SSH: Reenvío X11 y TCP/IP, Configuración y Seguridad

Reenvío X11 y TCP/IP con SSH

4.2. Reenvío X11

Una de las funciones de SSH es la capacidad de abrir sesiones X. Al ejecutar un programa X Windows desde una shell segura, el cliente y el servidor SSH crean un nuevo canal seguro dentro de la conexión SSH actual. Los datos del programa X Windows se envían a la máquina cliente a través de este canal, simulando una conexión al servidor X por un terminal local.

Sesión sin SSH

1. Se establece conexión con el servidor remoto usando SSH (canal cifrado).
2. Desde la máquina local, se ejecuta xterm (terminal virtual en modo gráfico X Windows).
3. xterm se comunica directamente con el servidor X que está corriendo en la máquina. A partir de este punto, lo que se teclee se transmite por texto plano a través de la red.

Sería preferible utilizar el mismo canal seguro establecido con SSH para los clientes X. El reenvío X11 es un mecanismo que permite la utilización del canal SSH, actuando como si SSH enrutara el tráfico X11.

Sesión con SSH

1. Se establece conexión con el servidor remoto usando SSH. El servidor crea un pseudo-servidor de X en la máquina remota.
2. Desde la sesión en la máquina remota, se ejecuta xterm.
3. xterm se comunica con el pseudo-servidor de X que está corriendo en la máquina remota.
4. El pseudo-servidor de X se comunica con el cliente de SSH a través del canal cifrado.
5. El cliente de SSH transmite los datos de xterm al servidor X real.

4.3. Reenvío por TCP/IP

Este método se basa en la asignación de un puerto local del cliente a un puerto remoto del servidor. Si el reenvío por TCP/IP se configura para escuchar en puertos inferiores a 1024, se requiere ser root. El servidor SSH se convierte en un túnel encriptado. El usuario debe tener una cuenta en el sistema remoto, conocido como “mapeado de puertos”.

Este método también puede usarse para protocolos que no tienen soporte nativo para comunicaciones cifradas y autenticadas, como POP, IMAP, FTP. Estos servicios se vuelven más seguros usando túneles SSH.

La sintaxis para crear un túnel de reenvío local por TCP/IP es:

ssh -L puerto_local:maquina_local:puerto_remoto nombre_usuario@maquina_remota

El protocolo IMAP es un ejemplo para probar el funcionamiento de un túnel SSH. Los clientes de correo envían constantemente el login y la contraseña del usuario al servidor de correo para verificar si se han recibido nuevos mensajes.

5.2. Configuración de SSH

Archivos de configuración:

1. /etc/ssh
2. sshd_config: Describe la configuración del servidor SSH.
3. ssh_config: Configuración del cliente.
4. ssh_host_rsa_key: Clave RSA privada de la máquina.
5. ssh_host_rsa_key.pub: Clave RSA pública de la máquina.
6. known_hosts: Claves públicas de otras máquinas.
7. ssh_host_dsa_key: Clave DSA privada de la máquina.
8. ssh_host_dsa_key.pub: Clave DSA pública de la máquina.

Directorios en el archivo de configuración sshd_config

• A. PermitRootLogin no: Indica que el usuario administrador root no puede conectarse a la máquina remota como tal.
• B. RsaAuthentication yes: Indica que está permitida la autenticación por clave RSA.
• C. PubKeyAuthentication yes: Informa que está permitida la autenticación por clave pública.
• D. RhostsAuthentication no: No permite el método de autenticación por rhost.
• E. HostbasedAuthentication no: Informa que no se utiliza el método de autenticación por host, sino por usuario.
• F. X11Forwarding yes: Indica que se permite a los clientes que se conecten ejecutar aplicaciones de X Windows y transmitir la información gráfica sobre la conexión segura.
• G. MaxAuthTries nn: Establece el número máximo de intentos de conexión.