Imprimación básica para asegurar SSH

(Súper seguro) Secure Shell simplificado

El intercambio de claves es importante para SSH seguro
El intercambio de claves es importante para SSH seguro

Seamos realistas, asegurando Secure Shell (o SSH) puede ser tan confuso como la trama de la Primer de la película. Pero, como la película, vale la pena el esfuerzo. Aunque puedes encontrar un guía completa sobre carcasa segura en línea, le brindaremos una descripción general de algunas de las mejores prácticas que debe seguir si realmente desea estar seguro al usar SSH. Es posible que se sorprenda de lo fácil que es escuchar si no está configurado correctamente.

Mejores prácticas para asegurar SSH

Aquí hay un resumen de las cosas principales que debe considerar cuidadosamente si usa SSH y desea permanecer seguro y protegido.

  • Intercambio de claves - Básicamente, querrás usar: Diffie-Hellman o Elliptic Curve Diffie-Hellman para hacer un intercambio de claves. Esto se debe a que ambos proporcionan un secreto directo, lo que dificulta que las personas fisgoneen. Como probablemente sepa, OpenSSH actualmente admite 8 protocolos de intercambio de claves. Los que quieres usar son curva25519-sha256: ECDH sobre Curve25519 con SHA2 OR diffie-hellman-grupo-intercambio-sha256: DH personalizado con SHA2.
  • Autenticación de Servidor - Puede utilizar cuatro algoritmos de clave pública para la autenticación del servidor. De esos cuatro, su mejor opción (por ser seguro) es usar RSA con SHA1 para las necesidades de autenticación de su servidor. El truco está en asegurarse de deshabilitar los algoritmos de clave pública que NO va a utilizar. Esto se maneja fácilmente con unos pocos comandos. Asegúrese de que los archivos de inicio no recarguen las claves que no desea utilizar.
  • Autenticación del cliente - Después de configurar algo más seguro, debe asegurarse de deshabilitar la autenticación de contraseña, que es vulnerable a los ataques de fuerza bruta. Es mucho mejor utilizar la autenticación de clave pública, al igual que en el lado del servidor. Otra opción es usar OTP (contraseñas de un solo uso) para que sea más difícil para los malos espiar su conexión de datos segura para tratar de aprender más sobre usted.
  • Autenticacion de usuario - Este es un aspecto importante de la configuración de un servidor para que acepte conexiones SSH verdaderamente seguras. Básicamente, desea crear una lista blanca de usuarios permitidos. Hacer esto evitará que cualquier persona que no esté en la lista intente iniciar sesión. Si tiene una gran cantidad de usuarios que se conectarán al servidor a través de SSH, querrá usar AllowGroups en lugar de AllowUser, pero esto sigue siendo relativamente fácil de configurar.
  • Cifrados simétricos - Cuando se trata de cifrados simétricos, tiene algunos algoritmos disponibles. Una vez más, depende de usted elegir los mejores para su seguridad. En este caso, querrá utilizar chacha20-poly1305@openssh.com, aes256-gcm@openssh.com, aes128-gcm@openssh.com, aes256-ctr, aes192-ctr y aes128-ctr.
  • Códigos de autenticación de mensajes - Si está utilizando un modo de cifrado AE, no tendrá que preocuparse por los MAC porque ya están incluidos. Por otro lado, si siguió la ruta CTR, querrá usar MAC para etiquetar cada mensaje. Encrypt-then-MAC es el único método que debe usarse si desea asegurarse de estar lo más seguro posible al usar SSH.
  • Análisis de tráfico - Por último, pero no menos importante, querrás usar Servicios ocultos de Tor para sus servidores SSH. Al usar esto, hará que sea aún más difícil para los malos agregando otra capa de protección. Si no está utilizando LAN, asegúrese de apagarlo.

Cuando haya terminado de verificar y cambiar todo lo anterior, querrá ejecutar ssh-v para verificar los cambios que realizó en su sistema. Ese simple comando enumerará todos los algoritmos que decidió usar para que pueda verificar fácilmente su trabajo.

Además, ¡endurezca su sistema!

Estos son buenos consejos para cualquier servidor conectado a Internet, pero también son extremadamente útiles para asegurarse de que sus conexiones SSH sean lo más seguras posible.

  • Instale solo el software necesario. Más código equivale a más oportunidades para errores y exploits que pueden ser utilizados por hackers maliciosos.
  • Uso FOSS (Software de código abierto / libre) cuando sea posible para garantizar que tenga acceso al código fuente. Esto le permitirá examinar el código usted mismo.
  • Actualice su software Tan seguido como sea posible. Esto le ayudará a evitar problemas conocidos que los malos pueden aprovechar.

Como se mencionó anteriormente, los consejos anteriores son cosas que debe hacer, ya sea que esté tratando de proteger sus conexiones SSH al servidor o no.

La comida para llevar SSL

La conclusión de SSL es que incluso si algo tiene la palabra "seguro" o "seguridad" en su nombre, no significa que vaya a estar lo más protegido posible contra los ataques si no lo configura correctamente. Si está a cargo de un servidor y usa SSH con frecuencia para conectarse a él (o permitir que otros lo hagan), querrá tomarse el tiempo para configurarlo correctamente para asegurarse de tener la máxima seguridad.

En SSL.com, creemos en hacer Prácticas recomendadas de SSL tan fácil de entender e implementar como sea posible.

Suscríbase al boletín de SSL.com

No te pierdas los nuevos artículos y actualizaciones de SSL.com

Manténgase informado y seguro

SSL.com es líder mundial en ciberseguridad, PKI y certificados digitales. Regístrese para recibir las últimas noticias, consejos y anuncios de productos de la industria de SSL.com.

Nos encantaría recibir tus comentarios

Responda nuestra encuesta y háganos saber lo que piensa sobre su compra reciente.