OpenSSH: Redes seguras al alcance de todos (P3)

Llegamos a la tercer entrega de esta serie de artículos relacionados al maravilloso mundo de las redes y protocolos seguros. Hasta aquí hemos hecho una introducción a OpenSSH, y hemos realizado el primer práctico a través de una red local LAN. Ahora llegó el momento de meternos de lleno al mundo de las redes extendidas y conectar dos terminales por internet.

Un breve repaso

Sin meternos demasiado en el mundo de las estructuras de computadoras y redes, comentaremos que Internet es una estructura sumamente compleja en cuanto a su conformación, ya que existen decenas, cientos o miles de conexiones entre todos los nodos y servidores. Más o menos, la estructura de Internet se graficaría como la Figura 1, donde en los extremos se encuentran los terminales unitarios como los que estamos utilizando ahora y en el centro se ubican clústers de computadoras mucho más complejos para el procesamiento de grandes cantidades de información.

Fig 1. Topología de Internet

Por eso simplemente se grafica internet como una nube, así también como cuando se habla de "servicios en la nube".

Por otra parte, las conexiones domésticas no suelen diferenciarse mucho de una topología como la de la Figura 2.

Fig 2. Topología de una red doméstica o de una empresa pequeña

Donde probablemente el router hace las veces de hub/switch si la cantidad de terminales es lo suficientemente pequeña.

¿Por qué necesito saber esto?

Es importante saberlo porque es aquí donde cobra importancia. Haciendo uso de las matemáticas, las direcciones IP (versión 4) soportan hasta 2³² = 4.294.967.296 direcciones. Y es muy muy probable que seas el feliz poseedor de una de ellas. El problema surge si utilizas un router WiFi para compartir la conexión entre varias PC's, Notebooks, Smartphones, etc. Esa IP será compartida por todos los dispositivos presentes en tu red.

Para lograrlo el router asigna una IP interna a cada dispositivo, y oficia como un NAT, otorgando acceso a internet a cada uno de los dispositivos conectados. Entonces, la pregunta es: Si tu router recibe una petición para SSH ¿Qué hacer con ella? ¿A quién se la debe enviar?

Preparando la Red

Ahí es donde entra el concepto de redireccionamiento de puertos, o en inglés "fowarding ports". Cada fabricante de routers admite esas modificaciones. Dado que es imposible abordar ese tema en este artículo, dejaré las directivas; y con el manual deberás realizar los cambios en tu router:

1. Ingresar al panel de configuración del router (mediante el navegador)
2. Buscar la opción de Redireccionamiento de puertos o en inglés Fowarding Ports
3. Todas las peticiones entrates con el pueto 22, dirigirlas hacia la IP de la PC que será servidor SSH.

Ya vemos que es escencial que el equipo que oficie de servidor tenga una IP interna estática. Esto también es configurable desde el router.

Otra vez con la seguridad...

Antes que nada, siempre hago especial énfasis en cuanto a las medidas de seguridad. No conectar nada ni dar por sentado ninguna configuración hasta que no se esté seguro que el sistema es seguro como una bóveda. Hay que recordar que SSH otorga privilegios de administrador a quienes accedan, por lo que un error aquí representa una falla gravísima de seguridad.

Ya redacté un artículo que cubre los aspectos fundamentales de seguridad. Verlo antes de continuar.

Asignando un DNS al equipo servidor

En casi todos los casos, se cuenta con una IP Dinámica de conexión a internet, por lo que cada cierto intervalo de tiempo notarás que tu IP cambia. Esto representa un problema (ya que si esto no fuese así, simplemente con que recordemos la IP del servidor, podríamos acceder a la PC desde cualquier lugar del mundo).

Afortunadamente existen servicios que asignan un Nombre de Dominio a una IP determinada, y cuando ésta cambia (existe un software que avisa de dicho cambio), la IP hacia la que apunta el DDNS es modificada automáticamente.

Así que tener un router compatible con DDNS ahorra mucho tiempo a la hora de tener que resolver direcciones.

Algunos proveedores de servicios DDNS:

• DynDNS
• No-IP
• Comexe

Los pasos básicamente son:

1. Registrarse
2. Registrar un DDNS para el equipo servidor
3. Agregar ese parámetro en el router (debe soportar DDNS)

A continuación muestro una captura de mi router, en cuanto a la configuración DDNS:

Fig 3. Configuración DDNS desde el router

Como se ve, sea cual sea mi IP, no importa si éste varía, el DDNS será actualizado, así no tenemos que andar recordando una determinada IP.

A probar la nueva conexión

Con el redireccionamiento de puertos configurado correctamente en el router, y el DDNS logueado y activado, es posible poner a prueba la conexión desde algún sitio remoto. En mi caso lo he probado desde zonas geográficamente distintas (si funciona desde la casa del vecino, funcionará desde cualquier lugar del mundo).

Por ejemplo mi conexión es

ssh cristian1604@cristian1604.dyndns-ip.com

Y genéricamente

ssh usuario@ip-servidor

Una vez establecida la conexión, la imaginación es el límite de lo que se puede lograr.

Si recuerdan la captura del artículo anterior, entonces habrán notado que no se trató de un enlace en una red LAN, sino a través de internet. Esta particularmente fue una conexió a una PC en un area grográfica distinta a la que me encontraba, Figura 4.

Fig 4. Conexión remota por SSH a través de Internet.

Eso es todo.

Lectura adicional (importante)

• Topología de Internet (italiano)
• Binarios: ¿Cómo funciona un DNS?
• Binarios: Protege de intrusos los accesos remotos por SSH
• Binarios: OpenSSH: Redes al alcance de todos (P2)
• Binarios: OpenSSH: Redes al alcance de todos (P1)

¡Espero con ansias leer sus experiencias, dudas o sugerencias! ¿Para qué utilizas SSH? ¿Utilizas SSH?

Saludos!