Recientemente estuve habilitando SSH en unos enrutadores algo viejitos de marca CISCO para unas pruebas de laboratorio y me encontré con dos errores del lado del cliente (OpenSSH) una vez que me intentaba conectar a dispositivos que tenían habilitado el servidor SSH:

  • Dispositivos con IOS Version 15.2(4): Unable to negotiate with X.X.X.X port 22: no matching cipher found. Their offer: aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
  • Dispositivos con IOS Version 12.4: Unable to negotiate with X.X.X.X port 22: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1

Para este tipo de casos OpenSSH tiene opciones “Legacy” las cuales permiten habilitar tipos de cifrado, métodos de intercambio del llave o códigos de autenticación de mensaje que vienen deshabilitados por defecto por razones de seguridad (cifrados débiles hoy en día).

Para mi caso añadí a mi archivo ssh_config las siguientes reglas para los hosts en específico:

Match Host X.X.X.X #router con IOS 15.2
  Ciphers +aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
Match Host X.X.X.X #router con IOS 12.4
  KexAlgorithms +diffie-hellman-group1-sha1
  Ciphers +aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
Anuncios

Hoy 8 de Junio de 2018 -en medio de la crisis que afecta al país- me reportan amigos y familiares que el SSID de su router aDSL que les provee el ISP CLARO ha sido cambiado a “QUITEN LOS TRANQUES”. No se trata únicamente de los routers con la configuración por defecto, si no también en routers con SSID personalizados, passphrase cambiada e inclusive filtro de MAC activo. Read More

Heme aquí otra vez tomando medidas correctivas, digo preventivas para evitar envío de SPAM desde uno de los servidores de correos que administro.

En distintos enfoques de seguridad se utiliza el método de minimizar los posibles vectores de ataque que se ponen a disposición en conjunto con un servicio.

En casos anteriores he hablado de seguridad de contraseña con políticas, de notificaciones ante eventos de inicio de sesión fallidos (zmauditswatch), coincidencia de patrones en archivos de bitácora en tiempo real, etc.

Ahora (y nuevamente por otro caso que se me pasó por alto) vengo a buscar otro diagnóstico en tiempo real y es revisando el tamaño del Queue (cola de correos) de Postfix. Read More