LinuxParty
SSH ( Secure Shell ) es una herramienta popular que permite a los usuarios conectarse a sistemas remotos de forma segura a través de una red. De forma predeterminada, se puede acceder a SSH desde cualquier red siempre que se cuente con la configuración de red y el firewall adecuados.
Sin embargo, a veces es posible que desees restringir el acceso SSH únicamente a tu red local por razones de seguridad. Esto es especialmente útil en un entorno doméstico o de oficina donde no deseas que haya acceso externo a tu sistema a través de Internet.
En este artículo, repasaremos los pasos para restringir el acceso SSH a la red local en Linux mediante reglas de firewall y configuraciones SSH. Explicaremos cada paso en términos simples para garantizar que incluso un principiante pueda seguirlo.
¿Por qué restringir SSH a la red local?
Restringir el acceso SSH únicamente a la red local puede reducir el riesgo de acceso no autorizado a su sistema.
A continuación se indican algunas razones por las que podría querer hacer esto:
- Seguridad : Limitar el acceso a SSH desde redes externas evita que los atacantes escaneen o intenten atacar por fuerza bruta su servidor a través de Internet.
- Acceso controlado : si tiene varios dispositivos conectados a la misma red local, aún puede administrar el sistema sin exponerlo a amenazas externas.
- Simplicidad : con solo acceso local, no necesitará preocuparse por configurar capas de seguridad adicionales para el acceso externo.
Entendiendo la red local
Antes de comenzar, es importante comprender qué se entiende por " red local ". Una red local es un grupo de dispositivos conectados dentro de la misma red física o inalámbrica, como la red Wi-Fi de su hogar o la red de su oficina.
Estos dispositivos comparten el mismo rango de direcciones IP internas, como 192.168.xx o 10.0.xx, mientras que los dispositivos externos (aquellos en Internet) tendrán diferentes rangos de IP.
Paso 1: Verifique el rango de direcciones IP locales de Linux
Para conocer el alcance de su red local, primero debe determinar la dirección IP de su dispositivo utilizando el siguiente comando ip, que mostrará su dirección IP y la información de la red.
ip a
Para comprobar la dirección IP de Linux
Verá información sobre las interfaces de red. Busque algo como 192.168.xx o 10.0.xx, que le indicarán su dirección IP local.
Por lo general, su dirección IP local estará en uno de estos rangos privados:
192.168.xx 10.0.xx 172.16.xx a 172.31.xx
Por ejemplo, si su dirección IP es 192.168.122.63, su rango de red local probablemente sea 192.168.1.0/24, lo que significa que todos los dispositivos con IP en el rango 192.168.1.x están en la misma red local.
Paso 2: Configurar SSH para escuchar solo en direcciones locales
De forma predeterminada, SSH escucha en todas las interfaces de red disponibles. Lo cambiaremos para que escuche solo en la red local.
sudo nano /etc/ssh/sshd_config
Busque la línea con #ListenAddress
y descomentela (elimine el #
al principio). Establezca su dirección IP local.
Por ejemplo, si su IP local es 192.168.122.63, actualice el archivo de la siguiente manera:
ListenAddress 192.168.122.63
Reinicie el servicio SSH para que los cambios surtan efecto.
sudo systemctl restart ssh
O
sudo systemctl restart sshd
Ahora, tu servidor SSH solo escuchará conexiones desde tu dirección IP local. Si intentas conectarte desde una red externa, la conexión será rechazada.
Paso 3: Restrinja SSH con reglas de firewall
Si bien es útil configurar el demonio SSH para que escuche solo direcciones locales, puede agregar una capa adicional de seguridad configurando reglas de firewall, lo que garantiza que solo los dispositivos en su red local puedan conectarse a través de SSH, incluso si alguien intenta acceder a su sistema usando su IP externa.
Uso de UFW (Firewall sencillo)
Si está utilizando UFW, el firewall predeterminado en muchas distribuciones de Linux como Ubuntu, siga estos comandos:
Para permitir conexiones SSH solo desde su red local, como direcciones IP dentro del rango 192.168.1.x, y denegar conexiones SSH desde otras redes, asegúrese de volver a cargar el firewall y verificar su estado.
sudo ufw allow from 192.168.1.0/24 to any port 22 sudo ufw deny 22 sudo ufw reload sudo ufw status
Usando Firewalld
Para restringir SSH a la red local en Linux usando Firewalld, siga estos comandos.
Para permitir el acceso SSH desde su red local, como direcciones IP dentro del rango 192.168.1.x, y denegar conexiones SSH desde otras redes, asegúrese de volver a cargar el firewall y verificar su estado.
sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="22" accept' sudo firewall-cmd --permanent --add-rich-rule='rule family="ipv4" port protocol="tcp" port="22" drop' sudo firewall-cmd --reload sudo firewall-cmd --list-all
Usando iptables
Si no está utilizando UFW o Firewalld, puede usar iptables para configurar reglas similares.
sudo iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT sudo iptables -A INPUT -p tcp --dport 22 -j DROP
# El nombre del fichero de abajo, puede variar, en sistemas basados en RH
# El fichero es: /etc/sysconfig/iptables.save, basados en Debian: /etc/iptables.rules.v4 sudo iptables-save | sudo tee /etc/iptables/rules.v4 sudo iptables -L
Ahora, el acceso SSH solo está permitido desde dispositivos locales dentro del alcance de su red.
Paso 4: Pruebe su configuración
Después de configurar SSH y el firewall, es momento de probar la configuración para garantizar que todo funcione como se espera.
Desde un dispositivo en su red local, intente conectarse al servidor mediante SSH:
ssh Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
Si tiene acceso a una red externa (por ejemplo, mediante datos móviles o una VPN ), intente conectarse a la IP externa del sistema. La conexión debe estar bloqueada o rechazada.
Consejos adicionales
A continuación se ofrecen algunos consejos adicionales para configurar SSH en la red local:
- IP estática : es una buena idea configurar una dirección IP estática para el dispositivo al que desea acceder mediante SSH, especialmente si está configurando reglas de firewall basadas en el rango de IP local, lo que evitará que su IP cambie si el enrutador se reinicia.
- Acceso VPN : si necesita acceso remoto desde una red externa, considere configurar una VPN, que le permitirá conectarse a su red local de forma segura a través de Internet, y SSH solo será accesible dentro de la red local.
- Supervisar registros : supervise siempre sus registros SSH para detectar cualquier intento de acceso no autorizado.
Puedes comprobar los registros usando el comando tail :
sudo tail -f /var/log/auth.log
Conclusión
Restringir el acceso SSH a la red local es una forma sencilla pero eficaz de mejorar la seguridad de su sistema Linux. Si sigue los pasos de esta guía, podrá impedir el acceso externo a su servidor SSH y, al mismo tiempo, mantener el acceso local para tareas administrativas y de gestión.
Con reglas de firewall y una configuración adecuada, puede garantizar que solo los dispositivos confiables dentro de su red local puedan conectarse a través de SSH, lo que reduce el riesgo de acceso no autorizado.
-
Seguridad
- Cómo limitar las conexiones SSH a la red local en Linux
- Los televisores inteligentes son como un «caballo de Troya digital» en los hogares
- Snort para Windows, detección de Intrusos y seguridad.
- Detección de Intrusiones con las herramientas: BASE y Snort.
- El Sistema de Detección de Intrusos: Snort. ( Windows y Linux )
- Configuración con Ejemplos de Snort para Windows, detección de intrusiones
- ¿El gobierno de EE. UU. ignoró la oportunidad de hacer que TikTok fuera más seguro?
- ¿Qué es SSH y cómo se utiliza? Los conceptos básicos de Secure Shell que necesitas saber
- Asegurar memcached del servidor, para evitar amplificar ataques DDoS
- Consejos de Seguridad para Pagos Móviles en España: Protege tus Transacciones con Estos Consejos Prácticos
- 22 herramientas de seguridad de servidores Linux de código abierto en 2023
- 8 hábitos que deben tomar los teletrabajadores altamente seguros
- 7 cosas que incluso los nuevos usuarios de Linux pueden hacer para proteger mejor el sistema operativo
- Recuperar contraseñas de archivos comprimidos en 3 pasos
- Administración: Glances - herramienta de monitoreo y supervisión para Linux