Los certificados SSH son una evolución de las claves SSH tradicionales. En lugar de utilizar claves individuales para la autenticación (un par de claves públicas y privadas), los certificados SSH introducen un tercer componente: una autoridad de certificación privada (CA). Esta CA puede firmar otras claves SSH, garantizando su autenticidad. Un certificado SSH es una clave pública que ha firmado una CA. El certificado contiene información sobre la clave, el propietario y la firma de la CA. Cuando un sistema ve este certificado, puede confiar en él si confía en la CA que lo firmó. Entonces, comencemos con las instrucciones paso a paso sobre cómo configurar su Autoridad de certificación SSH.
¿Sabías que SSH se creó en 1995? De hecho, un investigador de la Universidad de Helsinki inventó el protocolo como resultado directo de presenciar de primera mano un ataque de rastreo de contraseñas. El ataque implicó capturar contraseñas transmitidas a través de la red por usuarios de los sistemas de la universidad. SSH rápidamente se hizo popular por su capacidad de proporcionar comunicaciones cifradas seguras entre dos hosts que no son de confianza a través de una red insegura. Dicho esto, ciertamente no han faltado las infracciones relacionadas con SSH en los últimos años. Empresas como T-Mobile, GitLab, e incluso el Gobierno canadiense han sido víctimas de violaciones. De hecho, hemos estado diciendo durante bastante tiempo que SSH es el punto más débil en la mayor parte de su infraestructura. Para obtener más detalles al respecto, lea nuestra publicación sobre las mayores vulnerabilidades SSH a considerar en 2024.
Entonces, ¿cuál es la moraleja de la historia aquí? Agregar una CA a sus operaciones de autenticación SSH es una de las acciones más importantes que puede realizar para garantizar que sus prácticas de autenticación sean lo más seguras posible y estén adecuadamente aisladas de esos molestos piratas informáticos. De hecho, eche un vistazo a cómo las organizaciones más grandes del mundo utilizan SSH en estos días. No hace falta decir que si las organizaciones mencionadas anteriormente hubieran configurado adecuadamente sus CA, es muy probable que estas situaciones se hubieran evitado por completo.
Nuevamente, una autoridad de certificación SSH es simplemente otra clave SSH. Sin embargo, en lugar de usarlo para autenticar los servidores o clientes directamente, se usa para firmar y luego validar las otras claves que luego se usan para la autenticación.
Paso 1: Designación de una máquina de autoridad de certificación (CA) dedicada Lo primero que debe hacer es designar una máquina específica para que actúe como su autoridad de certificación. Recomendamos la asignación de una máquina exclusivamente para fines de CA para reforzar la seguridad de sus claves de firma. Para mejorar la seguridad, considere utilizar un módulo de seguridad de hardware (HSM) para proteger sus claves de CA.
Paso 2: Generar la clave CA Después de la configuración de la máquina, proceda a crear su clave CA. Ejecute el comando ‘‘ssh-keygen -f ca’’. Este proceso le pedirá que ingrese una contraseña sólida para proteger su clave privada. El resultado de este comando es la generación de dos archivos: “ca” y “ca.pub”. Tenga la máxima precaución para mantener la confidencialidad del archivo “ca”, ya que contiene su clave privada, vital para firmar certificados.
Paso 3: Configurar servidores para que confíen en la CA En cada servidor que desee habilitar para la autenticación de certificados, agregue la línea ‘'’TrustedUserCAKeys /etc/ssh/trusted_ca_keys.pub’’’ (o donde almacenó el archivo público clave de la CA) al archivo ‘’‘/etc/ssh/sshd_config’’’. Esta acción autoriza cualquier certificado SSH firmado por su CA para la autenticación en el servidor. Después de la configuración, reinicie el servicio SSH usando el reinicio del servicio ssh para activar la configuración.
Paso 4: Creación de clave SSH del usuario Los usuarios deben generar su clave SSH a través de ssh-keygen. Esto crea dos archivos: “id_rsa” y “id_rsa.pub” en la carpeta .ssh del usuario. El archivo “id_rsa”, que contiene la clave privada, debe permanecer confidencial y no compartirse.
Paso 5: Generar un certificado firmado Luego, el usuario debe transferir el archivo “id_rsa.pub” a la CA. En la CA, ejecute ‘‘ssh-keygen -s ca -I TUNOMBRE -n root -V +1d -z NUMERODESERIE id_rsa.pub’’ para generar un certificado firmado. Este certificado incluirá TUNOMBRE como “ID de clave”, “root” como “Principal válido” y será válido por 1 día.
Paso 6: Implementación del certificado Transfiera el archivo “’id_rsa-cert.pub”’ resultante a la carpeta .ssh del usuario. Con este certificado implementado, los usuarios pueden autenticarse en su punto final a través de ssh root@YOURENDPOINT.
Nota sobre la escalabilidad Si bien este método es ejemplar para realizar pruebas, es posible que no sea escalable para organizaciones más grandes. Generar certificados manualmente repetidamente puede generar ineficiencias y frustración. Para un uso organizacional generalizado, considere implementar una solución más automatizada y escalable.
Si bien SSH es sin duda una pieza clave autenticación segura, sus prácticas de gestión y seguridad suelen estar repletas de desafíos. Es por eso que creamos EZSSH, haciendo que la autenticación SSH sin contraseña esté disponible (y accessible) ¡para todo el mundo! Desde la abrumadora tarea de administrar un gran volumen de claves hasta los riesgos que plantean las claves estáticas o integradas, los entornos SSH pueden abrir puertas sin darse cuenta a amenazas a la seguridad. Es esencial que las organizaciones consideren activamente el estado de su infraestructura clave SSH y sus implicaciones en la seguridad general. Dada la complejidad y los riesgos potenciales asociados con la gestión de claves SSH, es muy recomendable buscar más información y orientación de expertos. Ya sea reevaluando sus protocolos existentes o explorando nuevas estrategias de seguridad, programar algo de tiempo para hablar con uno de nuestros expertos en autenticación SSH puede brindarle información valiosa y ayudarlo a fortalecer sus defensas contra sistemas sofisticados. amenazas cibernéticas. No dude en hacer de esto una prioridad; la seguridad y la integridad de su red pueden depender de ello. ¡Vea cómo funciona EZSSH hoy!
