Tag Archive: Security


Ya publique antes uno de los excelentes videotutoriales y contenidos del  proyecto Intypedia, la enciclopedia online sobre seguridad de la información.

Ahora aprovecho para mencionar que este proyecto se encuentra en búsqueda de patrocinadores para el lanzamiento de su segunda temporada. Si ud. está interesado en patrocinar todos o algunos vídeos de esta colección, por favor póngase en contacto con sus autores via el correo:

info (ARROBA) intypedia.com

En caso de no aparecer sponsor para 2012, las puertas de la biblioteca de Intypedia deberán cerrarse a nuevos vídeos a partir del mes de marzo, cuando se publique la Lección 14 sobre Funciones Unidireccionales y Hash, del autor Dr. Hugo Krawczyk de IBM USA.

Me parece  muy importante que podamos colaborar con este proyecto, es grandiosa la cantidad de contenidos que han generado con la didactica particular que los caracteriza,  cada uno de estos videos esta destinados a formar, concientizar y a la vez entrenar al usuario sobre la importancia de su información, lo fácil que puede ser vulnerada y que acciones o mecanismos puede emplear para prevenir esto.

Proyectando a futuro creo que Intypedia se va a convertir en LA enciclopedia sobre seguridad de la información y una fuente inagotable de recursos valiosos siempre y cuando cuente con nuestro apoyo.

Ahora si, a continuacion el ultimo video que ha salido de Intipedya:  Lección 12 Seguridad en redes Wi-Fi

Particularmente en mi trajin diario administro muchos servidores UNIX/Linux en forma remota mediante el protocolo  de acceso encriptado SSH. Buena cantidad de estos equipos se encuentran accesibles desde Internet y por lo tanto quedan expuestos a posibles atacantes. Es una tarea basica de un SysAdmin reducir las posibilidades de exposición de los servicios hacia Internet a dichos atacantes. Para ello existen, en el caso de SSH desde tips y herramientas para reforzar la configuración del mismo, y principalmente el mismo manual de ssh. Tal es así que en esas busquedas locas que realizo por la net me tope con Pam_Captcha. PAM Captcha realiza una implementacion de preautenticacion mediante ingreso de código captcha en interfaz asccii para prevalidar el acceso e intentar reducir los ataques de fuerza bruta que se puedan efectuar contra  nuestro servidor SSH.

Que es PAM? : Son las siglas de Pluggable Authentication Modules, o traduciendo seria Módulos de Autentificacion Conectables, que en un sistema GNU/Linux actual  es el núcleo de las autenticaciones de los usuarios que permiten  acceder a las aplicaciones  o servicios del sistema. Debido a su característica modular es posible entre otras posibilidades la combinación de mecanismos de autentificacion del usuario, que es lo que vamos a hacer en el presente articulo.

Implementando PAM_Captcha Para poner  a funcionar empezamos por descargarlo de:

http://www.semicomplete.com/projects/pam_captcha/

$ wget -c http://semicomplete.googlecode.com/files/pam_captcha-1.5.tar.gz
$ tar xvfz pam_captcha-1.5.tar.gz
$ cd pam_captcha-1.5
$ sudo make

Si tuviste algún problema al compilar se deben instalar las siguientes dependencias, Figlet  y los headers del paquete de las librerias de PAM. En mi caso particular (uso Debian Squeeze) instale los módulos libpam0g-dev y figlet, dependencias para que se compile correctamente el modulo.

$ sudo apt-get install libpam0g-dev figlet

Una vez ejecutado el:

$ sudo make

dentro del directorio que descomprimimos, y si vemos que no se genero ningún error, ya deberíamos tener disponible el archivo libpam_captcha.so en el directorio. Cambiamos los permisos del archivo a

$ sudo chmod 644 libpam_captcha.so

y lo copiamos al directorio donde se localicen los modulos de PAM, en mi caso:

$ sudo cp libpam_captcha.so /lib/security

A continuación modificamos el archivo de configuración de PAM para Ssh en /etc/pam.d/sshd, añadiendo la siguiente linea:

auth       requisite     pam_captcha.so    math randomstring

Los parámetros finales son opciones del modulo Pam, donde math muestra como captcha un calculo aritmético simple, randomstring una cadena aleatoria de caracteres y números, y dda es una opción que solo existe a niveles de diversión :). Luego hay que modificar algunos parámetros de configuración del demonio SSH, para ellos cambiamos  el siguiente archivo:

/etc/ssh/sshd_config

añadiendo o modificando las lineas a los siguientes valores:

PasswordAuthentication no
ChallengeResponseAuthentication yes

Luego de esto reiniciamos el servidor ssh

$ sudo /etc/init.d/ssh restart

Y listo ! :). Espero les sirva. Saludos a todos. Dejo un screencast con un paso a paso de como se vería la implementacion y el funcionamiento de Pam_Capchat:

Enlace directo a vimeo: http://vimeo.com/15587452