siguiente comando

Luis Carlos Quiones Daz

Tecnologa Redes y Seguridad Informtica

Se nos desplegara el archivo

En el encontraremos las lneas que modificaremos para implementarle seguridad al servicio.

Antes de comenzar las diferentes configuraciones, necesitamos saber el estado del servicio,
y las configuraciones que trae por defecto.
Comprobaremos el estado del servicio ejecutamos el comando sytemctl status sshd.service.

El primer parmetro a modificar ser el puerto por donde se establece la comunicacin, por
defecto se encuentra habilitado el puerto 22.

Las letras en verde nos indican que se encuentra activo y corriendo el servicio, en la parte
de debajo de la imagen nos muestra el puerto por donde escucha en este caso es el 22 por
defecto y esta escucha cualquier direccin ipv4 e ipv6.
Ahora intentaremos conectarnos al servidor desde otra mquina para confirmar se encuentra
activo

Luis Carlos Quiones Daz

Tecnologa Redes y Seguridad Informtica

Aqu observamos que nos permiti conectarnos con el usuario root y por el puerto por defecto
que es el 22.

Port
Ahora configuraremos el puerto por donde se establece la conexin, abriremos el archivos
sshd_conf y modificamos la lnea Port 22 la remplazaremos por Port 1212

Debemos detener el servicio e iniciarlo nuevamente para que actualice los nuevos cambios y
verificaremos los cambios realizado, este procedimiento se realizara cada vez modifiquemos
el archivo.

Luis Carlos Quiones Daz

Tecnologa Redes y Seguridad Informtica

Aqu nos muestra que el servicio est escuchando por el puerto 22 y aceptando cualquier
direccin ya sea IPv4 o IPV6.
Como se realiz el cambio del puerto debemos especificar el puerto por donde queremos
establecer la conexin a la hora en el momento de realizar la conexin desde nuestra maquina
cliente a nuestro servidor.

Nos muestra que la conexin es exitosa.

PermitRootLogin
Cuando se monta un servidor, debemos tener usuarios con diferentes permisos para realizar
tareas en el servidor, el servicio ssh trae por defecto el ingreso directamente a root, lo cual es
un factor que debemos modificar para establecer mayor seguridad en nuestro servidor. Para
esto modificaremos la variable PermitRootLogin y le pondremos en NO.

Detenemos e inicializamos el servicio. Intentamos conectarnos con el usuario root.

Nos aparecer el mensaje resaltado, negndonos el acceso, cuando no especificamos el

usuario entiende por defecto que es el usuario root.
Crearemos un nuevo usuario en el servidor, le asignamos una contrasea y realizaremos
nuevamente la conexin.

Luis Carlos Quiones Daz

Tecnologa Redes y Seguridad Informtica

Al intentar conectarnos con el usuario luis nos permiti el acceso al servidor, esto es por lo
general se debe hacer en las empresas para garantizar mayor seguridad en los servidores.

AllowUsers
Otro parmetro importante a configurar en nuestro servidor son los usuarios que se pueden
conectar a nuestro servidor. Para esta configuracin usaremos la variable AllowUsers y
seguido los usuarios que tendrn acceso al servidor, de esta manera. Cabe decir que todo esta
configuracin se realiza en el archivo sshd_config.

En este caso el usuario luis y pepito podrn conectarse al servidor. En el servidor se

encuentran los usuarios luis, pepito, carlos.
Cabe decir que nuestro servidor se llama Curso_IPV6 y nuestro cliente se llama Maquina
cliente

Intentaremos conectarnos con los usuarios que tienen permiso y con los que para comprobar
que la configuracin se realiz correctamente.

Por lo que podemos observar, el usuario pepito se pudo conectar al servidor, que fue lo
contrario del usuario carlos que no se encontraba en la lista de usuarios permitidos.
Podemos ser ms especficos, en cuanto al usuario es decir especificarle la ip desde donde se
puede conectar o si la ip se encuentra en el en el dominio del servidor.

Luis Carlos Quiones Daz

Tecnologa Redes y Seguridad Informtica

Por ejemplo

En esta configuracin el usuario luis solo se puede conectar desde el dispositivo que tenga la
ip 2001:db8:1::1:102, y el usuario pepito se puede conectar desde cualquier maquina sin
importar la ip que tenga.

LoginGraceTime
Otras configuraciones con respecto a los usuarios, es determinar el tiempo que tendr el
usuario para digitar la contrasea de acceso, este se puede determinar con la variable
LoginGraceTime, en nuestro ejemplo mostramos que el usuario cuenta con 10 segundos, para
digitar la contrasea, si colocamos 2m, en este caso se tendr 2 minutos para autenticarse.

MaxAuthTries
Una forma de ataque a un servidor, y la ms simple es digitar la contrasea de un usuario
hasta este concuerde, una de las formas de prevenir esta forma de ataque es limitar el nmero
de veces que el usuario puede digitar la contrasea sin equivocarse. En el servicio ssh
encontramos una variable llamada MaxAuthTries en el cual se puede especificar el nmero
de veces que el usuario puede intentar conectarse sin equivocacin.

En este caso el nmero mximo de veces son 3.

Otra configuracin que realizaremos es el tipo de direccionamiento por donde se puede
establecer conexin con el servidor. Ya que nuestro enfoque se encuentra en el protocolo ip
versin 6 (IPV6), solo admitiremos flujo por direcciones ipv6. Para esto modificaremos la
variable AddressFamily en inet6, este variable acepta any que viene por defecto y escucha
los dos protocolos, con inte4 se especifica que solo escuche por el protocolo ipv4.

Luis Carlos Quiones Daz

Tecnologa Redes y Seguridad Informtica

Banner
Cuando por accidente algn usuario digita la direccin del servidor mal, creyendo conectarse
a su servidor, es bueno darle a conocer a donde se est conectando para evitar posibles
inconvenientes, esto se puede lograr con un banner en inicio del servidor.
Para listar un banner, debemos primero crearlo, esto se puede hacer en un archivo de
extensin .txt, para este ejemplo crearemos el banner en la ruta / etc / banner.txt y la
incluiremos en la variable Banner de nuestro archivo de la siguiente forma.

Cuando intentemos conectarnos nos mostrara en mensaje que contendr el banner.

X11Forwarding
En los servidores, esta opcin habilitada podra ser un fallo de seguridad. Ya que esta variable
nos permite ejecutar aplicaciones graficas en el servidor, como por ejemplo una base de datos
u otros. Para deshabilitarla simplemente le cambiamos la opcin yes por no

Por defecto, esta opcin viene habilitada y para poder ejecutar una aplicacin debemos
ingresar el parmetro X al momento de ingresar.