Dado que nuestros receptores Enigma2 tienen base Linux y este sistema permite el acceso al receptor a traves de diversos protocolos de red, y en la actualidad estamos en un mundo globalizado donde los receptores estan conectados a la red, se hace inebitable que tengamos ciertas nociones de seguridad para proteger el contenido y acceso a los mismos.
A lo largo de este articulo vamos a explicar como proteger nuestro receptor enigma2, que no va a garantizar nuestra seguridad al 100% ya que es imposible, pero se trata de reducir lo maximo posible las vulnerabilidades a las que nos podemos enfrentar.
Puntos de acceso a nuestro receptor
Lo mas basico antes de aprender a proteger nuestro receptor, es saber que es lo que estamos protegiendo, por que evidentemente si no sabemos que protegemos difilcimente vamos a reducir los riesgos.
Router
La primera linea de defensa de nuestra red es el router, y mas hoy en dia donde todos tenemos habilitada la conexion wifi, de poco nos vale tener nuestro receptor con medidas de proteccion adecuadas si luego lo conectamos a un router sin las mismas. Por lo tanto unas medidas basicas son:
- Cambiar el password por defecto de nuestro router
- Cambiar el password por defecto de acceso wifi
- Cambiar el SSID de red wifi del router
- Activar en los router que tenga esta opcion autentificacion por mac, para que solo se puedan conectar las mac de dispositivos que tu has autorizado
Protocolo telnet
Este protocolo es usado para acceder a nuestro receptor en modo consola terminal a traves del puerto 23, lo mas recomendable no es usar nunca este protocolo para acceder a nuestro receptor ya que la conexion no es cifrada, y por lo tanto cualquiera que lea el puerto de conexion telnet puede saber cual es nuestro usuario y password, como se puede leer en este articulo:
https://jungle-team.com/comparacion-seguridad-ssh-y-telnet-en-acceso-enigma2/
RECOMENDADO NO USAR NUNCA ESTE PROTOCOLO PARA CONECTARNOS A NUESTRO RECEPTOR Y MENOS FUERA DE NUESTRA RED, NO ABRIR NUNCA EL PUERTO 23 PARA REALIZAR CONEXIONESProtocolo ftp
RECOMENDADO NO USAR NUNCA ESTE PROTOCOLO PARA CONECTARNOS A NUESTRO RECEPTOR Y MENOS FUERA DE NUESTRA RED, NO ABRIR NUNCA EL PUERTO 21 PARA REALIZAR CONEXIONESProtocolo SSH/SFTP
USANDO ESTE PROTOCOLO BIEN CONFIGURADO SU ACCESO ESTARIAMOS HABLANDO DE UNA SEGURIDAD MEDIA, Y CON CONFIGURACION A TRAVES DE RSA KEY Y LIMITANDO EL ACCESO ROOT (QUE VEREMOS MAS ADELANTE), PODRIAMOS CONSIDERAR QUE PARA EL USO EN RECEPTORES UNA SEGURIDAD MEDIA/ALTAProtocolo http web
MI RECOMENDACION PERSONAL ES QUE SI NO ES ESTRICTAMENTE NECESARIO LAS UTILIDADES QUE BRINDA EL OPENWEBIF SE PUEDEN REALIZAR MEDIANTE EL RESTO DE PROTOCOLOS, POR LO QUE RECOMENDARIA NO ABRIR NUNCA EL PUERTO 80 FUERA DE NUESTRA RED PARA ACCEDER AL RECEPTORProtocolos streaming
LA SEGURIDAD QUE BRINDA ENIGMA2 PARA LA TRANSMISION DE VIDEO Y AUDIO EN CASO DE PROTECCION ESTA LIMITADO AL USUARIO ROOT (ADMINISTRADOR) DEL SISTEMA ENIGMA2, Y LA CREACION DE OTROS USUARIOS Y CREDENCIALES ASI COMO LA SEGURIDAD ESTA LIMITADA, MI RECOMENDACION ES NO USAR NUNCA ESTE PROTOCOLO FUERA DE NUESTRA RED, SALVO QUE LO HAGAMOS A TRAVES DE OPENVPN O ZEROTIER COMO VEREMOS MAS ADELANTE.Activacion de protocolos de seguridad Enigma2
passwd
o en la mayoria de imagenes en redes tenemos la opcion de asignar una password al receptor:
ES RECOMENDABLE QUE LA PASSWORD QUE ASIGNEMOS TENGA COMO MINIMO 6 CARACTERES Y QUE USEMOS NUMEROS Y LETRAS MAYUSCULAS Y MINUSCULAS.
smbpasswd -a root
Una vez hemos visto los primeros puntos de control basico, vamos a ver diferentes utilidades que podemos usar para acceder al receptor de manera segura.
Acceder al receptor mediante rsa protocolo ssh
Como mencionemos anteriormente un protocolo de seguridad media recomendable es usar ssh/sftp ya que las conexiones es cifrada, para acceder al receptor a traves de este protocolo se realiza con el comando e introduciriamos la password que asignemos al deco como vimos anteriormente.
ssh root@ipdenuestrodeco
Una manera de aumentar la proteccion de acceso a traves de este protocolo es usar para la identificacion en vez de la password una rsa para ello lo podemos realizar:
En nuestro receptor ejecutamos los siguientes comandos:
opkg remove --force-depends dropbear
opkg install openssh
accedemos al archivo /etc/ssh/sshd_config y tener estos parametros de la siguiente manera:
PermitRootLogin yes
PasswordAuthentication no
De esta manera si intentaramos acceder al receptor por ssh no podriamos
Ahora debemos crear una carpeta en nuestro receptor en el directorio /home/root llamado .ssh para ello ejecutamos el siguiente comando
mkdir /home/root/.ssh
Ahora en nuestro pc por ejemplo con windows 10 ejecutamos el siguiente comando:
ssh-keygen -t rsa
Tras ello en nuestro pc en el directorio de nuestro usuario en la carpeta .ssh se nos habrá creado el archivo id_rsa.pub
Este archivo lo copiamos en nuestro receptor en el directorio que creemos /home/root/.ssh y lo renombramos a authorized_keys
Ahora ya simplemente desde la terminal de nuestro pc ejecutamos, cambiaremos 192.168.1.103 por la ip de nuestro receptor
ssh root@192.168.1.103
Y directamente hemos accedido a nuestro receptor mediante rsa key
Acceder a nuestro receptor mediante protocolo sftp
Ahora vamos a ver como acceder a nuestro receptor a traves del protocolo sftp, para ello vamos a utilizar el programa WinSCP que lo podemos descargar del siguiente enlace:
Una vez instalado el programa en nuestro pc, simplemente seleccionamos el protocolo sftp e introducimos nuestro usuario y password que tenemos asignado a nuestro receptor
Como vimos con el acceso por el protocolo ssh tambien podemos acceder por sftp usando rsa para ello una vez creada las rsa como vimos en el protocolo ssh e introducida la rsa en el receptor, a continuacion en wincsp seleccionamos en avanzado opcion autentificacion:
Ahora en archivo de clave privada seleccionamos la clave privada id_rsa que esta en /usuariowindows/.ssh
Y de esta manera podemos acceder a nuestro receptor sin introducir password
Acceso mediante protocolo OPENVPN
En este caso es uno de los protocolos mas seguro para acceder a nuestro receptor enigma2 desde fuera de nuestra red.
Para ver como acceder a nuestro receptor mediante este protocolo podemos leer este articulo:
ESTE SERIA EL PROTOCOLO MAS RECOMENDADO PARA ACCEDER A NUESTRO RECEPTOR DESDE FUERA DE NUESTRA REDAcceso mediante protocolo ZEROTIER
AL IGUAL QUE OPENVPN ESTE SERIA UNO DE LOS PROTOCOLOS MAS SEGUROS Y RECOMENDADOS PARA ACCEDER DESDE FUERA DE NUESTRA REDAcceso shellinaboxd
PARTICULARMENTE NOS PARECE INSEGURO Y NO NECESARIO, POR LO QUE ES UNA APLICACION QUE PODEMOS DESISTALAR CON EL SIGUIENTE COMANDOopkg remove enigma2-plugin-extensions-openwebif-terminal
Acceso mediante protocolo streaming
Acceso webif oscam
Consideraciones finales acceso a protocolos
- streaming
- telnet
- ftp
- sftp
- ssh
Si no usamos openvpn o zerotier es necesario abrir el puerto por cada uno de los protocolos que desariamos usar desde fuera de nuestra red. Por lo tanto lo recomendable es para el acceso fuera de nuestra red es openvpn o zerotier.
IMPORTANTE A TENER EN CUENTA ES QUE SI TENEMOS UN PUERTO ABIERTO INSEGURO, AUNQUE POSTERIORMENTE INSTALARAMOS ZEROTIER O OPENVPN SEGUIRIAMOS INSEGUROS HASTA CERRAR ESE PUERTOVer accesos en nuestro receptor
Aunque con todo lo explicado si lo aplicamos reducimos el porcentaje de probalidades de acceso a nuestro receptor, como mencionemos al principio nada es seguro al 100%, por lo que a continuacion exponemos algunas utilidades para saber si alguien ha podido acceder a nuestro receptor.
Comando last
A traves del comando last nos muestra los ultimos usuarios que se han logueados en nuestro receptor
last
Comando who
Muestra los usuarios que estan logueados en ese instante
who
Comando netstat
Muestra las conexiones de nuestro receptor
netstat
Log vsftpd
A traves del log vsftp podemos tambien ver que usuarios se han logueado en nuestro receptor, para ello es necesario activarlo en el archivo /etc/vsftpd
- Comprobamos que este en NO los usuarios anonimos:
# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
anonymous_enable=NO
Luego podemos activar creacion de log de conexiones ftp, de esta manera podemos comprobar si alguien no deseado ha introducido por ejemplo algun archivo no deseado:
Bot telegram
Otra opcion que tenemos es a traves de un bot telegram que nos avisara si hay conexiones que se han establecido en nuestro receptor, podemos leer este articulo
