Acceso SSH

Un grand changement dans ma vie
emanuele
Administrateur
Messages : 7
Inscription : 01 septembre 2018, 09:05

Acceso SSH

Message par emanuele » 17 septembre 2018, 11:03

Esta página le permite decidir si el acceso remoto SSH está disponible en su IPCop o no. Marcando la casilla, activará el acceso remoto SSH. También es posible configurar varios parámetros del demonio SSH desde esta página. La opción SSH está desactivada por defecto y recomendamos que se active sólo cuando se necesite y se desactive a continuación.

Usando la página Ajustes del cortafuegos es posible configurar selectivamente qué redes pueden usar el acceso remoto SSH.

Configuración de SSH

Así como el puerto HTTPS para la interfaz GUI de IPCop ha cambiado al puerto 8443, el puerto SSH para acceso SSH a IPCop ha cambiado al 8022. Si está usando una aplicación GUI para acceder a su IPCop, recuerde especificar el puerto 8022.

Cambiar el puerto SSH

La utilidad de línea de comandos setreservedports está disponible para permitir a los administradores cambiar el puerto seguro. Vea la sección sobre setreservedports para más detalles.

Si está usando comandos ssh, scp o sftp, la sintaxis para especificar puertos no estándar es diferente para cada comando, incluso aunque todos ellos están relacionados. Asumiendo que su IPCop está en la dirección 192.168.254.1, los comandos serían:

SSH

Code : Tout sélectionner

$ ssh -p 8022 root@192.168.254.1
SCP a IPCop

Code : Tout sélectionner

$ scp -P 8022 algun/archivo root@192.168.254.1:
SCP desde IPCop

Code : Tout sélectionner

$ scp -P 8022 root@192.168.254.1:/ruta/a/algun/archivo ruta/a/copia/local
SFTP

Code : Tout sélectionner

$ sftp -o port=8022 root@192.168.254.1
Use las páginas 'man' de su máquina de escritorio para encontrar una explicación más completa de estos comandos.

Opciones de SSH

Las siguientes opciones de SSH están disponibles desde la página web:

Acceso SSH
Marcar esta casilla activa SSH. A menos que use acceso externo, SSH sólo estará disponible desde la red VERDE. Con SSH activado es posible para cualquiera con la contraseña de 'root' de IPCop entrar a su cortafuegos a la línea de comandos.

Soportar protocolo SSH versión 1 (requerido sólo para clientes antiguos)
Marcar esta casilla activa el soporte para los clientes SSH de versión 1. El uso de esta opción está completamente desaconsejado. Hay vulnerabilidades conocidas en la versión 1 de SSH. Use esta opción sólo para acceso temporal si sólo tiene clientes con versión 1 y no hay manera de actualizarlos a SSH versión 2. La mayoría de los clientes SSH actuales, si no todos, soportan la versión 2. Actualice sus clientes en cuanto sea posible.

Permitir reenvío TCP
Marcar esta casilla, le permite crear túneles SSH encriptados entre máquinas detrás de su cortafuegos y usuarios externos.

¿Qué utilidad tiene esto si IPCop ya tiene una VPN?

Está fuera y algo va mal en uno de sus servidores. No ha configurado una conexión VPN 'roadwarrior'. Si conoce la contraseña de 'root' de su IPCop puede usar el reenvío de puertos SSH para pasar a través de su cortafuegos y tener acceso al servidor que está en una de sus redes protegidas. Los siguientes párrafos tratarán acerca de cómo hacer esto, asumiendo que tiene un servidor Telnet corriendo en un ordenador interno en 10.0.0.20. También se asume que su máquina remota es una máquina Linux. La aplicación Putty para Windows tiene las mismas posibilidades, pero se utilizan mediante diálogos. Puede que ya haya realizado uno o más de los dos primeros pasos.

Active o haga que alguien active el acceso externo al puerto 8443, el puerto HTTPS.

Use las páginas web de su IPCop para activar el acceso SSH y el acceso externo al puerto 8022.

Cree un túnel SSH entre su máquina remota y el servidor interno que está corriendo un demonio SSH ejecutando el comando:

Code : Tout sélectionner

$ ssh -p 8022 -N -f -L 12345:10.0.0.20:23 root@ipcop 
-p 8022 IPCop escucha SSH en el puerto 8022, no el habitual 22.

-N
en conjunción con -f, le dice a SSH que corra en segundo plano sin cerrarse. Si usa esta opción, deberá recordar que tiene que usar 'kill' para terminar el proceso SSH. Como alternativa, puede añadir el comando sleep 100 al final de la línea y no usar la opción -N. Si hace esto, el SSH invocado por el comando ssh terminará después de 100 segundos, pero la sesión telnet y su túnel no terminarán.

-f
opción para correr SSH en segundo plano.

-L
le dice a SSH que construya un túnel de reenvío de puerto como se especifica con los siguientes parámetros.

12345
El puerto local que se usará para tunelar el servicio remoto. Éste debe ser mayor de 1021, o de lo contrario deberá estar actuando como 'root' para enlazarse a puertos conocidos.

10.0.0.20
Esta es la dirección VERDE del servidor remoto.

23
Esto especifica el número de puerto remoto a usar, Telnet.

root@ipcop.fqn
Finalmente, esto especifica que estará usando su cortafuegos IPCop como el agente de reenvío de puertos. Necesitará una ID de usuario para acceder, y la única disponible en IPCop es 'root'. Se le preguntará la contraseña de 'root' para IPCop.

Por último, acceda al Telnet remoto usando el túnel.

Code : Tout sélectionner

$ telnet localhost 12345
localhost es la máquina en la que está trabajando. La dirección de 'loopback' 127.0.0.1 está definida como 'localhost'. 12345 es el puerto local del túnel especificado en el comando anterior.

Hay un tutorial sobre el reenvío de puertos mediante SSH en Dev Shed.

Permitir autenticación basada en contraseñas
Permite a los usuarios acceder a IPCop usando la contraseña de 'root'. Si decide desactivar esto, cree sus claves SSH primero, y verifique que puede acceder usando los archivos de claves.

Permitir autenticación basada en clave pública
Marcando esta casilla, se podrá utilizar la autenticación mediante clave pública para SSH. Este es el mejor método de asegurar IPCop cuando se usa SSH. Este artículo tiene un debate acerca del uso de SSH-keygen para generar claves RSA y cómo usarlas con SSH.

Claves de host SSH

Esta sección lista las huellas de la clave de host usada por SSH en IPCop para verificar que está abriendo una sesión con la máquina correcta. La primera vez que se abre una sesión, se mostrará una de las huellas en SSH y se le preguntará si es correcta. Si lo desea, puede verificarla mirando en esta página.

Répondre