viernes, 14 de diciembre de 2007

Instalando OpenBSD y S keys



OpenBSD es el "Unix seguro" que trae incorporadas características de criptografía y seguridad lo que lo hace especial para implementar firewalls en servidores donde la seguridad es un factor crítico, usando PF (packets filter) con scripts de texto que describen las reglas de que tráfico es permitido y cual es bloqueado.

Encontré una excelente guía en la web Open BSD 4.2 que trae todo lo necesario para instalar el sistema, desde donde obtener la imagen ISO hasta el procedimiento detallado de instalación. Para instalar sobre Virtual PC casi no hay que hacer ningún cambio, excepto uno obvio en Network Configuration, en IPv4 address for fxp0? hay que escoger DHCP en lugar de la IP fija que aparece en el ejemplo, en DNS nameserver? ofrecerá por defecto la IP de nuestro servidor DNS así es que solo hay que poner Enter. El resto todo funciona tal cual detalla el ejemplo de la web Open BSD. Luego de configurar la red pasará a la instalación de los paquetes, como esto lo hace online desde un sitio ftp (hay que escoger cualquiera de las varias alternativas que se presentan) se aprovecha de ver enseguida si el networking del paso anterior quedó funcionando.

S keys
Se trata de un sistema seguro para identificarse y accesar remotamente a sistemas Linux, el procedimiento de autenticación tiene varias partes, hay un procedimiento que se hace solo una vez para generar el párrafo secreto a prueba de sniffers:

-Se establece una conexión SSH (con Putty por ejemplo) con el administrador del servidor, quien nos envía un password provisional por un medio inseguro (por ejemplo jabber o cualquier IM). Al conectarse por SSH por primera vez se usa passwd para cambiar el password inseguro. Luego para obtener el nuevo password se usa
skeyinit -n 100 -md5
y con eso se escoge un nuevo párrafo secreto que valdrá para las próximas 100 sesiones

Esto se hace solo una vez y dura para 100 sesiones, para accesar a cada sesión se usa:

- Ingresar a la página de login del servidor remoto y se coloca el nombre de usuario, luego Submit Query, con esto aparece la pregunta de "challenge" del servidor.
- Ingresar a http://www.finnie.org/otp/ y se ingresa el challengue y el párrafo secreto, luego se hace click en Compute with MD5, aparece entonces una "Response" consistente en 6 palabras, por ejemplo: OAR BANK SHE ED KNEE SOWN
-Se vuelve a la página login del servidor y se coloca la respuesta junto con el nombre de usuario, se recarga la página hasta que aparezca el mensaje que el firewall concedió el acceso. Se puede ajustar la duración del acceso entre media hora y dos semanas.

Con eso se puede acceder al servidor traspasando el firewall

2 comentarios:

Alekid dijo...

Hola soy del proyecto OpenBSD Support Argentina. Si estan interesados en aprender mas sobre OpenBSD, los invito a pasar por el sitio para obtener manuales, ayudas, ejemplos, libros.

link: http://wwww.openbsdsupport.com.ar/

Tomas Bradanovic dijo...

Excelente sitio con información en español, muchas gracias!