Guía Completa de SSH, VPN y Monitorización de Redes

Utilidades SSH

• Abrir una shell remota
• Ejecución remota de comandos
• Copia de archivos por SCP
• Servidor sFTP
• RSYNC copia sincronizada de archivos
• SSHFS
• Escritorio remoto
• Tunneling, pivoting
• VPN PROXY SOCKS 5 (Poor man´s VPN)

Autenticación SSH

1. El cliente se conecta por TCP al puerto 22 (por defecto) al servidor SSH
2. Entre el cliente y servidor negocian qué versión de SSH utilizar
3. El cliente y el servidor poseen una clave pública y privada, el servidor envía la clave pública al cliente
4. El cliente recibe la clave y la comprueba con la que tiene registrada para saber si es auténtica
5. La primera vez se pide confirmación al usuario para darla como válida
6. El cliente genera una clave de sesión aleatoria
7. El cliente envía una clave esa clave aleatoria junto con el algoritmo de encriptación que ha elegido entre los dos, y se lo envía en un paquete cifrado y encriptada con la clave pública del servidor
8. A partir de esto se comunican con el algoritmo de encriptación y la comunicación ya es indescifrable

SSH utiliza tres métodos de cifrado: cifrado simétrico, cifrado asimétrico y hash.

PermitRootLogin prohibit-password = prohibir-contraseña prohíbe todos los métodos de autenticación, permitiendo sólo publickey, autenticación basada en certificados y autenticación GSSAPI.

Diffie Hellman

Es una técnica que se utiliza para comunicarse en una red insegura, aunque los mensajes sean interceptados no se pueden descifrar, (analogía colores)

Comparten secreto y clave simétrica.

VPN

• L Local forwarding
• R remote forwarding
• D proxy socks5 (Poor Man's VPN)
• J proxy Jump

WireGuard®

Es un nuevo protocolo VPN de código abierto que utiliza criptografía de última generación y tiene como objetivo superar a los protocolos VPN existentes como IPsec y OpenVPN®.

Características de VPN Wireguard

• Simplicidad y Elegancia
• Rendimiento diseñado para ser rápido y eficiente
• Seguridad: utiliza criptografía moderna, algoritmos Curve25519 para el intercambio de claves y ChaCha20 para el cifrado
• Implementación del Kernel
• Conexiones Persistentes: conexión, permanece activa
• Reconexión Automática
• Configuración Dinámica
• Compatibilidad: es compatible con una variedad de plataformas

Pros y contras WireGuard

Pros

• Código fuente abierto
• Cuenta con una base de código muy liviana
• Mucho más fácil de auditar
• Utiliza criptografía de última generación
• Extremadamente seguro
• Ofrece altas velocidades

Contras

• Puede ser potencialmente bloqueado por los administradores de la red

Instalación de WireGuard

Instalación

Descargar desde sus paquetes correspondientes del sitio web.

Claves criptográficas

Se deben generar las claves privada y pública en los dispositivos donde vamos a querer conectarnos.

Configuración de archivo

IP, las claves públicas de los dispositivos, y la dirección IP y puertos de servidor

Configurar reglas

Iniciar el servicio

Verificación de la conexión

Tipos de monitorización

• Pasiva: El servidor tiene un agente instalado y se encarga de mandar la información periódica al servidor central.
• Activa: Es mas habitual cuando se tiene un servidor central. El servidor pregunta al agente y el agente devuelve la información.

Monitorización centralizada

• Monitorización centralizada: Aunque parezca obvio, el tener un único sistema en el que concentrar toda la información es muy útil y eficaz.
• La alternativa sería tener una monitorización distinta en cada servidor.
• Interfaz web: servicio web en el que visualizar todos los datos obtenidos.
• Sistema de plantillas:
• Gestión de usuarios: Podremos tener usuarios que puedan ver unos servidores u otros, por lo que podemos tener equipos especializados en distintos grupos de monitorización y que sólo se enfoquen en ellos.
• Esto también es útil para dar acceso a los clientes a la monitorización de sus propios servidores.

Datos de monitorización

• Cantidad de RAM utilizada
• Cantidad de memoria virtual utilizada
• Carga de la CPU
• Espacio libre en las unidades de disco duro
• Estado del sistema RAID
• Cantidad de usuarios conectados a la máquina
• Estado de puertos de conexión
• Latencia hasta llegar al servidor

NMS

Es un servidor que ejecuta una aplicación de gestión de red. Los elementos de la red se comunican con la NMS para transmitir la información de gestión y control. La NMS también permite analizar los datos de la red y crear informes.

SMTP

SMTP es el protocolo estándar para transferir correo

POP3

El protocolo Pe3OP3 utiliza el protocolo de la capa TCP y opera en los puertos TCP 110 para la comunicación sin cifrado de datos, y TCP 995 para la comunicación cifrada. Su función principal es facilitar la descarga de correos electrónicos desde el servidor de correo al destino local. Permite a los usuarios descargar mensajes del servidor y borrarlos inmediatamente después de la descarga.

IMAP

Como un reemplazo del protocolo POP. Este protocolo de acceso a mensajes de Internet permite visualizar y acceder a los mensajes almacenados en un servidor sin la necesidad de descargarlos. A diferencia de otros protocolos, IMAP no se utiliza para enviar correos, sino para proporcionar acceso a los mensajes en el servidor. Una ventaja destacada es que permite la visualización del contenido en el servidor sin descargarlo,

Prometheus

Preparar el servidor

Crear usuario Prometheus

Descargar e instalar Prometheus

Mover los binarios de prometheus a /usr/local/bin. Eliminamos archivos descargados ya instalados.

Crear un servicio Systemd de prometheus

Cambiar permisos de directorio

Reiniciamos systemd, habilitamos e iniciamos el nuevo servicio

Accedemos a la web de prometheus en la url

Instalar node_exporter en máquina linux

style="text-align:justify">Grafana:-Instalar dependencias de Grafana-Instalamos el repositorio de Grafana-Instalamos Grafana-Habilitamos y comprobamos el servicio-Accedemos por http en el puerto 3000-Seleccionamos como fuente de datos Prometheus CSL-Importar el ID del dashboard node exporter full (ID 1860)-Acceso al servidor Prometheus de CSL-Importar otros dashboards