Proteger servidores OpenSSH y OpenVPN (también con Latch) (y II)ElevenPaths 20 junio, 2014 OpenVPN es el software multiplataforma que permite crear redes privadas virtuales y punto a punto de forma remota y segura. Imiplementar una buena seguridad en OpenVPN es fundamental para evitar accesos no deseados, debido a que se utiliza principalmente en entornos profesionales para acceder desde cualquier punto a la red corporativa, el control de un atacante podría resultar fatal. Algunas recomendaciones para asegurar un servidor OpenVPN pasan por: Crear claves criptográficamente robustas. Para ello es importante usar los algoritmos más recientes de cifrado. Para establecer TLSv1.2 (sólo en versiones OpenVPN a partir de 2.3.3) se debe utilizar la siguiente directiva en el archivo de configuración: Tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 Gracias a esta directiva, el servidor utilizará Diffie-Hellmann Ephemeral, de tal forma que si en algún momento un atacante captura la clave privada, las comunicaciones anteriores no podrán descifrarse por usar Perfect Forward Secrecy. También se utilizan las claves RSA para la autenticación, un cifrado simétrico robusto como AES-256 en modo GCM y un algoritmo de hash como SHA2. Incorporar TLS-AUTH para que todos los paquetes que no posean la firma HMAC se bloqueen. Esta característica proporciona un nivel de seguridad adicional a la que proporciona TLSv1.2 porque mitiga posibles ataques DoS. El mecanismo consiste en cerrar la comunicación sin esperar a comprobar los certificados y así la carga de CPU es mucho menor. Algunas recomendaciones adicionales de seguridad pasan por autenticar a cada cliente OpenVPN contra la PAM del servidor al que se conecta, utilizando su usuario y contraseña de acceso al sistema. Pero una vez más, estas medidas de seguridad se ven empañadas si un atacante consigue credenciales de acceso. Latch soluciona este problema de forma elegante. Permite controlar permanentemente los accesos al servidor OpenVPN, avisando de los intentos de acceso cuando el «pestillo» digital está cerrado. La instalación y configuración de Latch con OpenVPN es realmente fácil. La única modificación necesaria en el servidor OpenVPN es habilitar la autenticación PAM (si no lo está ya) añadiendo la siguiente línea al archivo de configuración (ejemplo para Ubuntu 14.04 LTS): plugin /usr/lib/openvpn/openvpn-plugin-auth-pam.so openvpn Al intentar iniciar una conexión con el Latch cerrado, se generará el siguiente log en el servidor: Logs de OpenVPN con Latch Con el correspondiente aviso de la aplicación advirtiendo que se ha intentado acceder con el «pestillo» cerrado. El proceso de instalación de Latch en este tipo de servidores es realmente rápida y sencilla, puesto que el proceso se encuentra perfectamente documentado. El uso de esta herramienta es recomendable tanto para los usuarios que se conectan al servidor como para los administradores que podrán proteger sus accesos de forma sencilla. Conclusiones Hace un tiempo perdí el smartphone, con todas las claves privadas en su interior. Quien encontrase el terminal podría haberlas extraído y usarlos para conectarse al servidor. La primera medida que tomé fue acceder vía SSH para detener el servidor OpenVPN, porque en ese momento no disponía ni de las herramientas ni del tiempo necesario para revocar los certificados. De esta forma evité que el potencial atacante se pudiera conectar, pero aun así hubo un tiempo de exposición que supuso un riesgo. Si Latch hubiera existido entonces, la ventana de exposición y por tanto el problema hubiera sido menor (o incluso nulo), puesto que el «pestillo» habría estado cerrado y aunque tuviera los certificados no podría haberse conectado. Aunque Latch por sí solo no proporcione mayor seguridad, sí permitirá tener todos los accesos bajo control. Desde el punto de vista del usuario, le será útil para disfrutar de una mayor seguridad en banca o en el correo electrónico, pero para los administradores de sistemas podría suponer un elemento fundamental en entornos donde un acceso no autorizado tendría graves consecuencias. * Proteger servidores OpenSSH y OpenVPN (también con Latch) (I) Sergio de Luz sergio.deluz@redeszone.net La seguridad en los métodos HTTPEl negocio de las «FakeApps» y el malware en Google Play (IX): ¿Qué hacen y cómo se programan las apps?
Telefónica Tech Boletín semanal de Ciberseguridad, 18 – 24 de marzo HinataBot: nueva botnet dedicada a ataques de DDoS El equipo de investigadores de Akamai ha publicado un informe en el que señala que han identificado una nueva botnet denominada HinataBot que dispondría...
Telefónica Tech Qué es el Esquema Nacional de Seguridad (ENS 2.0) La Ciberseguridad, la privacidad y la protección de los datos y de la información sensible son aspectos cada vez más importantes en la sociedad actual. Tanto para empresas y...
Nacho Palou 5G: cuatro casos de uso reales y prácticos El último informe “La Sociedad Digital en España 2022” [1] de Fundación Telefónica confirma la consolidación de los procesos de digitalización en la sociedad española. En este sentido, cabe...
Susana Alwasity Ciberseguridad: eventos “cisne negro” en un mundo conectado En la sociedad actual, la tecnología ha transformado la forma en que vivimos, trabajamos y nos relacionamos. Con el aumento del uso de dispositivos y redes conectados a internet,...
Telefónica Tech Boletín semanal de Ciberseguridad, 11 – 17 de marzo Nueva versión del troyano bancario Xenomorph Investigadores de ThreatFabric han detectado una nueva variante del troyano bancario para Android Xenomorph. Esta familia de malware fue detectada por primera vez en febrero...
Gonzalo Álvarez Marañón Matemáticas contra el cibercrimen: cómo detectar fraude, manipulaciones y ataques aplicando la Ley de Benford Cómo aplicar la ley de Benford para luchar contra el cibercrimen. La respuesta, en este post que utiliza las matemáticas para ayudar a la ciberseguridad.
