Seguridad en receptores Enigma2

Pulsar para soporte en grupo telegram
Pulsar para soporte en grupo telegram

Dado que nuestros receptores Enigma2 tienen base Linux y este sistema permite el acceso al receptor a traves de diversos protocolos de red, y en la actualidad estamos en un mundo globalizado donde los receptores estan conectados a la red, se hace inebitable que tengamos ciertas nociones de seguridad para proteger el contenido y acceso a los mismos.

security-4017261_960_720

A lo largo de este articulo vamos a explicar como proteger nuestro receptor enigma2, que no va a garantizar nuestra seguridad al 100% ya que es imposible, pero se trata de reducir lo maximo posible las vulnerabilidades a las que nos podemos enfrentar.

Puntos de acceso a nuestro receptor

Lo mas basico antes de aprender a proteger nuestro receptor, es saber que es lo que estamos protegiendo, por que evidentemente si no sabemos que protegemos difilcimente vamos a reducir los riesgos.

Router

La primera linea de defensa de nuestra red es el router, y mas hoy en dia donde todos tenemos habilitada la conexion wifi, de poco nos vale tener nuestro receptor con medidas de proteccion adecuadas si luego lo conectamos a un router sin las mismas. Por lo tanto unas medidas basicas son:

  • Cambiar el password por defecto de nuestro router
  • Cambiar el password por defecto de acceso wifi
  • Cambiar el SSID de red wifi del router
  • Activar en los router que tenga esta opcion autentificacion por mac, para que solo se puedan conectar las mac de dispositivos que tu has autorizado

seguridad1

Protocolo telnet

Este protocolo es usado para acceder a nuestro receptor en modo consola terminal a traves del puerto 23, lo mas recomendable no es usar nunca este protocolo para acceder a nuestro receptor ya que la conexion no es cifrada, y por lo tanto cualquiera que lea el puerto de conexion telnet puede saber cual es nuestro usuario y password, como se puede leer en este articulo:

Comparación seguridad SSH y telnet en acceso Enigma2

informationRECOMENDADO NO USAR NUNCA ESTE PROTOCOLO PARA CONECTARNOS A NUESTRO RECEPTOR Y MENOS FUERA DE NUESTRA RED, NO ABRIR NUNCA EL PUERTO 23 PARA REALIZAR CONEXIONES

Protocolo ftp

Este protocolo es usado para acceder a nuestro receptor al sistema de archivos y carpetas a traves del puerto 21, lo mas recomendable no es usar nunca este protocolo para acceder a nuestro receptor ya que la conexion no es cifrada, y por lo tanto cualquiera que lea el puerto de conexion al igual que ocurria con telnet puede saber nuestro usuario y contraseña.
informationRECOMENDADO NO USAR NUNCA ESTE PROTOCOLO PARA CONECTARNOS A NUESTRO RECEPTOR Y MENOS FUERA DE NUESTRA RED, NO ABRIR NUNCA EL PUERTO 21 PARA REALIZAR CONEXIONES

Protocolo SSH/SFTP

Este protocolo es usado para acceder a nuestro receptor en modo consola terminal y tambien para acceder al sistema de archivos y carpetas a traves del puerto 22, el metodo de conexion es similar a telnet y ftp, pero con la diferencia que la conexion es cifrada por lo que como vimos en el enlace anterior ya no es posible saber nuestro user y password tan facilmente.
informationUSANDO ESTE PROTOCOLO BIEN CONFIGURADO SU ACCESO ESTARIAMOS HABLANDO DE UNA SEGURIDAD MEDIA, Y CON CONFIGURACION A TRAVES DE RSA KEY Y LIMITANDO EL ACCESO ROOT (QUE VEREMOS MAS ADELANTE), PODRIAMOS CONSIDERAR QUE PARA EL USO EN RECEPTORES UNA SEGURIDAD MEDIA/ALTA

Protocolo http web

Este protocolo es el usado para acceder a openwebif de nuestro receptor a traves del navegador web y se realiza a traves del puerto 80, seguramente de los accesos a nuestro receptor seria de los mas vulnerables.
informationMI RECOMENDACION PERSONAL ES QUE SI NO ES ESTRICTAMENTE NECESARIO LAS UTILIDADES QUE BRINDA EL OPENWEBIF SE PUEDEN REALIZAR MEDIANTE EL RESTO DE PROTOCOLOS, POR LO QUE RECOMENDARIA NO ABRIR NUNCA EL PUERTO 80 FUERA DE NUESTRA RED PARA ACCEDER AL RECEPTOR

Protocolos streaming

Estos protocolos se usan para realizar la transmision de video y audio a otro dispositivo y se realizan a traves de los puertos 8001 (streaming) y puerto 8002 (transcodificado).
informationLA SEGURIDAD QUE BRINDA ENIGMA2 PARA LA TRANSMISION DE VIDEO Y AUDIO EN CASO DE PROTECCION ESTA LIMITADO AL USUARIO ROOT (ADMINISTRADOR) DEL SISTEMA ENIGMA2, Y LA CREACION DE OTROS USUARIOS Y CREDENCIALES ASI COMO LA SEGURIDAD ESTA LIMITADA, MI RECOMENDACION ES NO USAR NUNCA ESTE PROTOCOLO FUERA DE NUESTRA RED, SALVO QUE LO HAGAMOS A TRAVES DE OPENVPN O ZEROTIER COMO VEREMOS MAS ADELANTE.

Activacion de protocolos de seguridad Enigma2

Una vez conocemos los puntos de acceso mas tipicos a nuestro receptor, vamos a ver las medidas de seguridad a tomar en nuestro receptor, asi como las posibilidades que tenemos de acceder a nuestro receptor de una manera segura.
La solicitud de usuario y password para acceder al sistema de nuestro receptor es el primer punto de control basico para acceder al mismo. En este punto hay imagenes que tienen una contraseña por defecto y otras no la tienen, ya sea de una manera u otra lo primero que debemos hacer es cambiar o asignar una contraseña a nuestro receptor, para ello lo podemos realizar de dos maneras diferentes o traves de consola terminal ejecutando el comando:

passwd

seguridad2

o en la mayoria de imagenes en redes tenemos la opcion de asignar una password al receptor:

seguridad3seguridad4

informationES RECOMENDABLE QUE LA PASSWORD QUE ASIGNEMOS TENGA COMO MINIMO 6 CARACTERES Y QUE USEMOS NUMEROS Y LETRAS MAYUSCULAS Y MINUSCULAS.
Las contraseñas en nuestro receptor se guardan cifradas en archivo /etc/shadow
seguridad101
Un punto basico de seguridad sobre otro protocolo que no hemos indicado anteriormente es samba muy usado sobre todo si estamos en local para acceder a archivos y carpetas de nuestro receptor como si fuera una carpeta mas del pc, normalmente las imagenes mas actualizadas como openatv solo se puede acceder con el usuario y password del receptor:
seguridad6
En el caso que la imagen que usemos no tenga esta opcion activada, podemos asignar una constraseña samba al usuario root con el siguiente comando:

smbpasswd -a root

Una vez hemos visto los primeros puntos de control basico, vamos a ver diferentes utilidades que podemos usar para acceder al receptor de manera segura.

Acceder al receptor mediante rsa protocolo ssh

Como mencionemos anteriormente un protocolo de seguridad media recomendable es usar ssh/sftp ya que las conexiones es cifrada, para acceder al receptor a traves de este protocolo se realiza con el comando e introduciriamos la password que asignemos al deco como vimos anteriormente.

ssh root@ipdenuestrodeco​

seguridad7seguridad8seguridad9

Una manera de aumentar la proteccion de acceso a traves de este protocolo es usar para la identificacion en vez de la password una rsa para ello lo podemos realizar:

En nuestro receptor ejecutamos los siguientes comandos:

opkg remove --force-depends dropbear

opkg install openssh

accedemos al archivo /etc/ssh/sshd_config y tener estos parametros de la siguiente manera:

PermitRootLogin yes
PasswordAuthentication no

De esta manera si intentaramos acceder al receptor por ssh no podriamos

seguridad10

Ahora debemos crear una carpeta en nuestro receptor en el directorio /home/root llamado .ssh para ello ejecutamos el siguiente comando

mkdir /home/root/.ssh

Ahora en nuestro pc por ejemplo con windows 10 ejecutamos el siguiente comando:

ssh-keygen -t rsa​

seguridad11

Tras ello en nuestro pc en el directorio de nuestro usuario en la carpeta .ssh se nos habrá creado el archivo id_rsa.pub

seguridad12

Este archivo lo copiamos en nuestro receptor en el directorio que creemos /home/root/.ssh y lo renombramos a authorized_keys

seguridad13

Ahora ya simplemente desde la terminal de nuestro pc ejecutamos, cambiaremos 192.168.1.103 por la ip de nuestro receptor

ssh root@192.168.1.103​

Y directamente hemos accedido a nuestro receptor mediante rsa key

seguridad14

Acceder a nuestro receptor mediante protocolo sftp

Ahora vamos a ver como acceder a nuestro receptor a traves del protocolo sftp, para ello vamos a utilizar el programa WinSCP que lo podemos descargar del siguiente enlace:

Enlace descarga winSCP

Una vez instalado el programa en nuestro pc, simplemente seleccionamos el protocolo sftp e introducimos nuestro usuario y password que tenemos asignado a nuestro receptor

seguridad20

Como vimos con el acceso por el protocolo ssh tambien podemos acceder por sftp usando rsa para ello una vez creada las rsa como vimos en el protocolo ssh e introducida la rsa en el receptor, a continuacion en wincsp seleccionamos en avanzado opcion autentificacion:

seguridad21

Ahora en archivo de clave privada seleccionamos la clave privada id_rsa que esta en /usuariowindows/.ssh

seguridad22

seguridad23

Y de esta manera podemos acceder a nuestro receptor sin introducir password

seguridad25

Acceso mediante protocolo OPENVPN

En este caso es uno de los protocolos mas seguro para acceder a nuestro receptor enigma2 desde fuera de nuestra red.

Para ver como acceder a nuestro receptor mediante este protocolo podemos leer este articulo:

Realizar conexion openvpn en enigma2

informationESTE SERIA EL PROTOCOLO MAS RECOMENDADO PARA ACCEDER A NUESTRO RECEPTOR DESDE FUERA DE NUESTRA RED

Acceso mediante protocolo ZEROTIER

En este caso es otro protocolo de los mas seguros tipo per to per donde al igual que en openvpn la conexion es cifrada de extremo a extremo.
Para ver como acceder a nuestro receptor mediante este protocolo podemos leer este articulo:

Streaming enigma2 zerotier

Asi como articulo sobre la seguridad de Zerotier:

Seguridad Zerotier

informationAL IGUAL QUE OPENVPN ESTE SERIA UNO DE LOS PROTOCOLOS MAS SEGUROS Y RECOMENDADOS PARA ACCEDER DESDE FUERA DE NUESTRA RED

Acceso shellinaboxd

Las imagenes actuales de nuestros receptores enigma2, muchas de ellas tienen por defecto instalada la aplicacion shellinaboxd, que es un emulador web de consola terminal a traves del puerto normalmente por defecto 443, que podriamos acceder ejecutando en nuetro navegador:
ipdeldeco/terminal o ipdeldeco:443 segun la imagen.
seguridad50
informationPARTICULARMENTE NOS PARECE INSEGURO Y NO NECESARIO, POR LO QUE ES UNA APLICACION QUE PODEMOS DESISTALAR CON EL SIGUIENTE COMANDO

opkg remove enigma2-plugin-extensions-openwebif-terminal

Acceso mediante protocolo streaming

Para acceder a traves de protocolo streaming puertos 8001 y 8002 podemos leer este articulo:

Streaming canales Enigma2

Acceso webif oscam

Cuando instalamos la emuladora oscam tenemos acceso al webif de esta emuladora que por defecto podemos acceder al control de la mismo, lo recomendable es cambiar usuario y password de acceso a la misma asi como el puerto, estos datos los podemos encontrar en el archivo de consiguracion oscam: oscam.conf
seguidad100

Consideraciones finales acceso a protocolos

Cuando realizamos la conexion a traves de los protocolos openvpn o zerotier, en el caso de openvpn por un solo puerto o en el caso de zerotier sin abrir puertos, tenemos acceso a todos los protocolos disponibles es decir:
  • streaming
  • telnet
  • ftp
  • sftp
  • ssh

Si no usamos openvpn o zerotier es necesario abrir el puerto por cada uno de los protocolos que desariamos usar desde fuera de nuestra red. Por lo tanto lo recomendable es para el acceso fuera de nuestra red es openvpn o zerotier.

informationIMPORTANTE A TENER EN CUENTA ES QUE SI TENEMOS UN PUERTO ABIERTO INSEGURO, AUNQUE POSTERIORMENTE INSTALARAMOS ZEROTIER O OPENVPN SEGUIRIAMOS INSEGUROS HASTA CERRAR ESE PUERTO

Ver accesos en nuestro receptor

Aunque con todo lo explicado si lo aplicamos reducimos el porcentaje de probalidades de acceso a nuestro receptor, como mencionemos al principio nada es seguro al 100%, por lo que a continuacion exponemos algunas utilidades para saber si alguien ha podido acceder a nuestro receptor.

Comando last

A traves del comando last nos muestra los ultimos usuarios que se han logueados en nuestro receptor

last

seguridad105

Comando who

Muestra los usuarios que estan logueados en ese instante

who

seguridad200

Comando netstat

Muestra las conexiones de nuestro receptor

netstat

seguridad201

Log vsftpd

A traves del log vsftp podemos tambien ver que usuarios se han logueado en nuestro receptor, para ello es necesario activarlo en el archivo /etc/vsftpd

  • Comprobamos que este en NO los usuarios anonimos:


# Allow anonymous FTP? (Beware - allowed by default if you comment this out).
anonymous_enable=NO

Luego podemos activar creacion de log de conexiones ftp, de esta manera podemos comprobar si alguien no deseado ha introducido por ejemplo algun archivo no deseado:

seguridad500

Bot telegram

Otra opcion que tenemos es a traves de un bot telegram que nos avisara si hay conexiones que se han establecido en nuestro receptor, podemos leer este articulo

JungleBot telegram enigma2

Related posts

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: