SSH est� dise�ado para reemplazar los m�todos m�s viejos y menos seguros para registrarse remotamente en otro sistema a trav�s de la shell de comando, tales como telnet o rsh. Un programa relacionado, el scp, reemplaza otros programas dise�ados para copiar archivos entre hosts como rcp. Ya que estas aplicaciones antiguas no encriptan contrase�as entre el cliente y el servidor, evite usarlas mientras le sea posible. El uso de m�todos seguros para registrarse remotamente a otros sistemas reduce los riesgos de seguridad tanto para el sistema cliente como para el sistema remoto.
20.1. Caracter�sticas de SSH
El protocolo SSH proporciona los siguientes tipos de protecci�n:
Despu�s de la conexi�n inicial, el cliente puede verificar que se est� conectando al mismo servidor al que se conect� anteriormente.
El cliente transmite su informaci�n de autenticaci�n al servidor usando una encriptaci�n robusta de 128 bits.
Todos los datos enviados y recibidos durante la sesi�n se transfieren por medio de encriptaci�n de 128 bits, lo cual los hacen extremamente dif�cil de descifrar y leer.
El cliente tiene la posibilidad de reenviar aplicaciones X11 [1] desde el servidor. Esta t�cnica, llamada reenv�o por X11, proporciona un medio seguro para usar aplicaciones gr�ficas sobre una red.
Ya que el protocolo SSH encripta todo lo que env�a y recibe, se puede usar para asegurar protocolos inseguros. El servidor SSH puede convertirse en un conducto para convertir en seguros los protocolos inseguros mediante el uso de una t�cnica llamada reenv�o por puerto, como por ejemplo POP, incrementando la seguridad del sistema en general y de los datos.
Red Hat Enterprise Linux contiene el paquete general de OpenSSH (openssh) as� como tambi�n los paquetes del servidor OpenSSH (openssh-server) y del cliente (openssh-clients). Consulte el cap�tulo titulado OpenSSH en el Manual de administraci�n del sistema de Red Hat Enterprise Linux para obtener instrucciones sobre la instalaci�n y el desarrollo de OpenSSH. Observe que los paquetes OpenSSH requieren el paquete OpenSSL (openssl). OpenSSL instala varias bibliotecas criptogr�ficas importantes, permitiendo que OpenSSH pueda proporcionar comunicaciones encriptadas.
20.1.1. �Por qu� usar SSH?
Los usuario nefarios tienen a su disposici�n una variedad de herramientas que les permiten interceptar y redirigir el tr�fico de la red para ganar acceso al sistema. En t�rminos generales, estas amenazas se pueden catalogar del siguiente modo:
Intercepci�n de la comunicaci�n entre dos sistemas — En este escenario, existe un tercero en alg�n lugar de la red entre entidades en comunicaci�n que hace una copia de la informaci�n que pasa entre ellas. La parte interceptora puede interceptar y conservar la informaci�n, o puede modificar la informaci�n y luego enviarla al recipiente al cual estaba destinada.
Este ataque se puede montar a trav�s del uso de un paquete sniffer — una utilidad de red muy com�n.
Personificaci�n de un determinado host — Con esta estrategia, un sistema interceptor finge ser el recipiente a quien est� destinado un mensaje. Si funciona la estrategia, el sistema del usuario no se da cuenta del enga�o y contin�a la comunicaci�n con el host incorrecto.
Esto se produce con t�cnicas como el envenenamiento del DNS [2] o spoofing de IP (enga�o de direcciones IP) [3].
Ambas t�cnicas interceptan informaci�n potencialmente confidencial y si esta intercepci�n se realiza con prop�sitos hostiles, el resultado puede ser catastr�fico.
Si se utiliza SSH para inicios de sesi�n de shell remota y para copiar archivos, se pueden disminuir estas amenazas a la seguridad notablemente. Esto es porque el cliente SSH y el servidor usan firmas digitales para verificar su identidad. Adicionalmente, toda la comunicaci�n entre los sistemas cliente y servidor es encriptada. No servir�n de nada los intentos de falsificar la identidad de cualquiera de los dos lados de la comunicaci�n ya que cada paquete est� cifrado por medio de una llave conocida s�lo por el sistema local y el remoto.