como usar NO-IP para restringir el acceso a SSH

Todos los temas relacionados con la seguridad en Linux

Moderadores: doc, ps-ax

Responder
cabrero
Forista Nuevo
Forista Nuevo
Mensajes: 9
Registrado: Lun Abr 11, 2016 12:15 am

como usar NO-IP para restringir el acceso a SSH

Mensaje por cabrero » Mié Abr 13, 2016 12:54 am

Acabo de registrar una cuenta en NO-IP, que a través de una aplicación identifica mi PC con un host, pues mi IP publica es dinámica.

Mi pregunta es is puedo configurar un VPS con debian jessie, de manera que sólo yo pueda accder por ssh desde mi host de no-ip

Yo me manejo mejor con ufw, porque iptables es muy complejo para mi. Establecer una regra en ufw para que solo pueda accder a la terminal ssh de la maquina remota desde una única IP, es muy facil. Supongamos que tengo una IP fija 158.258.456.25

Código: Seleccionar todo

ufw allow from 158.258.456.25
Pero me funcionaria igual si en vez de la IP (que no es fija) pongo el dominio que me he creado en NO-IP, o me quedaré yo mismo bloqueado? Por ejemplo:

Código: Seleccionar todo

ufw allow from myhost.noip.org
Última edición por cabrero el Jue Abr 14, 2016 12:29 am, editado 1 vez en total.
MetTxin
Forista Medio
Forista Medio
Mensajes: 332
Registrado: Mié Abr 27, 2011 11:32 am

Re: como usar NO-IP para restringir el acceso a SSH

Mensaje por MetTxin » Mié Abr 13, 2016 11:09 am

No me parece ideal establecer reglas de seguridad basadas únicamente en IP, y menos aún en dominios que no controlas del todo como es el no-ip. Podrías establecer una barrera más pero basarte en ella únicamente es un error. Quizás lo más seguro sea configurar sshd para que no se acceda más que con clave rsa protegida por contraseña, y desde ciertos hosts conocidos por el servidor, eliminando la posibilidad de hacerlo mediante contraseña de usuario.

Después, como barrera adicional, puedes configurar iptables para que dinámicamente permita únicamente una IP y tendrías que ingeniártelas para que el servidor sepa en todo momento cuál es la IP del host cliente de confianza. Un método simplón pero que funcionaría (no es el único, por supuesto) sería por ejemplo servir un fichero por http (o mejor aún por https) conocido únicamente por ti. Configuras cron en el host cliente para descargarlo cada 10 minutos y revisas en el servidor los logs para saber qué ip se lo descarga. Así dinámicamente puedes modificar netfilter en el servidor y añadir una regla de seguridad. Pero ya te digo que basar en IPs únicamente tu política de acceso ssh no es fiable, y en subdominios que no controlas ni me lo plantearía.
cabrero
Forista Nuevo
Forista Nuevo
Mensajes: 9
Registrado: Lun Abr 11, 2016 12:15 am

Re: como usar NO-IP para restringir el acceso a SSH

Mensaje por cabrero » Mié Abr 13, 2016 1:47 pm

MetTxin escribió:No me parece ideal establecer reglas de seguridad basadas únicamente en IP, y menos aún en dominios que no controlas del todo como es el no-ip. Podrías establecer una barrera más pero basarte en ella únicamente es un error. Quizás lo más seguro sea configurar sshd para que no se acceda más que con clave rsa protegida por contraseña, y desde ciertos hosts conocidos por el servidor, eliminando la posibilidad de hacerlo mediante contraseña de usuario.

Después, como barrera adicional, puedes configurar iptables para que dinámicamente permita únicamente una IP y tendrías que ingeniártelas para que el servidor sepa en todo momento cuál es la IP del host cliente de confianza. Un método simplón pero que funcionaría (no es el único, por supuesto) sería por ejemplo servir un fichero por http (o mejor aún por https) conocido únicamente por ti. Configuras cron en el host cliente para descargarlo cada 10 minutos y revisas en el servidor los logs para saber qué ip se lo descarga. Así dinámicamente puedes modificar netfilter en el servidor y añadir una regla de seguridad. Pero ya te digo que basar en IPs únicamente tu política de acceso ssh no es fiable, y en subdominios que no controlas ni me lo plantearía.
Gracias @MetTxin, me parece interesantes tus sugerencias. Pero no se si nos estamos entendiendo.

Yo configurara el acceso po IP, antes cuando tenía IP fija, ahora ya no, porque mi IP actualmente es dinámica. Pero disponiendo de IP fija en mi conexión de ADSL, eso me parecía buena idea. Mi idea es cambiar la IP por el nombre de dominio que me propociona no-ip ¿eso es posible?

Las reglas que he puesto de ejemplo ya no las uso, ahora mismo tengo abierto el acceso SSH a todas las IPs.

Mi idea es restringir el acceso unicamente a mi ordenador principal, que al no disponer de IP fija ya no lo puedo hacer como antes. Pero el camino es de mi PC personal a la maquina remota, no al contrario.
Última edición por cabrero el Jue Abr 14, 2016 12:30 am, editado 1 vez en total.
MetTxin
Forista Medio
Forista Medio
Mensajes: 332
Registrado: Mié Abr 27, 2011 11:32 am

Re: como usar NO-IP para restringir el acceso a SSH

Mensaje por MetTxin » Mié Abr 13, 2016 3:10 pm

Creo que había entendido bien, con lo único que no había contado es con que no confiases en el cliente, W7 (yo tampoco lo haría), pero lo mismo que robarte tu clave rsa pueden colocarte un keylogger y que no te sirva de nada poner 50 caracteres de contraseña. La clave rsa (protegida por contraseña como proponía, no a pelo) sólo añade una dificultad al sencillo método de usuario y contraseña.

En tu caso, un cliente poco fiable, lo único que puedes hacer es adaptar lo que protejes a la seguridad que puedas darle. Hablando claro, proteger cosas sin importancia y no romperte mucho la cabeza.

En iptables, al menos antes y creo que sigue igual, sí que se puede especificar el dominio, tras «-s» pero en la misma página de man de iptables te dice:
(please note that specifying any name to be resolved with a remote query such as DNS is a really bad idea)
...yo no creo que lo hiciese, porque además de no garantizarte nada puede traerte sorpresas desagradables. Lo que no sé es si no había que cargar un módulo especial (yo creo que en gentoo cuando lo usaba no estaba por defecto, aunque tampoco lo usaba)

El método para que el servidor sepa la ip del cliente es irrelevante, puedes inventarte o programarte el que quieras, ahí no hay gran cosa de seguridad a tener en cuenta, sólo tus necesidades. El que te ponía era un ejemplo sencillo, pero lo que quería resaltar es que no es de fiar eso de basar en IP la política de seguridad principal, sólo debería ser una barrera más, a eso me refería.

saludos,
cabrero
Forista Nuevo
Forista Nuevo
Mensajes: 9
Registrado: Lun Abr 11, 2016 12:15 am

Re: como usar NO-IP para restringir el acceso a SSH

Mensaje por cabrero » Mié Abr 13, 2016 4:06 pm

Nuevamente gracias.
Estoy de acuerdo que usar la restrinccion por IP del cliente (cuando esta es fija, no cuando es dinamica), solo es un factor más de protección.

Saludos
Última edición por cabrero el Jue Abr 14, 2016 12:31 am, editado 1 vez en total.
MetTxin
Forista Medio
Forista Medio
Mensajes: 332
Registrado: Mié Abr 27, 2011 11:32 am

Re: como usar NO-IP para restringir el acceso a SSH

Mensaje por MetTxin » Mié Abr 13, 2016 4:30 pm

Ah, en caso de que no protejas nada especial y sólo sea para cacharrear yo creo que entre fail2ban, una buena contraseña o por clave y que no tienes el puerto por defecto, las posibilidades de que seas diana de alguien son mínimas.

No es buena idea permitir el login de root, no, como dices es mejor permitir sólo un usuario que esté en wheel y acceder después a través de él. Vamos, un "PermitRootLogin no" y un "PasswordAuthentication no" en caso de usar claves sólo con el.ssh/authorized_keys bien configurado. Y no, no es mala idear probar las cosas antes en una VM, más aún si no tienes acceso físico al servidor porque no serías el primer admin que se autobanea

Sí, lo de usar W7 no es óptimo, ;)
cabrero
Forista Nuevo
Forista Nuevo
Mensajes: 9
Registrado: Lun Abr 11, 2016 12:15 am

Re: como usar NO-IP para restringir el acceso a SSH

Mensaje por cabrero » Jue Abr 14, 2016 12:34 am

Bueno, seguiremos adelane con otros temas, OK! gracias por tu interés.

PSD.: he editado mis post para quitar informacion sobre los medios que uso, que es más bien privada. Mi duda ya está resulta, gracias.
Responder
  • Similar Topics
    Respuestas
    Vistas
    Último mensaje