martes, 2 de octubre de 2018

Entrar por SSH a un servidor robando claves privadas

Ya comenté en agosto que una medida muy buena de seguridad es la de establecer el acceso a nuestros servidores mediante ssh con un par de claves privadas-públicas. Yo aconsejé utilizar una passphrase para que a pesar de utilizar el par de claves, utilices una contraseña.


Yo aconsejé el utilizar una passpharse, ya que si no la utilizas, el login e realizará únicamente mediate el par de claves. Es decir, tú das tu clave pública, tienes tu clave privada en tu ordenador, y para acceder al servidor, simplemente introduces el comando ssh y el servidor y ya entras, sin más.

Por supuesto, depende de que el ordenador desde el que te conectas tenga tu clave privada, para que la clave pública que has pasado se valide con la privada de tu ordenador. Y este es el matiz importante.

Ya sabemos que podemos acceder a un servidor aprovechando el software desactualizado de ese ordenador, por lo que una vez dentro, simplemente tendríamos que localizar la private key y pasarnosla, por ejemplo, con el comando scp o simplemente descargando con el framework de metasploit. 

Os imagináis del problema que esto supone si no hemos establecido la passphrase. Podríamos acceder a ese servidor sin conocer ni una sola contraseña.

Las posibles soluciones son claras, la primera solución sería utilizar una passphrase, y que la passphrase no sea fácil de obtener. Con esto ya mejoramos nuestra seguridad bastante, pero aún así podemos utilizar un 2FA. De los proyectos que más me gustan sobre esto, es el proyecto de My SSH in Paronoid Mode de Eleven Path.

Así mejoramos bastante nuestra seguridad del acceso a nuestros servidores. Si además de esto tenemos una buena política de iptables junto a Fail2Ban y dejamos nuestro servidor bastante seguro y con una fortificación muy alta.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...