REPBLICA BOLIVARIANA DE VENEZUELA.

MINISTERIO DEL PODER POPULAR PARA LA CIENCIA, TECNOLOGA Y

EDUACIN UNIVERSITARIA.
UNIVERSIDAD BOLIVARIANA DE VENEZUELA. SEDE: FALCN.
PROGRAMA DE FORMACIN DE GRADO: INFORMTICA PARA LA
GESTIN SOCIAL.
TRAMO: VIII
UNIDAD CURRICULAR: SEGURIDAD INFORMTICA.

Aspectos Importantes y
Seguridad de SSH.

Realizado por:
T.S.U Miguel; Arnaldo,
T.S.U Robertis Cuauro; Aly.

Los Taques; diciembre de 2016.

I. Qu es SSH?
Secure Shell o SSH es un protocolo de red que permite el intercambio de
datos sobre un canal seguro entre dos computadoras. SSH usa tcnicas de
cifrado que hacen que la informacin que viaja por el medio de comunicacin
vaya de manera no legible y ninguna tercera persona pueda descubrir el
usuario y contrasea de la conexin ni lo que se escribe durante toda la sesin.
SSH usa criptografa de clave pblica para autenticar el equipo remoto y
permitir al mismo autenticar al usuario si es necesario.
SSH se suele utilizar para iniciar una sesin en una mquina remota,
donde poder ejecutar rdenes, pero tambin permite la tunelizacin, el reenvo
de puertos TCP de forma arbitraria y de conexiones X11; tambin se pueden
realizar transferencias de archivos usando protocolos SFTP o SCP asociados.
Un servidor SSH, por defecto, escucha el puerto TCP 22. Un programa
cliente de SSH es utilizado, generalmente, para establecer conexiones a un
demonio sshd que acepta conexiones remotas. Ambos se encuentran
comnmente en los sistemas operativos ms modernos, incluyendo Mac OS X,
Linux, Solaris y OpenVMS. Existen versiones propietarias, freeware y opensource de varios niveles de complejidad y exhaustividad.

II. Historia.
Al principio slo existan los r-commands, que eran los basados en el
programa rlogin, el cual funciona de una forma similar a telnet.
La primera versin del protocolo y el programa eran libres y los cre un
finlands llamado Tatu Ylnen, pero su licencia fue cambiando y termin
apareciendo la compaa SSH Communications Security, que lo ofreca
gratuitamente para uso domstico y acadmico, pero exiga el pago a otras
empresas. En el ao 1997 (dos aos despus de que se creara la primera
versin) se propuso como borrador en la IETF.
A principios de 1999 se empez a escribir una versin que se convertira
en la implementacin libre por excelencia, la de OpenBSD, llamada OpenSSH.

III. Instalacin de SSH.

1. DISPONER DE UN SERVIDOR SSH

El servidor SSH lo podemos montar nosotros mismos tranquilamente en

nuestra casa. Imaginemos que tenemos un servidor conectado las 24 horas o
un ordenador que no le damos ningn uso. Si este es el caso lo encendemos.
Lo primero que tenemos que hacer es asegurar que nuestro ordenador
dispone de un servidor SSH instalado. En la gran mayora de distros de Linux el
servidor SSH se instala por defecto al instalar el sistema operativo. En el caso
que nuestra distro linux no tuviera un servidor SSH instalado tan solo
tendramos que abrir una terminal y ejecutar los siguientes comandos:
sudo apt-get install openssh-server openssh-client

Es necesario que tanto la parte del servidor como la parte del cliente
tengan instalados los 2 paquetes que se acaban de mencionar. En caso
contrario no podremos establecer el tnel.
Una vez instalado el servidor ser plenamente funcional. En
principio podramos entrar dentro del archivo de configuracin del servidor
para modificar ciertos parmetros introduciendo el siguiente comando en la
terminal:
sudo gedit /etc/ssh/sshd_config

El objetivo de modificar ciertos parmetros es hacer ms seguro nuestro

servidor contra posibles ataques o accesos no deseados. La configuracin
estndar funcionar adecuadamente para el fin que nosotros necesitamos.
2. DISPONER DE UN SERVICIO DNS DINMICO O UNA IP FIJA.
Una vez instalado el servidor SSH tenemos que hacer que nuestro
servidor SSH sea accesible desde el exterior. En el caso que nuestro servidor no
sea accesible desde el exterior nosotros no podramos crear el tunel SSH desde
la cafetera hasta el servidor SSH que tenemos en nuestra casa.
Si disponemos de una conexin de Internet con IP Fija, cosa que es poco
probable, tan solo tenemos que averiguar nuestra IP Pblica. Para ello
accedemos a la siguiente pgina web:

Como se puede ver en la captura de pantalla aparecer nuestra IP

Pblica y al disponer de un servicio de IP Fija siempre tendremos la misma IP.
Desafortunadamente la mayora de ISP acostumbra a ofrecer sus productos
bsicos con IP Dinmica.
3. REDIRECCIONAR LA PETICIN DEL ROUTER AL SERVIDOR SSH.
Una vez conocemos nuestra IP Pblica o una vez tengamos configurado
el servicio dinmico DNS, entonces tenemos que entrar en la configuracin del

router y redirigir las peticiones de nuestra IP pblica o dominio DNS a la IP

interna del servidor SSH.
Para ello primero tenemos que conocer la IP interna que tiene nuestro
servidor SSH. Para conocer la IP interna del servidor SSH abrimos una terminal
y tecleamos el comando:
sudo ifconfig
El resultado obtenido es el siguiente:

Como se puede ver en la captura de pantalla la IP interna de nuestro

servidor SSH es la 192.168.1.115.
Debemos aseguraros que la IP interna de vuestro servidor sea Fija.
Una vez conocemos la IP interna del servidor SSH accedemos a la
configuracin del Router abriendo el navegador e introduciendo nuestra puerta
de entrada. Una vez introducida la puerta de entrada, que acostumbra a ser
192.168.1.1, tal y como podemos ver en la captura de pantalla tendremos que
introducir nuestro nombre de usuario y contrasea:

Una vez hemos accedido a la configuracin del Router buscamos en el

men de nuestro router un apartado que ponga Virtual Servers. En mi
router como se puede ver en la captura de pantalla se halla en Advanced
Setup / NAT / Virtual Servers:

Una vez dentro de Virtual Servers presionamos el botn Add para

aadir nuestro servidor SSH. Una vez presionado el botn Add aparecer la
siguiente pantalla:

Como se puede ver en la captura de pantalla en Server IP Address

tendremos que indicar la IP interna de nuestro servidor SSH.
En seleccionar servicio elegimos la opcin Secure Sheell Server (SSH). Al
seleccionar esta opcin la configuracin de los protocoles y puertos se realizar
automticamente. Como se puede ver en la captura de pantalla el servicio SSH
funciona mediante el protocolo TCP y el puerto 22.
*En el caso que hayas modificado el puerto estandard de funcionamiento
del servidor SSH tendris que sustituir el puerto 22 por el que habis elegido.
Una vez realizados los pasos tan solo tenemos que apretar el botn
Save/Apply.
4. CONFIGURAR EL FIREWALL PARA QUE PERMITA CONEXIONES
ENTRANTES POR EL PUERTO 22
En el caso que nuestro servidor SSH disponga de un firewall tendremos
que asegurar que permita conexiones entrantes y salientes por el puerto 22, o
por el puerto que hayamos elegido en nuestro servidor SSH.
Si el proceso lo vais a realizar con gufw pueden consultar al siguiente
post para hacer que nuestro servidor permita las conexiones entrantes por el
puerto 22.
En el caso que prefieran hacerlo directamente con iptables tan solo
tienen que usar las siguientes reglas para permitir el trafico entrante y saliente
por el puerto 22 en nuestro servidor:
iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -m state --state
ESTABLISHED -j ACCEPT
5. ESTABLECER EL TUNEL SSH.
Una vez realizados todos los pasos correctamente ya podemos
establecer el tunel SSH. Por la tanto una vez estamos conectados a la red local
de la cafetera abriremos una terminal e introduciremos el siguiente comando:
ssh -p 22 -N -D 8081 joan@geekland.sytes.net

Una vez introducido el comando en la terminal nos pedir la contrasea

de la cuenta de usuario del servidor SSH. Una vez introducida la contrasea el
tunel se establecer. Ahora tan solo tenemos que mantener la terminal abierta
y sin cerrarla.
El significado de los trminos introducidos en la terminal para establecer
el tunel SSH es el siguiente:
-p 22: Con este parmetro indicamos el puerto de escucha de nuestros
servidor SSH. El puerto de escucha estndard acostumbra a ser el 22 para los
servidores SSH. En el caso que hayamos modificado el puerto de escucha
deberemos sustituir el 22 por nuestro puerto real de escucha.
-D 8081: Estamos especificando que se realice un reenvio dinmico de
puertos o tunel dinmico. Por lo tanto con este comando estamos indicando
que el tunel SSH se establezca a travs del puerto local 8081. En el puerto
8081 habr un servidor proxy socks que escuchar las conexiones del puerto
8081. Cuando el servidor proxy socks detecte una solicitud o conexin en el
puerto 8081 enviar el trfico cifrado a travs del tunel SSH que creamos entre
la cafetera y nuestra casa. Una vez la peticin/informacin llegue a nuestra
casa o servidor SSH, como hemos establecido un tunel dinmico, se redirigir
al sitio de Internet que queremos conectarnos que por ejemplo podra ser
Facebook o Twitter.
*Estamos usando el puerto 8081 pero se puede usar cualquiera de los
puertos no privilegiado que van desde el 1025 al 65535. En el caso de querer

usar un puerto privilegiado deberemos hacerlo como root aadiendo sudo al

inicio comando para establecer el tunel SSH.
*El servidor local Proxy Socks es quien realmente est enviando el trafico
de nuestro ordenador al servidor SSH que est en una red local segura. Por lo
tanto la informacin que reciba el servidor proxy socks a travs del cliente, que
en este caso es Firefox, debe enviarse con el protocolo Socks. Por lo tanto los
clientes como Firefox u otros debern ser capaces de enviar sus peticiones a
travs del protocolo socks. En el caso que la aplicacin no soporte la
comunicacin con el protocolo socks no se podr establecer la conexin. Para
aplicaciones que no soporten socks tenemos la opcin de usar tsocks en
nuestro ordenador.
-N: Permite que se establezca el tunel SSH pero que no se abra una
sesin interactiva con el servidor SSH. En el caso de no usar esta opcin,
nuestra conexin SSH estar permanentemente abierta y si alguien nos robar
el ordenador o nos despistaros y alguien malintencionado tuviera acceso al
ordenador nos podra por ejemplo borrar completamente la informacin que
tenemos almacenada en nuestro servidor SSH.
joan: Es simplemente la cuenta de usuario del servidor SSH.
geekland.sytes.net: Simplemente es el dominio de nuestro servicio
dinmico DNS el cual apunta a la IP Pblica del servidor SSH. En el caso de
tener IP Fija en vez del dominio tendris que introducir vuestra IP Pblica.
6. CONFIGURAR
ADECUADAMENTE.

EL

NAVEGADOR

PARA

QUE

FUNCIONE

A estas alturas el tunel ya se ha establecido. Ahora el siguiente paso es

configurar cada una de las aplicaciones que queremos que funcionen a travs
del tunel SSH. En este caso nosotros vamos a usar el navegador Firefox.
Para conseguir que Firefox funcione a travs de un proxy socks y la
totalidad de trfico generado y recibido se enve a travs del tunel SSH lo
vamos a realizar a travs de una extensin que se llama FoxyProxy.
*En el caso que uses Chrome o Chromium solo comentar que tambin
existe Foxyproxy. Para Chrome o Chromium existe una alternativa similar a
Foxyproxy que se llama Proxy Switchy. Con Proxy Switchy el procedimiento es
muy similar a FoxyProxy.
El primer paso que haremos es abrir el navegador Firefox. Tal y como
podemos ver en la captura de pantalla accedemos al men de Complementos:

Una vez estamos dentro del men de complementos nos ubicamos

encima del cuadro de bsqueda del extremos superior derecho y escribimos
Foxy Proxy. Seguidamente presionamos Enter:

Como se puede ver en la captura de pantalla una vez terminada la bsqueda

tan solo tenemos que presionar el botn de Instalar y seguidamente
reiniciaremos el navegador. Una vez reiniciado el navegador veremos que
aparece el icono que selecciono con el puntero del mouse en la captura de
pantalla:

Presionamos el botn de FoxyProxy con el botn izquierdo del mouse.

Una vez presionado el botn aparecer la siguiente pantalla:

Como se puede ver en la captura de pantalla anterior apretamos el botn de

Aadir nuevo Proxy. Una vez presionado el botn aparecer la siguiente
pantalla que es donde vamos a configurar Firefox:

Si observamos la captura de pantalla podremos ver la configuracin que

tenemos que introducir. Primero de todo tenemos que tildar la casilla
de configuracin manual del proxy. A continuacin como el servidor proxy
socks actuar localmente en nuestro ordenador en el apartado Host or IP
address tenemos que introducir 127.0.0.1. Como el tunel SSH lo hemos abierto
a travs del puerto 8081 en la celda puerto tenemos que introducir el nmero
de puerto 8081. Para finalizar tan solo tenemos que tildar la opcin proxy
socks? y seleccionar la opcin Socks v5 ya que la versin 5 del protocolo socks
es ms moderna y ofrece mayor seguridad que la versin 4.
Una
vez
realizados
todos
los
pasos presionamos
el
botn Aceptar. Seguidamente aparecer una ventana adicional en la cual
tendremos que seleccionar la opcin Aceptar de nuevo. Una vez realizado este
paso el proceso de configuracin a finalizado. Cerramos el navegador y lo
volvemos abrir de nuevo.
Justo al abrir el navegador analizamos cual es nuestra IP. Para ello accedemos a
la siguiente pgina web:
http://www.vermiip.es/
El resultado obtenido es el siguiente:

Como se puede ver en la captura de pantalla nuestra IP es XX.XX.XX.163 .

Seguidamente nos conectamos a travs del tunel SSH y comprobamos de
nuevo nuestra IP.

Para hacer que el trfico entrante y saliente de Firefox circule por el tunel SSH,
como se puede ver en la captura de pantalla lo nico que tenemos que hacer
es dar click con el botn derecho encima del icono de Foxy Proxy y seleccionar
la opcin que contiene los datos 127.0.0.1:8081. Una vez seleccionada la
opcin pasamos de nuevo a comprobar nuestra IP y el resultado es el
siguiente:

Como se puede ver ahora nuestra IP pblica ahora es diferente. Antes

terminaba en 163 y ahora termina en 243. Este hecho es indicativo
que todo est funcionando a la perfeccin. La IP que podris visualizar es
la IP de vuestro servidor SSH.
En el caso que queramos que Firefox vuelva a utilizar la configuracin
estndard y que no se use el tunel SSH para enviar y recibir nuestro trfico,
como se puede ver la captura de pantalla, tan solo tenemos que volver a
presionar el botn derecho del mouse encima del icono de FoxyProxy y
seleccionar la opcin Deshabilitar FoxyProxy completamente:

*En el caso que estemos navegando y nuestro servidor SSH se cayera no hay
que temer por nada. En el momento que se cayera el servidor SSH
simplemente no podramos navegar. Por lo tanto en principio nunca estaremos
expuestos a los ataques que nos puedan lanzar a otros usuario de la red local
dnde estemos.
*Lo que se puede hacer es dejar configurado permanentemente Firefox para
navegar a travs del tunel SSH y siempre que tengamos necesidad de navegar
en una red insegura usaremos Firefox. Si estamos navegando en una red local
segura podemos usar Chrome, Chromium, Opera u otro navegador.
7. COMPROBACIN DE LOS BENEFICIOS DEL TUNEL SSH.
Por si os queda alguna duda de si puede ser efectivo un tunel SSH os voy a
ensear un fcil ejemplo de lo efectivo que puede llegar a ser.
Imaginemos que estamos conectados en la cafetera y queremos entrar en un
foro de Lubuntu.

Como se puede ver en la captura de pantalla, para acceder al foro de Lubuntu

estamos introduciendo nuestro nmero de usuario y contrasea. Una vez
introducidos accederemos dentro del foro. Pero qu pasa si alguien est
esnifando el trfico que generamos? Pues pasar lo siguiente:
Como se puede ver en la captura de pantalla alguien ha estado esnifando
nuestro trfico con el sniffer wireshark. Si observamos la captura de pantalla
podemos ver que el paquete 8 contiene nuestro usuario y contrasea del foro
de Lubuntu. Por lo tanto un atacante real se podra haber apoderado de
nuestro usuario (password) y contrasea (password) de forma muy simple.
*Muchos pensarn que la pgina web no dispona de cifrado SSL por ejemplo,
pero la verdad es que hoy en da incluso con pginas cifradas con SSL nos
pueden llegar a robar nuestras contraseas con SSLstrip.
Ahora llega el momento de preguntarnos qu pasara si alguien se dedicara a
esnifar el trfico cuando nosotros estamos navegando a travs del tunel SSH.
Para hacer la comprobacin volveremos a entrar en el Foro de Lubuntu. Igual
que como hicimos con anterioridad al acceder al foro introduciremos nuestro
nombre y contrasea y accederemos al foro.
Ahora pasaremos a ver lo que un posible atacante podra haber capturado:

Como se puede ver en la captura de pantalla de la totalidad de paquetes

esnifados no hay ninguno de color verde que son los que
corresponden al protocolo http. Lo que si podemos observar es que
ahora la mayora de paquetes usan el protocolo SSH y adems en
informacin podemos leer la palabra Encrypted Response. Adems si
intentramos reconstruir cualquiera de los paquetes con el protocolo SSH el
resultado sera completamente ilegible.
Adems si realizamos un filtro por tipo de paquete podemos ver que no se ha
capturado ni un solo paquete http que son los que acostumbran a contener
informacin en texto plano como por ejemplo passwords, nombres de usuario,
etc.

Por lo tanto realizada esta pequea prueba podemos afirmar que en estos
momentos es mucho ms difcil ser espiado y ser atacado por usuarios que
estn conectados dentro de nuestra misma red local.

IV. Utilidad de un Tnel SSH.

La principal utilidad que le podemos dar a un tnel SSH la detallamos a
continuacin:
Tan solo tenemos que imaginarnos que estamos en un lugar pblico, como por
ejemplo puede ser la cafetera de un aeropuerto, y nos queremos a conectar a
una pgina web a travs de nuestro navegador.

En la cafetera del aeropuerto como podis imaginar no estaremos solos. Como

se puede ver en la imagen habr multitud de usuarios conectados a la misma
red local (LAN) que nosotros y como podis imaginar esto es un problema de
seguridad importante.
Bsicamente es un problema de seguridad importante porqu somos
susceptibles de recibir multitud de ataques que nos pueden lanzar cualquiera
de los usuarios que estn conectados a la misma red local que nosotros.
Utilidades de Seguridad:
Los siguientes son algunas de las funciones que podemos realizar y ataques
que podemos evitar:
1- Esnifar el trfico que estamos generando:
Como todos sabemos, hoy en da multitud de conexiones a Internet se realizan
mediante el protocolo http. El protocolo http tiene la particular de transferir la
informacin en texto plano sin cifrar.
Por lo tanto esto implica que cualquier integrante de la red local de la cafetera,
mediante Sniffers como Wireshark o Ettercap, puede interceptar nuestro trfico
fcilmente. Por lo tanto con un simple sniffer el atacante podra averiguar
contraseas de servicios que tenemos contratados o usamos, como por
ejemplo el servicio de wordpress, servidores ftp, telnet, etc. Adems el
atacante podr averiguar fcilmente a los sitios a los que nos estamos
conectando.
2- Un ataque Man in the Middle (MitM):

Cualquier integrante de la red local puede de forma muy fcil realizarnos un

ataque Man in the middle. Como se puede ver en el grfico de este apartado, si
un atacante lanza el ataque man in the Middle estar interceptando la totalidad
de nuestro trfico tanto de entrada como de salida. Una vez el atacante haya
interceptado el trfico tendr la capacidad de leer y modificar a voluntad el
trfico que nosotros estamos generando o recibiendo.
Esto es posible porqu el Host C se coloca entre el Host A y el Host B. Cuando
el Host A enve trfico al Host B, antes de pasar por el Host B pasar por el
Host C. En el momento que el trfico pase por el Host C el atacante podr
interceptar y modificar el trfico.
3- Un ataque de envenenamiento ARP o ARP Spoofing:

En el caso que estemos en una red local con un Switch, otro tipo de ataque que
cualquiera de los usuarios de la red local nos podra lanzar es el ARP Spoofing.
Este ataque bsicamente consiste en envenenar el cache ARP de la vctima
(192.168.0.15) para hacerle creer que el atacante (192.168.0.10) es el router o
puerta de enlace.
*Como se puede ver en la imagen el cache ARP de la mquina atacada
(192.168.0.15), en vez de tener asociada la MAC address del router
(xx:xx:xx:xx:xx:01), tiene asociada la MAC address del atacante
(xx:xx:xx:xx:xx:40). Por lo tanto la mquina vctima creer que el router es el
ordenador del atacante y es all donde enviar la totalidad del trfico.

De este modo la totalidad de trfico, tanto de entrada como de salida,

generado por la vctima (192.168.0.15) estar pasando por el ordenador del
atacante (192.168.0.10). En el momento que la informacin pase por el
ordenador atacante se podr alterar la informacin y nos podrn robar datos
como por ejemplo contraseas de servicios que usamos o tenemos
contratados.
4- Otros tipos de ataques:
Y la verdad es que la lista de ataques no se termina precisamente aqu. Hay
multitud de ataques que nuestro atacante nos podra lanzar como por ejemplo
DNS Spoofing, etc.
TNEL SSH
DESCRIBIR

PARA

MITIGAR

LOS

ATAQUES

QUE

ACABAMOS

DE

Estableciendo un tnel SSH seremos capaces de prevenir la serie de ataques

que acabamos de describir.

Bsicamente prevendremos los ataques porqu estableciendo nuestras

comunicaciones mediante un tnel SSH estaremos cifrando la totalidad de
nuestro trfico.
Como se puede ver en el grfico, para establecer un tnel SSH
necesitaremos un ordenador, fuera de nuestra Red local en que la
seguridad est comprometida, que acte como servidor SSH.

Al establecer el tnel SSH lo primero que har el ordenador que est en la

red local comprometida es establecer comunicacin con el servidor
SSH.
Como se puede ver en la imagen, en el momento que el cliente establezca
comunicacin con el servidor SSH se crear un Tnel de comunicacin
entre el cliente que est en la red local comprometida y el servidor
SSH que est fuera de la red local comprometida.
Una vez establecido el tnel el cliente solicitar por ejemplo visitar una pgina
web como podra ser por ejemplo: www.geekland.eu
gador se enviar una peticin http al servidor SSH con las siguientes
particularidades:
1. La peticin http viajar por el tnel SSH que hemos establecido.
2. Nuestra peticin, y la totalidad de trfico entrante y saliente
estar completamente cifrado.
Por lo tanto aunque recibamos algunos de los ataques mencionados y se
intercepte nuestro trfico dentro de la red local comprometida, nadie podr
obtener nuestras credenciales, ni modificar el contenido de la peticin ni
robarnos informacin ya que la informacin que obtendrn estar
completamente cifrada. Por lo tanto con el tnel SSH estamos garantizando la
integridad y confidencialidad del trfico entre nuestro ordenador y el servidor
SSH que est fuera de nuestra red Local en una ubicacin segura y no
susceptible de ataques.
Una vez nuestra peticin est en el servidor SSH tendr que dirigirse al
servidor web de la pgina que queremos conectarnos. En el ltimo tramo la
peticin ya ir en texto plano y por lo tanto ser susceptible de ser
interceptada y modificada, pero cabe decir que la probabilidad de tener
problemas de confidencialidad y de integridad de nuestros datos en estos
ltimos tramos es muy baja.
*La proteccin dentro de la red local comprometida es para la totalidad de
trfico entrante y para la totalidad de trfico saliente.

V. Conclusiones sobre la Utilidad del Tnel SSH.

Vistas las posibles utilidades y el funcionamiento terico de un tnel SSH
podemos llegar a las siguientes conclusiones:
El tnel SSH es una buena solucin para navegar por internet en el caso que
nos hallemos en Red local No segura.

La navegacin a travs de un tnel SSH garantiza nuestra confidencialidad ya

que nadie podr conocer las pginas web que estamos visitando ni que
estamos haciendo.
La navegacin a travs de un tnel SSH garantiza la integridad de los datos
transmitidos y recibidos ya que la probabilidad que alguien pueda modificar las
datos que enviamos o recibimos es muy baja.
Los tneles SSH nos pueden servir tambin para vulnerar ciertas restricciones
impuestas por nuestro ISP o por ejemplo tambin nos puede servir para
vulnerar ciertas restricciones impuestas por proxies y firewall.
Los tneles SSH son una buena solucin para asegurar la comunicacin entre 2
mquinas y para fortificar protocolos dbiles como por ejemplo HTTP, SMTP.
FTP, Telnet, etc.
Montarse un servidor SSH propio es sumamente mucho ms sencillo que
montarse un servidor VPN o un servidor proxy. En futuros post veremos como
disponer un servidor SSH propio en apenas 10 minutos. Hoy en da las cosas
hechas por uno mismo acaban siendo siempre ms seguras. En Internet por
supuesto que existen servicios gratuitos de VPN o proxies que se dedican a
ofrecer servicios similares de forma gratuita. Con estos servicios gratuitos hay
que ir con cuidado ya que para monetizar el servicio que estn prestando nos
pueden estar vendiendo a nosotros mismos recolectando informacin y
vendindola a terceros.

VI. Limitaciones de los Tneles SSH

Como todos saben la seguridad absoluta no existe. El hecho de aplicar est
tcnica u otras descritas lo nico que har es poner las cosas ms difciles a los
posibles atacantes. Ya saben que para cualquier problema un atacante siempre
puede encontrar una solucin.
Las principales limitaciones de navegar o usar ciertas aplicaciones mediante
tneles SSH son las siguientes:
En la comunicacin entre cliente y servidor existen tramos en el que la
informacin viaja sin encriptar. Concretamente hablo del tramo que va del
servidor SSH al servidor Web y del servidor web al Servidor SSH. En este tramo
un atacante podra comprometer la integridad y la confidencialidad de los
datos transmitidos. No obstante la probabilidad que esto llegue a suceder es
baja.
Para poder navegar a hacer peticiones a travs del tnel SSH hay que
configurar aplicacin por aplicacin. As por ejemplo si queremos navegar de
forma segura tendremos que configurar adecuadamente nuestro navegador. En
el caso que queramos descargar torrents a travs de nuestro tnel SSH
tambin tendremos que configurar nuestro gestor de torrents adecuadamente
y as sucesivamente.

BIBLIOGRAFA
Fuentes electrnicas:
https://wiki.archlinux.org/index.php/Secure_Shell_(Espaol)
http://geekland.eu/establecer-un-tunel-ssh/
http://geekland.eu/que-es-y-para-que-sirve-un-tunel-ssh/