¿Para que demonios sirve el tunnel?

la respuesta políticamente correcta es:

Un tunnel SSH sirve para garantizar la comunicación segura entre dos máquinas.

Los usos que se le pueden dar son muy diversos y tiene muchas ventajas como:

1. El túnel SSH es una buena solución para navegar por internet en el caso que nos hallemos en Red local No segura.
2. La navegación a través de un túnel SSH garantiza nuestra confidencialidad ya que nadie podrá conocer las páginas web que estamos visitando ni que estamos haciendo.
3. La navegación a través de un túnel SSH garantiza la integridad de los datos transmitidos y recibidos ya que la probabilidad que alguien pueda modificar las datos que enviamos o recibimos es muy baja.
4. Los túneles SSH son una buena solución para asegurar la comunicación entre 2 máquinas y para fortificar protocolos débiles como por ejemplo HTTP, SMTP. FTP, Telnet, etc.

Normalmente cuando estamos en una red pública, como en un cafe internet o un starbucks hay muchos usuarios conectados a la misma red y esto es un problema de seguridad importante porqué somos susceptibles de recibir ataques que nos pueden lanzar cualquiera de los usuarios que están conectados a la misma red local que nosotros.

hoy en día multitud de conexiones a Internet se realizan mediante el protocolo http. El protocolo http tiene la particular de transferir la información en texto plano sin cifrar.

Cualquier usuario que esté en esta misma red podrá interceptar nuestro tráfico fácilmente. Por lo tanto con un simple sniffer el atacante podría averiguar contraseñas de servicios que tenemos contratados o usamos, como por ejemplo el servicio de wordpress, servidores ftp, telnet, etc. Además el atacante podrá averiguar fácilmente a los sitios a los que nos estamos conectando.

Ahora, la realidad y para lo que más se usa un Tunnel SSH es:

Para vulnerar ciertas restricciones impuestas por nuestro ISP o por ejemplo también nos puede servir para vulnerar ciertas restricciones impuestas por proxies y firewall.

Un tunnel SSH basicamente se compone de dos máquinas, una que está fuera de nuestra red  (servidor SSH) y una local (normalmente la computadora del trabajo o nuestra laptop con la que vamos a navegar desde el starbucks).

Al crear un tunnel SSH cuando introduzcamos  cualquier dirección  en el navegador se enviará una petición http al servidor SSH con las siguientes particularidades:

1. La petición http viajará por el túnel SSH que hemos establecido.
2. Nuestra petición, y la totalidad de tráfico entrante y saliente estará completamente cifrado.

Por lo tanto aunque recibamos el ataque antes mencionado y se intercepte nuestro tráfico dentro de la red local comprometida, nadie podrá obtener nuestras credenciales, ni modificar el contenido de la petición ni robarnos información ya que la información que obtendrán estará completamente cifrada.

Por lo tanto con el túnel SSH estamos garantizando la integridad y confidencialidad del tráfico entre nuestra máquina y el servidor SSH que está fuera de nuestra red Local en una ubicación segura y no susceptible de ataques.

Una vez nuestra petición está en el servidor SSH tendrá que dirigirse al servidor web de la página que queremos conectarnos.

Si bien es cierto que en el último tramo (entre nuestro servidor SSH y el servidor web que queremos contactar) la información va a viajar en texto plano, las posibilidades de recibir algún tipo de ataque son muy bajas.

¿Como puedo configurar en tunnel SSH?

Primero que nada necesitamos una computadora fuera de la red local, no necesariamente tiene que ser la de nuestra casa, hay muchisimos proveedores de VPS Hosting en einternet y sus precios van desde $3.5 dolares mensuales y son muy fáciles de instalar y configurar.

Preparando el servidor SSH

1.- En el servidor SSH necesitamos instalar SSH. en mi caso es un servidor con ubuntu 13.

$ sudo apt-get install ssh.

2.- Editamos /etc/ssh/sshd_config, nos fijamos que tenga la opción AllowTcpForwarding yes y si no la tiene se la debemos de agregar.

3.- Reiniciamos el sshd

$ sudo service ssh reload

Listo! eso es todo del lado del servidor.

Del lado de la PC o laptop local, lo unico que necesitamos hacer es correr el siguiente comando.

ssh -D 8080 -C -N usuario@IP del servidor

El puerto 8080 puede ser cambiado por el que mas nos convenga, por ejemplo un puerto abierto en la red de la empresa donde trabajamos XD

En nuestro navegador o en las opciones de proxy globales de nuestra PC configuramos el SOCKS Proxy con la ip 127.0.0.1 y el puerto que usamos en el comando anterior.

Listo! ya con estos simples pasos todo el trafico de nuestra máquibna ira cifrado y de forma segura a través del firewall de nuestra empresa y podremos navegar sin restricciones y de forma segura por internet.

Ya perdí la cuenta de cuantas veces he tenido esta platica con amigos que tienen algún dispositivo con Android, ¿es necesario un antivirus para Android? yo digo que no, hasta la fecha no se ha detectado un solo virus para esta plataforma, vaya, no existen ni para Android ni para Iphone.

Lo que si existen son aplicaciones maliciosas que podrán mandar sms sin tu consentimiento, o hacer llamadas o usar funciones “sin que tu te enteres” y lo pongo entre comillas ya que esto solo pasará si al instalar dicha aplicación no ponemos atención a los permisos que otorgamos a la hora de instalarla, es decir, si te estas enterando pero estas decidiendo ignorarlo, pero no irá más allá, porque no puede y porque repito, no es un virus ni existen para esta plataforma y jamás destruirá tu teléfono ni lo dejará inservible ni nada por el estilo.

Por eso se me hacen vergonzosos casos como los de Kaspersky o Panda que dicen descubrir un “virus” llamado SMS.AndroidOS.FakePlayer.a, que es una archivo camuflado de app y que ni está en el market oficial!!!

Pero el caso que más llama mi atención es el de Virus Shield, una app que no hace absolutamente nada!!! y que por semanas estuvo en la lista de las 3 apps de pago mas descargadas (costaba casi 4 dolares), esta app es un completo fake que se aprovecha de la paranoia de los usuarios y de la necesidad que estos tienen de mas seguridad aunque ya la tengan.

Virus shield llegó a tener una calcificación de 4.7/5 gracias a una cantidad importante de comentarios y calificaciones positivas creadas falsamente, es increíble como este efecto placebo logro que Devian Solutions generará ganancias muy significativas con una app que lo único que hace es ocupar espacio en el teléfono y darnos la falsa seguridad de que al fin nuestro teléfono y los datos dentro de el están seguros.

Mientras esta paranoia no termine, seguirán existiendo desarrolladores que se aprovechen de esto y sigan generando apps de Antivirus para virus inexistentes.

Pues resulta que en el trabajo usamos una herramienta que le llaman teletrabajo, para conectarnos a la oficina cuando estamos trabajando desde casa, el Teletrabajo no es mas que una VPN que usa para conectarse el Jupiter Network Connect, para los que como yo quieran instalarlo y configurarlo, les dejo una pequeña guía de como hice yo para que funcionara en mi linux Mint.

1- Primero que nada hay que entender que como Network Connect es un software de 32 bits hay que tener instaladas las librerias de 32bits de C Runtime

sudo apt-get install libc6:i386 zlib1g:i386

Para poder usar el script para JNC necesitamos tener instalado Perl y Perl/GTK2

sudo apt-get install libgtk2-perl libwww-perl

Uno de los aspectos mas importantes de una conexión VPN ES QUE LOS DNS de tu computadora se resetean y son remplazados por los DNS de la VPN, en teoria cuando terminamos la sesión estos DNS regresan a su estado original, sin embargo he visto que esto no sucede siempre, para estos casos recomiendo respaldar el /etc/resolv.conf  para que en caso de ser necesario lo regresemos a su estado original.

2.- Descargar e instalar el script MSJNC

Descargar Script

Descargar el script en algun lugar en nuestro disco (ej. Downloads, home, Descargas, etc) para este ejemplo lo voy a poner en la carpeta /tmp, después de descargarlo hay que copiarlo a la carpeta   /usr/bin

chmod 755 /tmp/msjnc
sudo cp /tmp/msjnc /usr/bin

3.- Instalamos JAVA

Primero quitamos la versión anterior de JAVA

sudo apt-get update && apt-get remove openjdk-6-jre

sudo apt-get autoremove && apt-get clean

descargamos java de la página www.java.com

después instalamos la versión que descargamos:

32 Bits:

  sudo mkdir -p -v /opt/java/32

64-Bits:

  sudo mkdir -p -v /opt/java/64

descompactamos:

32 Bit:

 cd ~/Downloads
 tar -zxvf jre-7u9-linux-i586.tar.gz
 sudo mv -v jre1.7.0_* /opt/java/32

64-Bit:

 cd ~/Downloads
 tar -zxvf jre-7u9-linux-x64.tar.gz
 sudo mv -v jre1.7.0_* /opt/java/64

el último paso es dejar el nuevo JRE como default

32 Bit:

 sudo update-alternatives --install "/usr/bin/java" "java" "/opt/java/32/jre1.7.0_09/bin/java" 1

 sudo update-alternatives --set java /opt/java/32/jre1.7.0_09/bin/java

64-Bit:

sudo update-alternatives --install "/usr/bin/java" "java" "/opt/java/64/jre1.7.0_09/bin/java" 1

 sudo update-alternatives --set java /opt/java/64/jre1.7.0_09/bin/java

4.- Instalamos Network Connect Software

Juniper Network Connect se instala en automático en cuanto entramos a la pagina del servidor al que nos queremos conectar.

Después de algunos segundos y seguramente de algunos re direccionamientos nos debe de aparecer la página para conectarnos

5.- Ejecutamos el script msjnc desde la terminal.

Listo! en mi caso solo tuve que ejecutar el script una sola vez y poner el URL de el servidor al que me quiero conectar como “Trusted” en la seguridad de JAVA.