LabEx
EntrarÚnete

Cómo fortalecer la configuración del servidor SSH

NmapBeginner
Practicar Ahora

Introducción

En el panorama en constante evolución de la Ciberseguridad, asegurar las configuraciones del servidor SSH es crucial para proteger la infraestructura de red crítica. Este tutorial completo proporciona a los administradores de sistemas y profesionales de la seguridad estrategias esenciales para fortalecer la seguridad del servidor SSH, mitigar las vulnerabilidades potenciales y prevenir intentos de acceso no autorizado.

Conceptos Básicos de SSH

¿Qué es SSH?

Secure Shell (SSH) es un protocolo de red criptográfico que proporciona una forma segura de acceder y administrar dispositivos y servidores de red de forma remota. Ofrece una alternativa segura a los métodos tradicionales de acceso remoto, como Telnet, que no son seguros.

Características Clave de SSH

SSH proporciona varias características de seguridad cruciales:

Característica Descripción
Cifrado Cifra todo el tráfico entre el cliente y el servidor
Autenticación Admite múltiples métodos de autenticación
Integridad de los datos Previene la manipulación de datos durante la transmisión
Túneles Permite el reenvío seguro de puertos

Flujo de Conexión SSH

graph LR A[Cliente SSH] --> B{Servidor SSH} B --> |Autenticación| C[Canal Seguro] C --> |Comunicación Cifrada| D[Shell Remoto/Ejecución de Comandos]

Métodos de Autenticación

SSH admite múltiples mecanismos de autenticación:

  1. Autenticación basada en contraseña
  2. Autenticación basada en clave pública
  3. Autenticación basada en host
  4. Autenticación multifactor

Comandos Básicos de SSH

## Conectarse al servidor remoto
ssh username@hostname

## Generar un par de claves SSH
ssh-keygen -t rsa -b 4096

## Copiar la clave pública al servidor remoto
ssh-copy-id username@hostname

Archivos de Configuración de SSH

Archivos de configuración clave para SSH:

  • /etc/ssh/sshd_config: Configuración del lado del servidor
  • ~/.ssh/config: Configuración específica del cliente
  • ~/.ssh/authorized_keys: Claves públicas autorizadas

Recomendación de LabEx

Para la práctica de seguridad SSH práctica, LabEx proporciona entornos de administración de servidores Linux completos para ayudarte a dominar la configuración y las técnicas de endurecimiento de SSH.

Acortamiento del Servidor

Acortamiento de la Configuración del Servidor SSH

Modificación del Archivo de Configuración SSH

El archivo principal de configuración del servidor SSH se encuentra en /etc/ssh/sshd_config. El acortamiento implica modificaciones estratégicas para mejorar la seguridad.

## Editar la configuración SSH
sudo nano /etc/ssh/sshd_config

Parámetros Clave de Acortamiento

Parámetro Valor Recomendado Propósito
Puerto Puerto no estándar Reduce el escaneo automatizado
PermitRootLogin no Previene el acceso directo a root
PasswordAuthentication no Impone la autenticación basada en clave
MaxAuthTries 3 Limita los intentos de inicio de sesión
AllowUsers nombres_de_usuario_específicos Restringe el acceso de usuario

Deshabilitar Métodos de Autenticación Innecesarios

## Fragmentos de configuración recomendados
PermitRootLogin no
PasswordAuthentication no
ChallengeResponseAuthentication no
UsePAM no

Administración de Claves SSH

Generación de Claves SSH Fuertes

## Generar una clave RSA fuerte
ssh-keygen -t rsa -b 4096 -f ~/.ssh/id_rsa_secure

Permisos de Clave

## Establecer los permisos correctos de la clave
chmod 700 ~/.ssh
chmod 600 ~/.ssh/authorized_keys

Acortamiento a Nivel de Red

graph TD A[Servidor SSH] --> B{Firewall} B --> |Permitir IP Específica| C[Acceso Autorizado] B --> |Bloquear| D[Acceso No Autorizado]

Configuración del Firewall

## Configuración de UFW (Firewall Sencillo)
sudo ufw allow from 192.168.1.0/24 to any port 22
sudo ufw enable

Técnicas de Protección Avanzadas

Instalar Fail2Ban

## Instalar y configurar Fail2Ban
sudo apt-get install fail2ban
sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local
sudo systemctl restart fail2ban

Monitoreo y Registro

## Habilitar el registro detallado de SSH
sudo sed -i 's/#LogLevel INFO/LogLevel VERBOSE/' /etc/ssh/sshd_config
sudo systemctl restart sshd

Sugerencia de Seguridad de LabEx

LabEx recomienda practicar estas técnicas de acortamiento en entornos controlados para desarrollar habilidades sólidas de seguridad SSH.

Reiniciar el Servicio SSH

## Aplicar los cambios de configuración
sudo systemctl restart sshd

Verificación

## Comprobar la configuración de SSH
sudo sshd -t

Mejores Prácticas de Seguridad

Estrategia Integral de Seguridad SSH

Mecanismos de Autenticación

Método Nivel de Seguridad Recomendación
Clave Pública Alto Preferido
Multifactor Muy Alto Recomendado
Contraseña Bajo Evitar

Mejores Prácticas de Administración de Claves

## Generar una clave SSH robusta
ssh-keygen -t ed25519 -a 100

Configuración de Seguridad de la Red

Reglas de Firewall

## Restringir el acceso SSH por IP
sudo ufw limit from 192.168.1.0/24 to any port 22

Protección Avanzada de la Red

graph TD A[Servidor SSH] --> B{Firewall de Red} B --> C[Lista Blanca de IPs] B --> D[Limitación de Tasa] B --> E[Detección de Intrusiones]

Monitoreo y Registro

Estrategia Integral de Registro

## Configurar registro avanzado
sudo sed -i 's/LogLevel INFO/LogLevel VERBOSE/' /etc/ssh/sshd_config

Herramientas de Análisis de Registros

  • Fail2Ban
  • Logwatch
  • OSSEC

Recomendaciones de Cifrado

Protocolos Soportados

## Deshabilitar protocolos débiles
Protocol 2
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com

Mantenimiento de Seguridad Regular

Tareas Periódicas

  1. Actualizar paquetes SSH
  2. Rotar claves SSH
  3. Revisar registros de acceso
  4. Auditar permisos de usuario

Técnicas de Protección Avanzadas

Seguridad de Túneles SSH

## Deshabilitar túneles innecesarios
AllowTcpForwarding no
X11Forwarding no

Recomendación de Seguridad de LabEx

LabEx sugiere implementar estas prácticas de forma incremental y realizar pruebas en entornos controlados.

Script de Rotación de Claves

#!/bin/bash
## Script de Rotación de Claves SSH
ssh-keygen -t ed25519 -f /etc/ssh/ssh_host_ed25519_key -N ''
systemctl restart sshd

Mejora Continua

Lista de Verificación de Seguridad

  • Deshabilitar el inicio de sesión de root
  • Usar autenticación basada en claves
  • Implementar autenticación multifactor
  • Auditorías de seguridad regulares
  • Mantener los sistemas actualizados

Balance entre Rendimiento y Seguridad

graph LR A[Seguridad SSH] --> B{Configuración Equilibrada} B --> |Moderada| C[Rendimiento Óptimo] B --> |Extrema| D[Alta Seguridad] B --> |Mínima| E[Baja Protección]

Recomendaciones Finales

  1. Nunca sacrifique la seguridad por la conveniencia.
  2. Manténgase actualizado con los últimos parches de seguridad.
  3. Implemente el principio de privilegio mínimo.
  4. Aprenda y adapte continuamente.

Resumen

Al implementar las técnicas de fortalecimiento del servidor SSH discutidas, las organizaciones pueden mejorar significativamente su postura de ciberseguridad. Estas mejores prácticas no solo protegen contra posibles intrusiones en la red, sino que también establecen un mecanismo de defensa robusto que protege la infraestructura sensible y mantiene la integridad de los protocolos de acceso remoto.

Relacionado Nmap Cursos
Nmap para Principiantes

Nmap para Principiantes

cybersecuritynmaplinux
Escaneo de redes práctico con Nmap en Linux

Escaneo de redes práctico con Nmap en Linux

cybersecuritynmaplinux
Escaneo con Nmap y Acceso Telnet

Escaneo con Nmap y Acceso Telnet

cybersecuritynmaplinux