1 Tècniques criptogràfiquesTècniques criptogràfiques. Infraestructura de clau pública (PKI). Eines de xifrat i comunicacions segures (SSH, PGP, MD5Sum...) Presentació: Nom. Index de les tres parts de la prova? OBJECTIU: comprovació de l'aptitud pedagògica de l'aspirant i el seu domini de les tècniques necessàries per a l'exercici docent CONCLUSIÓ: Degut a que el temps per aquesta prova es limitat, em centraré en les parts de la programació que són competència directa del professor i només esmentaré de forma ràpida les qüestions que venen fixades de forma normativa per alguns dels ents reguladors dels Cfs. El meu objectiu és intentar demostrar en aquest temps límitat la meva capacitat com a docent, que puc ser bon comunicador, amb iniciativa i creativitat, sensible amb la diversitat a l'aula i als conflictes i/o problemes que poden sortir i que obviament predisposat a la innovació i adaptació a les circumstàncies
2 Criptografia La pràctica i l'estudi d'amagar la informacióParaula derivada del grec κρυπτός/kryptós “amagat” i γράφω/gráfo "escriure" Actualment es considera una branca tant de les matemàtiques com de la informàtica i està molt relacionada amb la Teoria de la Informació i la seguretat en sistemes informàtics. Criptografia a la wiki del curs Cryptography Portal a la wikipedia
3 Criptografia. ConceptesText en clar Missatge original comprensible (no té perquè ser un text). Xifratge Procés de convertir el text en clar en text xifrat. Text xifrat o criptograma Text final (a priori incomprensible) resultat d'aplicar una xifra. Algorisme de xifrat, Xifra o codi “Cifra” és una antiga paraula àrab per designar el número zero. El sistema numèric romà no utilitzava el zero i es creu que aquest número era considerat misteriós, enigmàtic, màgic.
4 Criptografia. ConceptesClau Informació secreta que adapta l'algorisme de xifrat per a cada ús distint. Normalment l'aplicació d'un algorisme o un altre depèn de l'existència d'un codi o clau Desxifrar És el procés invers de recuperació del text en pla a partir del seu criptograma i la seva clau Protocol criptogràfic Especifica els detalls de com utilitzar els algorismes i les claus per obtenir el text xifrat a partir del text en clar i viceversa Criptosistema És el conjunt de protocols, algorismes de xifrat, processos de gestió de claus, etc. amb els quals un usuari interacciona
5 Criptografia clàssicaTècniques més senzilles de xifrat (criptografia clàssica) Substitució: modificar elements bàsics del missatge (lletres, dígits, símbols...) Transposició: reordenar elements bàsics del missatge La majoria de xifres clàssiques són combinacions de les dues tècniques Codis preestablerts: "cel blau" -> "atacar pel matí" “Encriptar” i “desencriptar” són neologismes no admesos com a paraules vàlides en molts diccionaris però són normatius (surten al diccionari de l'IEC)
6 Codi del Cèsar És un codi per desplaçament Codi del CèsarExemple: Desplaçament de 3 lletres “Estan bojos estos romans” “Hvwçq drmrv hvwrv urpeqv” Són segurs aquests codis? Probabilística: En totes les llengües hi ha caràcters que tenen més probabilitats que altres. Els plurals acaben en S. Hi ha parelles i paraules curtes més habituals... Codi del Cèsar
7 Criptoanàlisi Anàlisi criptogràfic Atac de força brutaÉs el procés de “trencar” codis sense conèixer la clau Mètodes de criptoanàlisi Anàlisi diferencial i l'anàlisi lineal Atac de força bruta Quants codis possibles hi ha en un codi del Cèsar? Tants com lletres té l'alfabet origen utilitzat Recordeu l'eina John The Ripper per obtenir contrasenyes
8 Història Els primers vestigis de criptografia van aparèixer amb l'escriptura a l'antiga Mesopotàmia fa uns 5000 anys. Els espartans en el segle V a dC utilitzaven La Scitala Al kamasutra (text hindú segles IV- VI dC) s'hi poden trobar criptogrames. Tradicionalment, l'ús i el desenvolupament de sistemes d'ocultació d'informació ha estat lligat a les forces militars i als poders polítics (codi del Cèsar). A l'Europa medieval les intrigues papals i les ciutats- estat italianes van propiciar el ressorgiment de la criptografia i l'estudi de la ciència complementària: la criptoanàlisi.
9 Història Els progressos en criptoanàlisi i criptografia estan íntimament lligats al naixement de la informàtica. Durant la 2a Guerra Mundial científics de les forces aliades (com Alan Turing) van utilitzar els primers ordinadors per desxifrar els missatges de la Màquina Enigma. Sovint els resultats de molts treballs científics en criptografia són finançats per Agències de Seguretat Nacional i s'han mantingut (i molt probablement es mantenen) en secret. Actualment, la criptografia ha ultrapassat l'àmbit militar i governamental i s'utilitza en l'àmbit domèstic i professional per fer viable la comunicació segura a través d'Internet. Historia de la criptografia
10 Esteganografia És la branca de la criptologia que tracta sobre l'ocultació de missatges per tal d'evitar que se'n conegui l'existència Del grec "Steganographia": escriptura secreta És un art i una ciència d'amagar el missatge Xifratge + esteganografia: Sistema encara més segur Exemples: Tintes invisibles, missatges entre línies, enmig del text, Micropunts (2a guerra mundial) Marques d'aigua (watermarks) La imatge conté un missatge secret: Steganografia a la wiki del curs Obteniu el missatge secret de la imatge!!
11 Criptografia simètricaS'utilitza una sola clau tant per al xifratge com el desxifratge L'emissor i el receptor utilitzen la mateixa clau. L'únic sistema públicament conegut fins al 1976. Inconvenient principal La gestió de la clau: la clau s'ha de protegir i no es pot enviar durant la comunicació (podria ser interceptada). Cal que la clau es faci arribar al destinatari per algun mitjà alternatiu. Altres termes: clau secreta, clau simple o clau privada.
12 Criptografia simètricaDos tipus principals de xifradors simètrics Xifradors de bloc: xifren el texts per blocs (per exemple blocs de 64 bits) Xifradors de flux: xifren els text bit a bit.
13 Criptografia simètricaAlgorismes de criptografia simètrica: Twofish DES i TDES AES (aka Rijndael) Blowfish IDEA Serpent CAST5, RC4 Criptografia simètrica a la wiki del curs
14 Criptografia de clau públicaEls usuaris tenen un parell de claus criptogràfiques: Clau pública: S'utilitza per xifrar els missatges Clau privada: La clau privada es manté en secret i és la que permet desxifrar els textos xifrats amb una clau pública La clau pública i privada estan matemàticament relacionades però la clau privada no es pot obtenir a partir de la pública També coneguda com criptografia asimètrica En termes computacionals és més lenta que la criptografia simètrica
15 Criptografia de clau públicaHistòria Va ser descoberta el 1970 pel govern anglès però va ser mantinguda en secret fins el 1977. El 1976 Whitfield Diffie i Martin Hellman publiquen un protocol criptogràfic d'intercanvi de claus anomenat Diffie- Hellman key exchange. L'algorisme RSA va ser inventat el 1977 per Ron Rivest, Adi Shamir y Len Adleman al MIT. Criptogràfia de clau pública a la wiki del curs
16 Factorització d'entersPer què és tan difícil factoritzar? A l'escola ens van ensenyar a factoritzar nombres. El 486: És múltiple de 2: 243x2 243 és múltiple de 3: 81x3 i 81=27x3 i 27= 9x3 i 9=3x3 486= 2x35 713 = 23x31. Amb la taula de nombres primers. I que tal amb el número El primer nombre primer que el divideix és p = No es coneix cap algorisme eficient per resoldre aquest problema. Fa relativament poc es va factoritzar un nombre de 200 dígits en 18 mesos i utilitzant mig segle de temps de comput. Actualment s'utilitzen nombres enters que són el resultat de multiplicar dos nombres primers de la mateixa mida aproximada.
17 Que esperem d'un sistema criptogràfic?Autenticitat Establir una cosa o persona com l'autèntica. Ens permet confirmar la identitat d'una cosa o persona. Confidencialitat Assegurar-se que la informació és només accessible per a les persones amb accés autoritzat. No repudiació Permet provar que les dades han estat enviades i que ni emissor ni/o receptor poden negar la emissió i/o recepció. Integritat Assegurar-se que la informació no ha estat modificada.
18 Xifratge La clau pública s'utilitza per xifrar i la privada per desxifrar Qualsevol ens pot enviar un missatge xifrat sense necessitat de compartir un secret (clau privada) Implementa la confidencialitat en un sistema de comunicacions
19 Signatura La clau privada s'utilitza per signar i la pública per verificar la firma Qualsevol pot verificar que un missatge és nostre (autèntic) utilitzant la nostra clau pública. Implementa l' autenticació i la no repudiació en un sistema de comunicacions
20 Secrets compartits La criptografia de clau asimètrica també permet combinar claus per tal que un secret sigui accessible per més d'una persona A la gràfica es mostra com es combina l'ús de claus públiques i privades per crear secrets compartits.
21 Criptografia Hibrida Mètode criptogràfic que utilitza tant la criptografia simètrica com l'asimètrica Utilitza la criptografia de clau pública per compartir (enviar pel medi de comunicació) la clau de xifrat simètrica La clau simètrica és aleatòria i és modificada a cada sessió Utilitzat en sistemes com PGP o GnuPG No és un sistema més segur que un simètric o asimètric pur però combina les virtuts de tots dos sistemes (velocitat dels sistemes simètrics i facilitat de distribució de clau dels asimètrics) Segurament el punt més dèbil de la comunicació és el sistema simètric ja que si la clau simètrica es veu compromesa només és un problema per a la sessió de comunicacions actual
22 Generació de claus Tenim diverses aplicacions per generar parells de claus Generació de claus SSH Creació d'una clau GPG
23 Infraestructura de clau públicaEl principal inconvenient de la criptografia asimètrica és l'autenticitat de la clau pública Un atacant amb males intencions pot fer-se passar per qui no és. Per resoldre aquest problema s'utilitza la Infraestructura de Clau Pública (PKI en angles) PKI introdueix un tercer component en la comunicació anomenat Autoritat de Certificació que s'encarrega d'autenticar els propietaris dels parells de claus. És una combinació de maquinari, programari, polítiques i procediments de seguretat que permeten executar amb garantia operacions criptogràfiques com el xifrat, la signatura digital o el no repudi en les transaccions electròniques.
24 Certificat Digital X.509 X.509 és un estàndard de la UIT-T per a Infraestructures de Clau Pública (PKI). X.509 especifica entre d'altres coses els formats estàndard per a certificats de clau pública i proporciona un algorisme de validació de la ruta de certificació Les autoritats certificadores emeten un certificat associant una clau pública a un NOM DISTINGIT o un nom alternatiu com una adreça de correu electrònic o un nom DNS Nom distingit: X.500. Relacionat amb Ldap. Sistema jeràrquic. Els certificat arrel d'una companyia pot ser utilitzat per tots els empleats de la companyia Els navegadors web porten preinstal·lats una sèrie de certificats arrel d'entitats conegudes
25 Certificats Firefox Al menú Edita/PreferènciesTenim certificats personals propis, certificats personals d'altres persones, de llocs webs i d'entitats de certificació
26 Entitats CertificadoresEntitats certificadores per a ciutadans i ens públics IdCAT - Agència Catalana de Certificació - CATCert Entitats certificadores per a empreses i professionals ACA- Autoritat de Certificació de l'Advocacia ANF Autoritat de Certificació -ANF AC (Tecnologia pròpia) Camerfirma Servei de certificació digital de les cambres de comerç, indústria i navegació firmaprofessional Entitat de certificació dels col·legis professionals i dels professionals col·legiats
27 Entitats certificadores. Certificats per llocs webCaCERT Certificats digitals gratuïts Thawte Va ser fundada a Sud-àfrica el 1995 per Mark Shuttleworth (Preus entre 100$ i 100$ any) verisign VeriSign va comprar les acciones de Thawte a Mark Shuttleworth per 575 milions de dòlars i va fundar Ubuntu. Shuttleworth va ser el segon turista espacial. El més comú és trobar certificats autosignats
28 Format certificat X.509 Conté les següents dades VersióNúmero de sèrie ID del algorisme Emissor i validesa Informació del subjecte Clau pública, algorisme Identificador de l'emissor i del subjecte Algorisme utilitzat per a firmar el certificat Firma digital del certificat
29 CaCERT Veiem l'exemple de CaCERT Cacert root keysNo confondre amb l'agencia catalana de certificació: catCert
30 CaCERT Comproveu l'estructura del certificat X.509
31 Certificats X.509 Formats de certificatsEls certificats s'han d'emmagatzemar d'alguna forma (fitxers). Formats: .CER .DER .PEM (Codificat en Base64,"-----BEGIN CERTIFICATE-----" y "-----END CERTIFICATE-----") .P7B i * .P7C (FNMT) * .PFX i * .P12 – PKCS#12. L'únic que pot contindré claus privades (utilitzat per als certificats personals) Els formats permeten exportar/importar certificats
32 Exemple format PEM -----BEGIN RSA PRIVATE KEY----- MIICXAIBAAKBgQC/SYMqTRcei0a86vxz+0faQQjb9xLTuX8uSmbopRfM/G8OVLFk AnBfUIgUy/zFz1bivlh6GPNNHO2ReXqitXVYqrbaTkM/FXByZ02uBBoJ/aBll/42 yYfIn54q215YNixSrQUHepgoN+UlSxu8s367d5vg2HkpHx+h/Ak/vSCS1QIDAQAB AoGAKS/L5SzKIJJ+fajfCJ3/P5gnLy2IyTu0jaQJemgpssJbqytDMrRvu6YcVtYB LBpTq+iuJkP/BwiGgn80j5oglMIoh2jzw+uAn7rNN6xlZ9yAZR6zdxK+QRnOSfvT coJgElWFU198qR0P1Xt9U21tJx6ZpHZ114G/tyurghMcTEECQQDx77p0UU30ZPau 7dWFYjqwGDLumIN72TIVs8i7Y0JIlG0h6IV+6HgbHAQYLPMErVCuv5libWim4GvV yvgL52VxAkEAymgRnpBEtC8Jgmc9K9gwN+ufSyO9mrA0m5jI83PsL9ZBa9dHwEoH Ms+UDJ7f1q7wConSvAN6z/V3XMiZLKLBpQJBALUNBaeOQJwoAkMeUK+ktu6Y7WSI Vb0U6No81HcG7M+L46+AZoZ2SYtgB+Bfou1ZFgvv7kUuQya+w3QWlFG0NMECQEnr I7Qiv9SF8RUcmuxuMX3aoPwR+2aIv02ryIeQaEs4FgBKSLvizSozQMAzLU/751IR 71IWez2DSaoq4DW64rkCQHZG7vfSz2QGL7241V0E+hMHj7nQAIQzMxLA7Bp248jg M3FkJIEdSW+c3EPT8hCuBMHonngnSx6w4LpO5TJVAtI= -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- MIICmzCCAgQCCQC2Tf8cnxndTjANBgkqhkiG9w0BAQUFADCBkTELMAkGA1UEBhMC RVMxEjAQBgNVBAgTCUJhcmNlbG9uYTESMBAGA1UEBxMJQmFyY2Vsb25hMRAwDgYD VQQKEwdJQ0UgVVBDMRAwDgYDVQQLEwdJQ0UgVVBDMRIwEAYDVQQDEwlsb2NhbGhv c3QxIjAgBgkqhkiG9w0BCQEWE3dlYm1hc3RlckBsb2NhbGhvc3QwHhcNMDcxMDE2 MDk1OTI0WhcNMDcxMTE1MDk1OTI0WjCBkTELMAkGA1UEBhMCRVMxEjAQBgNVBAgT CUJhcmNlbG9uYTESMBAGA1UEBxMJQmFyY2Vsb25hMRAwDgYDVQQKEwdJQ0UgVVBD MRAwDgYDVQQLEwdJQ0UgVVBDMRIwEAYDVQQDEwlsb2NhbGhvc3QxIjAgBgkqhkiG 9w0BCQEWE3dlYm1hc3RlckBsb2NhbGhvc3QwgZ8wDQYJKoZIhvcNAQEBBQADgY0A MIGJAoGBAL9JgypNFx6LRrzq/HP7R9pBCNv3EtO5fy5KZuilF8z8bw5UsWQCcF9Q iBTL/MXPVuK+WHoY800c7ZF5eqK1dViqttpOQz8VcHJnTa4EGgn9oGWX/jbJh8if nirbXlg2LFKtBQd6mCg35SVLG7yzfrt3m+DYeSkfH6H8CT+9IJLVAgMBAAEwDQYJ KoZIhvcNAQEFBQADgYEAH+5wIyEIacSlpzmwlyoe7JO/7G1rLletdIQ/lVoVkKcY 92lg8uZgBbwm88c72E34WdE99fvnjE9f0Z2WjefltmjDL+XSW/gz3Mt9Lh2UvJ7T 9HabIvD7bzeHv6xhQfwhq2pclcNtpnpbeVcTJe207FHaYdzGVsp1FKKjsws6M8A= -----END CERTIFICATE-----
33 Afegir CA. CaCERT Aneu a la web de CaCERTI afegim els Certificats arrel de CaCERT Per què els navegadors com Firefox o Explorer no incorporen per defecte aquest certificats?
34 SAGA vs Corte Ingles Connecteu-vos a la web d'un bancUs dóna alguna queixa respecte al certificat? Proveu ara de connectar-vos a Saga És la diferència entre un certificat SSL autofirmat o firmat per una autoritat i un certificat signat per una entitat certificadora
35 Llistes de revocacionsCRL (Certificate Revocation List) Certificats que han estat revocats (ja no són vàlids). Els certificats tenen un període de validesa però a més poden haver-hi errors, robatoris, sentències judicials... Llista de fingerprints (identificadors digitals) en els que no s'ha de confiar Menú Edita/Preferències/Avançat/Xifratge/Llistes de Revocació
36 Llistes de revocacionsEl CaCERT ens ofereix llistes de revocacions Anem a la web dels certificats arrel i feu clic a CRL
37 Certificats personalsNormalment el procés d'obtenció d'un certificat personal és: 1) Sol·licitar el certificat omplint un formulari amb dades personals 2) Presentar-se físicament a identificar-nos en alguna entitat de registre 3) Descarregar el certificat IdCAT, certCAT: Nivell català, tràmits amb la generalitat i administracions públiques catalanes... FNMT: Nivell espanyol, declaració de la renta, etc.
38 Clauer IdCAT L'IdCAT regala un clauer USB alsol·licitar un certificat digital Portabilitat Seguretat: accés protegit per contrasenya i zona segura (xifrada) dins de l'USB Memòria USB de 128 Megabytes Ampliació del clauer idCAT amb altres certificats digitals Web del clauer IdCAT
39 Per a què s'utilitza la criptografia?Protocols de transmissió segurs SSL, OpenSSL o TLS, SSH, SFTP, comunicacions segures per correu electrònic Aplicacions Pretty Good Privacy (PGP) Gnu Privacy Guard, GPG Altres utilitats Comprovació d'integritat de fitxers Autenticació etc...
40 Apache SSL Mòdul mod_ssl Permet utilitzar xifratge segurEl port estàndard és el 443 Esquema http --> https:// Creació del certificat Comanda apache2-ssl-certificate $ sudo apt-get install apache2 Country Name (2 letter code) [GB]:ES State or Province Name (full name) [Some-State]:BARCELONA Locality Name (eg, city) []:BARCELONA Organization Name (eg, company; recommended) []:ICE UPC Organizational Unit Name (eg, section) []:ICE UPC server name (eg. ssl.domain.tld; required!!!) []:localhost Address []: Ummm! Desapareguda a les noves versions d'apache2 a Debian i Ubuntu
41 Apache SSL Creació del certificat El fitxer Apache SSL wiki curs/usr/share/ssl-cert/ssleay.cnf és una plantilla Apache SSL wiki curs $ sudo cat /etc/apache2/ssl/certificat.pem -----BEGIN RSA PRIVATE KEY----- MIICXAIBAAKBgQC/SYMqTRcei0a86vxz+0faQQjb9xLTuX8uSmbopRfM/G8OVLFk AnBfUIgUy/zFz1bivlh6GPNNHO2ReXqitXVYqrbaTkM/FXByZ02uBBoJ/aBll/42 yYfIn54q215YNixSrQUHepgoN+UlSxu8s367d5vg2HkpHx+h/Ak/vSCS1QIDAQAB AoGAKS/L5SzKIJJ+fajfCJ3/P5gnLy2IyTu0jaQJemgpssJbqytDMrRvu6YcVtYB LBpTq+iuJkP/BwiGgn80j5oglMIoh2jzw+uAn7rNN6xlZ9yAZR6zdxK+QRnOSfvT coJgElWFU198qR0P1Xt9U21tJx6ZpHZ114G/tyurghMcTEECQQDx77p0UU30ZPau 7dWFYjqwGDLumIN72TIVs8i7Y0JIlG0h6IV+6HgbHAQYLPMErVCuv5libWim4GvV yvgL52VxAkEAymgRnpBEtC8Jgmc9K9gwN+ufSyO9mrA0m5jI83PsL9ZBa9dHwEoH Ms+UDJ7f1q7wConSvAN6z/V3XMiZLKLBpQJBALUNBaeOQJwoAkMeUK+ktu6Y7WSI Vb0U6No81HcG7M+L46+AZoZ2SYtgB+Bfou1ZFgvv7kUuQya+w3QWlFG0NMECQEnr I7Qiv9SF8RUcmuxuMX3aoPwR+2aIv02ryIeQaEs4FgBKSLvizSozQMAzLU/751IR 71IWez2DSaoq4DW64rkCQHZG7vfSz2QGL7241V0E+hMHj7nQAIQzMxLA7Bp248jg M3FkJIEdSW+c3EPT8hCuBMHonngnSx6w4LpO5TJVAtI= -----END RSA PRIVATE KEY----- -----BEGIN CERTIFICATE----- MIICmzCCAgQCCQC2Tf8cnxndTjANBgkqhkiG9w0BAQUFADCBkTELMAkGA1UEBhMC RVMxEjAQBgNVBAgTCUJhcmNlbG9uYTESMBAGA1UEBxMJQmFyY2Vsb25hMRAwDgYD VQQKEwdJQ0UgVVBDMRAwDgYDVQQLEwdJQ0UgVVBDMRIwEAYDVQQDEwlsb2NhbGhv c3QxIjAgBgkqhkiG9w0BCQEWE3dlYm1hc3RlckBsb2NhbGhvc3QwHhcNMDcxMDE2 MDk1OTI0WhcNMDcxMTE1MDk1OTI0WjCBkTELMAkGA1UEBhMCRVMxEjAQBgNVBAgT CUJhcmNlbG9uYTESMBAGA1UEBxMJQmFyY2Vsb25hMRAwDgYDVQQKEwdJQ0UgVVBD MRAwDgYDVQQLEwdJQ0UgVVBDMRIwEAYDVQQDEwlsb2NhbGhvc3QxIjAgBgkqhkiG 9w0BCQEWE3dlYm1hc3RlckBsb2NhbGhvc3QwgZ8wDQYJKoZIhvcNAQEBBQADgY0A MIGJAoGBAL9JgypNFx6LRrzq/HP7R9pBCNv3EtO5fy5KZuilF8z8bw5UsWQCcF9Q iBTL/MXPVuK+WHoY800c7ZF5eqK1dViqttpOQz8VcHJnTa4EGgn9oGWX/jbJh8if nirbXlg2LFKtBQd6mCg35SVLG7yzfrt3m+DYeSkfH6H8CT+9IJLVAgMBAAEwDQYJ KoZIhvcNAQEFBQADgYEAH+5wIyEIacSlpzmwlyoe7JO/7G1rLletdIQ/lVoVkKcY 92lg8uZgBbwm88c72E34WdE99fvnjE9f0Z2WjefltmjDL+XSW/gz3Mt9Lh2UvJ7T 9HabIvD7bzeHv6xhQfwhq2pclcNtpnpbeVcTJe207FHaYdzGVsp1FKKjsws6M8A= -----END CERTIFICATE----- $ dpkg -S make-ssl-cert ssl-cert: /usr/sbin/make-ssl-cert $ sudo apt-get install ssl-cert $ sudo make-ssl-cert /usr/share/ssl-cert/ssleay.cnf \ /etc/apache2/ssl/certificat.pem
42 Apache SSL ConfiguracióModifiqueu el port a 443 i afegiu les línies LoadModule, SSLEngine i SSLCertificateFile: Activeu el site amb la comanda a2ensite. Afegiu el port 443 al fitxer /etc/apache2/ports.conf $ sudo cp /etc/apache2/sites-available/default /etc/apache2/sites-available/ssl $ gksu gedit /etc/apache2/sites-available/ssl NameVirtualHost *:443
43 Apache SSL Reinicieu el servidor ApacheComproveu que funciona tot correctament Al tractar-se d'un auto-certificat els navegadors ens mostren el següent error: $ sudo /etc/init.d/apache2 reload https://localhost
44 Apache SSL. CertificatsPer a llocs web on la seguretat és molt important (o una qüestió d'imatge) necessitarem certificats “reals” de companyies com Thawte o Verisign.
45 OpenSSL OpenSSL És un projecte Open Source i col·laboratiuImplementa els protocols Secure Sockets Layer (SSL v2/v3) i Transport Layer Security (TLS v1) Proveïx una llibreria de criptografia OpenSSL a la wiki del curs
46 OpenSSL. Creació de clausCreació d'una clau RSA de 1024 bits amb DES Consulteu la clau (format ASCII) El fitxer inclou tant la clau pública com la privada Per tal d'obtenir la clau pública Crear un parell de claus RSA de 1024 bits i el corresponent certificat X.509 $ openssl genrsa -des -out key.pem 1024 $ file key.pem key.txt: ASCII text $ openssl rsa -in key.pem -out key_public.pem -outform PEM -pubout $ openssl req -new -x509 -out certificat.pem
47 OpenSSL. Creació de certificatsCreació de certificat autosignat amb OpenSSL Verificar un certificat Creació d'un certificat signat per caCERT El fitxer .csr és el que passarem a la entitat certificadora. Cal tenir compte de caCERT. $ sudo mkdir /etc/apache2/ssl $ cd /etc/apache2/ssl $ sudo openssl req -new -x509 -nodes -out certificat.pem -keyout certificat.pem -days 365 $ openssl s_client -connect $ openssl genrsa -out 1024 $ openssl req -new -key -out
48 OpenSSL. Xifrar un fitxer de text amb DESPassar a fitxer de text (base64) Torneu a xifrar el mateix text ( testcodificat2.txt). El text xifrat és el mateix? S'utilitza una llavor diferent cada cop Desxifrar: Manual: $ openssl des -in test.txt -out testcodificat.txt $ file testcodificat.txt testcodificat.txt: data $ openssl base64 -in testcodificat.txt -out testcodificatbase64.txt $ openssl base64 -d -in testcodificatbase64 | openssl des -d -k paraula_de_pas $ man enc
49 OpenSSL. S/MIME S/MIME Permet xifrar, signar correus electrònicsSignar un missatge de text Xifrar i signar Verificar No autosignat Autosignat $ openssl smime -sign -in textProva.txt -text -out textProva.msg \ -signer certificat.pem -inkey privkey.pem $ openssl smime -sign -in textProva.txt -text -out textProvaOpaque.msg -nodetach -signer certificat.pem -inkey privkey.pem $ openssl smime -verify -in textPac4.msg -signer certificat.pem -out signedtext.txt $ openssl smime -verify -in textPac4.msg -signer certificat.pem -out signedtext.txt -noverify
50 Web of Trust Defineix les relacions entre persones en les que confiesAmb el temps, les persones en qui confies et poden introduir a nous contactes fiables Quelcom similar a la frase: “Els amics dels meus amics són els meus amics” És una alternativa als sistemes PKI jeràrquics Utilitzat en sistemes com PGP o GNUPG És un sistema descentralitzat Festes de Signatures de claus (Key Signing Parties)
51 Web of Trust La “Xarxa de confiança” és un terme utilitzat per descriure les relacions entre un grup de claus La Signatura d'una Clau és un enllaç en la xarxa de confiança. Aquests enllaços són anomenats Camins de Confiança. Els camins de confiança poden ser unidireccionals o bidireccionals La xarxa ideals es aquella en la que tothom esta connectat de forma bidireccional amb tothom
52 Festa de Signatura de FirmesÉs un esdeveniment on la gent presenta les seves claus PGP per ser signades És un sistema utilitzar per millorar la “Web of Trust” Durant l'esdeveniment els usuaris s'identifiquen i intercanvien petjades digitals, i mida de claus públiques Normalment durant l'esdeveniment no s'utilitzen ordinadors A posteriori els participants firmen les claus dels usuaris que han pogut identificar i els hi envien les claus firmades.
53 Funció criptogràfica HASHA criptografia, una funció de hash és una transformació que converteix una entrada qualsevol en un conjunt de caràcters (String) de longitud fixa anomenat valor de hash. Propietats No tenen per que utilitzar cap clau El valor de hash és un representació única de l'entrada original. Petjada Digital (Digital Fingerprint) També anomenades funcions digest Les més conegudes són MD5 i SHA-1 (al 2005 es van identificar debilitats a totes dues) Hash vol dir coixinet, sofregit o hachis
54 Funció criptogràfica de HASHPropietats S'espera que siguin funcions d'un sol sentit. Una bona funció de hash té una probabilitat molt baixa de col·lisió (dos textos que donin el mateix resum) i textos similars han de tenir funcions de hash molt diferents Utilitats Comprovació de la integritat Identificació digital Utilitzat per IDS (Sistemes de detecció d'intrusions)
55 Funció criptogràfica HASHmd5sum Permet calcular el hash d'un fitxer sha1sum Utilitzades per comprovar la integritat i la validesa d'un fitxer descarregat d'Internet. $ dpkg -S md5sum | grep bin .... coreutils: /usr/bin/md5sum $ sudo apt-get install coreutils $ touch prova.iso $ md5sum prova.iso d41d8cd98f00b204e ecf8427e prova.iso $ sha1sum prova.iso
56 Exemple. Ubuntu ISOS ftp://ftp.rediris.es/sites/releases.ubuntu.com/release s/7.04 50f3655fbcbdba9746d4b05ad8705b0b *ubuntu-7.04-alternate-amd64.iso ff0cc7c9ed5157f0ff8c0f f49 *ubuntu-7.04-alternate-i386.iso a2b159599b69cea51371eee1ec5feda6 *ubuntu-7.04-desktop-amd64.iso e296e fc8df29609a *ubuntu-7.04-desktop-i386.iso 8a1099f5fa8eaf4ee295bf0087c8b03a *ubuntu-7.04-server-amd64.iso cf462501e2dc1b82b96dfc497a0404a2 *ubuntu-7.04-server-i386.iso e016f1e af98d01eae c *ubuntu-7.04-server-sparc.iso
57 Exemple. K3B Gravador de CDS. Al crear una CD des de un ISOComprovació md5sum
58 Public Key FingerprintsPetjades digitals de claus públiques Són seqüències de bytes curtes utilitzada per autenticar una clau pública Es creen aplicant funcions de hash a les claus públiques Al ser més curtes que les claus públiques s'utilitzen per simplificar certes tasques en criptografia (autenticació, criptografia hibrida...) Public Key Fingerprint a la wikipedia 43:51:43:a1:b5:fc:8b:b7:0a:3a:a9:b1:0f:66:73:a8
59 debsums Permet comprovar quins paquets debian han sofert canvis des de la seva instal·lació Instal·lació: Comprovació: Podem saber quins paquets no tenen debsums amb: Altres utilitats (saber quins fitxers de configuració hem modificat, recuperació d'un sistema de dades corrupte, etc...) $ sudo apt-get install debsums $ sudo debsums -ce bind9 /etc/bind/named.conf.options /etc/bind/named.conf.local $ sudo debsums -l $ sudo -i # cd /var/cache/apt/archives # apt-get --download-only --reinstall install `debsums -l` # debsums --generate=keep,nocheck *.deb
60 Linux Passwords Fitxer de contrasenyesEl tipus de xifratge ve determinat pel programa passwd que al seu temps esta controlat en gran part per PAM Sistema per defecte: MD5 hash (a Ubuntu SHA512) Es poden utilitzar altres sistemes com blowfish. $ cat /etc/pam.d/passwd # # The PAM configuration file for the Shadow `passwd' service @include common-password
61 Linux Passwords $ cat /etc/pam.d/common-password ## /etc/pam.d/common-password - password-related modules common to all services # This file is included from other service-specific PAM config files, # and should contain a list of modules that define the services to be #used to change user passwords. The default is pam_unix # The "nullok" option allows users to change an empty password, else # empty passwords are treated as locked accounts. # (Add `md5' after the module name to enable MD5 passwords) # The "obscure" option replaces the old `OBSCURE_CHECKS_ENAB' option in # login.defs. Also the "min" and "max" options enforce the length of the # new password. password required pam_unix.so nullok obscure min=4 max=8 md5 # Alternate strength checking for password. Note that this # requires the libpam-cracklib package to be installed. # You will need to comment out the password line above and # uncomment the next two in order to use this. # (Replaces the `OBSCURE_CHECKS_ENAB', `CRACKLIB_DICTPATH') # password required pam_cracklib.so retry=3 minlen=6 difok=3 # password required pam_unix.so use_authtok nullok md5
62 Linux Passwords Cracklib Permet forçar paraules de pas seguresConfiguració de PAM: S'afegeix la línia: Al fitxer: Cracklib a la wiki del curs sudo apt-get install libpam-cracklib password required pam_cracklib.so retry=3 minlen=6 difok=3 /etc/pam.d/common-password
63 Linux Passwords Wordlist Consultar els idiomes disponibles:Instal·lar el català: Els diccionaris es guarden a: Consulteu el fitxer /etc/cracklib/cracklib.conf $ sudo apt-get install wordlist $ cat /usr/share/dict/catala $ sudo apt-get install wcatalan /usr/local/dict /usr/local/share/dict /usr/share/dict /usr/share/dict/cracklib
64 Ant Apache Ant S'utilitza en programació per la realització de tasques rutinàries i repetitives normalment durant la fase de compilació i construcció de l'aplicació Comparteix objectius amb make, però esta feta en Java i utilitza XML per crear el fitxer de tasques Solució multiplataforma Va ser creat per al projecte Tomcat Tasques de checksum (MD5, SHA1) Exemple Ant a Moodle
65 DES Estàndard americà del 1976Algorisme controvertit: Parts de l'algorisme no obertes (classificades), la mida de la clau és massa petita (56 bits) i sempre s'ha sospitat que la National Security Agency (NSA) tenia un backdoor. Actualment es considera un sistema insegur (pot ser trencat en menys de 24 hores). Hi han variants millorades: Triple DES (168 bits) Advanced Encryption Standard (AES) Tot i considerar-se insegur encara s'utilitza per xifrar a les màquines de targetes de crèdit al correu electrònic i en aplicacions d'accés remot DES a la wikipedia
66 DSA i RSA RSA L'algorisme RSA va ser inventat al 1977 per Ron Rivest, Adi Shamir y Len Adleman al MIT Clifford Cocks, un matemàtic britànic que treballava per l'agència d'intel·ligència britànica GCHQ va descriure un sistema equivalent al 1973 però no va poder ser implementat amb les màquines de la època i es va mantenir en secret fins ala 1977. L'algorisme va ser patentat a Estats Units pel MIT però va expirar el 21 de setembre del 2000. RSA a la wikipedia
67 DSA i RSA DSA (Digital Signature Algorithm)És un estàndard del govern dels Estats Units per a firmes digitals. Es va fer públic el 30 de agosto de 1991 És un sistema de criptografia de clau pública Requereix més temps de comput que RSA La longitud de les claus és més gran que a RSA (es considera més segur)
68 Competició de factorizació RSAÉs un repte proposat pels laboratoris RSA al 1991 Serveix per controlar quin és l'estat de l'art de la factorització. Alguns números ja han estat resolts (del RSA-100 al RSA-640 amb premi de $20,000 USD) El primer pendent de resoldre és RSA-704 per $30,000 USD i el més gran és el RSA-2048 amb un premi de $200,000. Competició de la factorització RSA
69 Algorismes Patentats i no patentatsIDEA PGP Patent Caducada RSA No Patentats ElGamal CAST5 Triple DES (3DES) AES Blowfish Eines com OpenSSH utilitzen algorismes no patentats com el GAMAL o amb patents caducades com RSA
70 GPG i PGP GNU Privacy Guard (GnuPG o GPG)Programari lliure amb llicència GPL pensat per reemplaçar el programa propietari PGP (Pretty Good Privacy). És un projecte de la Free Software Foundation que ha rebut ajudes econòmiques del govern alemany. Compleix amb els estàndards de la IETF (OpenPGP) i és interoperable amb altres implementacions OpenPGP. Afegir suport GPG a Thunderbird i Gnome $ sudo apt-get install mozilla-thunderbird-enigmail seahorse
71 GPG Funcionament basat en infraestructura de clau públicaPodem xifrar les dades o signar. Tenim entorns gràfics per treballar amb GPG com Seahorse o KGpg Seahorse o KGpg s'integren en els navegadors de fitxers dels escriptoris Gnome i DKE Amb Enigmail tenim una interfície gràfica per tal de configurar l'ús de GPG amb el correu electrònic. GNUGPG a la wiki del curs
72 GPG. Gestió de claus Creació d'una clauSeleccioneu quin tipus de clau voleu: (1) DSA and Elgamal (default) (2) DSA (només signar) (5) RSA (només signar) Creació d'una clau Les opcions per defecte en cas de dubte són les correctes ;-) Publicació d'una clau a un servidor de claus L'identificador de la clau és el text en negreta: $ gpg --gen-key $ gpg --keyserver pgp.mit.edu --send-keys IDDECLAU pub D/F19D66B Key fingerprint = 2B2C 5E4C 5FBE 9BDE 3EB4 C4FC 0C59 F136 F19D 66B4 uid Pepe Pardo Jeans (Clau de broma) sub g/29D5722E
73 Servidors públics de clausPermeten difondre les claus públiques Servidor de claus públiques del MIT PGP Key Server https://keyserver.pgp.com/vkd/GetWelcomeScreen.e vent Ubuntu Key Server: Debian Key Server: Tenim aplicacions com SKS o PKS per implementar servidors de claus públiques
74 Seahorse Eina gràfica per a la gestió de claus $ seahorse
75 Seahorse Podem buscar i publicar claus públiques en servidors de clausMenú Remot/Cerca Claus Remotes i Sincronitza i publica
76 Nautilus Seahorse s'integra amb el navegador de fitxers Nautilus
77 Nautilus Amb KDE tenim les eines equivalents per a konqueror i l'aplicació KPgp
78 Festa de claus Anem de festa ;-)Apunteu la petjada digital de la vostra clau i la mida de la clau i la compartiu amb la resta de companys Al compartir us identifiqueu amb el DNI, passaport o un altre identificador vàlid. Després firmeu les claus dels companys i els hi envieu firmades per correu electrònic Un cop rebeu la vostra clau firmada, la publiqueu al servidor de claus públiques
79 Enigmail Proveeix de xifratge de clau pública a Mozilla ThunderbirdÉs un plugin de Mozilla-Thunderbird Utilitza GNU Privacy Guard. Enigmail a la wikipedia $ sudo apt-get install mozilla-thunderbird-enigmail
80 Enigmail Configuració amb el menú OpenGPG
81 Enigmail Anem al menú Key Managment i podem gestionar les nostres claus:
82 Enigmail Ara ja podeu encriptar i signar correus TroubleShootingSi teniu errors de permisos a l'utilitzar OpenGPG executeu. $ sudo chown -R el_vostre_usuari:el_vostre_grup ~/.gnupg
83 SSH Definició Secure Shell o SSH és un conjunt d'estàndards i un protocol de xarxa que permet establir un canal segur entre una màquina local i una màquina remota. Característiques Protocol del nivell d'aplicació. Dos versions del protocol: SSH 1 i SSH 2. SSH 1 es considera obsoleta perquè utilitza mecanismes que actualment ja no són prou segurs. La versió 2 proveïx de mecanismes addicionals de seguretat (xifratge AES, 3DES, Blowfish, CAST128 or Arcfour, etc.)
84 SSH Característiques Els suport per a la versió 2 amb programari lliure està disponible des de 1999 quan OpenBSD va crear OpenSSH per competir amb Secure Shell. Arquitectura SSH (RFC 4251). Capes: Capa de transport (RFC 4253). Capa d'autenticació d'usuaris (RFC 4252). Capa de connexió (RFC 4254). Referències OpenBSD OpenSSH Transport: This layer handles initial key exchange and server authentication and sets up encryption, compression and integrity verification. It exposes to the upper layer an interface for sending and receiving plaintext packets of up to 32,768 bytes each (more can be allowed by the implementation). The transport layer also arranges for key re-exchange, usually after 1 GB of data have been transferred or after 1 hour has passed, whichever is sooner. Autenticació This layer handles client authentication and provides a number of authentication methods. Authentication is client-driven, a fact commonly misunderstood by users; when one is prompted for a password, it is the SSH client prompting, not the server. The server merely responds to client's authentication requests. Widely used user authentication methods include the following:o "password": a method for straightforward password authentication, including a facility allowing a password to be changed. This method is not implemented by all programs o "publickey": a method for public key-based authentication, usually supporting at least DSA or RSA keypairs, with other implementations also supporting X.509 certificates) o "keyboard-interactive" (RFC 4256): a versatile method where the
85 SSH Utilitats Per administrar màquines remotes de forma segura, a través d'una terminal o consola. Com a base per altres protocols segurs: SFTP: Alternativa segura de FTP. SCP: Alternativa segura a la còpia de fitxers remots amb rcp. RSYNC: Eina de còpies de seguretat remotes i gestió de mirrors. Per crear túnels segurs per connexions TCP/IP. Alternativa a VPN. Execució de comandes remotes (suport SSH exec). Navegar per Internet de forma segura amb SOCKS o proxies.
86 OpenSSH Definició Programes opensshOpenSSH (Open Secure Shell) és un conjunt d'aplicacions de programari lliure que proveïxen de suport per sessions de comunicacions encriptades basades en el protocol SSH. Alternativa lliure del programari propietari Secure Shell. Programes openssh ssh: reemplaçament dels protocols anàlegs no segurs rlogin i telnet. scp: reemplaçament de la comanda anàloga no segura rcp. sftp: reemplaçament segur del protocol ftp.
87 OpenSSH sshd: servidor/dimoni SSH.ssh-keygen: una eina per generar parells de clau públiques/privades de tipus RSA o DSA. Utilitzades per l'autenticació d'usuaris i de hosts. ssh-keyscan: escaneja un servidor SSH per tal d'obtenir la seva clau. ssh-agent: petit dimoni que permet gestionar les còpies de claus públiques i utilitzar-les per tal d'evitar l'ús de contrasenyes en els reptes d'autenticació. ssh-add: comanda que afegeix claus al gestor de claus ssh-agent. slogin: login segur.
88 SSH. Instal·lació i execucióInstal·la dos paquets Script d'inicialització SystemV start|stop|reload|force-reload|restart OpenSSH a la wiki $ sudo apt-get install ssh openssh-client i openssh-server /etc/init.d/ssh $ sudo /etc/init.d/ssh start|stop|reload|status
89 SSH. Ports i seguretat SSH utilitza el port 22 IPTABLESEl port i altres paràmetres del servidor SSH es poden controlar al fitxer: $ cat /etc/services | grep ssh ssh /tcp # SSH Remote Login Protocol ssh /udp iptables -A INPUT -s /0 -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s /0 -p udp --dport 22 -j ACCEPT $ sudo nmap ip_servidor_ssh | grep 22 22/tcp open ssh /etc/ssh/sshd_config
90 SSH Gràfic És pot utilitzar amb Nautilus
91 OpenSSH Autenticació Clau d'accés Claus públiques4 mètodes: Clau d'accés Claus públiques Basat en la màquina de connexió (hostbased) Keyboard-interactive Kerberos/GSSAPI Tots aquests mètodes d'autenticació estan explicats al manual de ssh (man ssh). Amb SSH2 amb els valors per defecte l'ordre en que s'intenten els diferents intents d'autenticació és: hostbased, public key, keyboard-interactive i password.
92 Creació usuaris Exercici. Configuració d'accés remot sense contrasenya. Treballeu per parelles. Creeu un usuari per al vostre company amb permisos d'administració. Podeu utilitzar la línia de comandes (adduser) o l'eina Usuaris i Grups del menú Administració de Gnome.
93 SSH. Connexió a màquines remotesSegueix un esquema similar al del correu electrònic: Exemple Si no posem l'usuari, intenta connectar amb l'usuari que estem utilitzant actualment. Exercici Proveu de connectar-vos a la màquina remota del company amb les dades de l'usuari que heu creat. ssh ssh ssh
94 Autenticació per claus públiquesGeneració de claus Amb la opció -t es poden generar altres tipus de claus com rsa. $ ssh-keygen -t dsa Generating public/private dsa key pair. Enter file in which to save the key (/home/sergi.tur/.ssh/id_dsa): Enter passphrase (empty for no passphrase): Enter same passphrase again: Your identification has been saved in /home/sergi.tur/.ssh/id_dsa. Your public key has been saved in /home/sergi.tur/.ssh/id_dsa.pub. The key fingerprint is: 9b:06:0f:d2:6b:15:43:42:84:1a:c2:e1:81:fc:e4:12 $ cd ~/.ssh/ $ ls -la -rw sergi.tur sergi :31 id_dsa -rw-r--r-- 1 sergi.tur sergi :31 id_dsa.pub $cat /etc/id_dsa.pub
95 Autenticació per claus públiquesssh-copy-id $ ssh-copy-id -i ~/.ssh/id_dsa.pub password: Now try logging into the machine, with "ssh and check in: .ssh/authorized_keys to make sure we haven't added extra keys that you weren't expecting.
96 Autenticació per claus públiquesConfiguració de les claus En una sola comanda $ scp id_dsa.pub password: id_dsa.pub % KB/s 00:00 $ ssh ..... Last login: Sat Jul 1 09:18: ip_company$ cd .ssh/ ip_company$ cat id_dsa.pub >> authorized_keys ip_company$ exit logout Connection to ip_company closed. Last login: Sat Jul 1 19:42: from ip_company$ cat ~/.ssh/id_dsa.pub | ssh " cat - >> ~/.ssh/authorized_keys"
97 Autenticació per claus públiquesConfiguracions alternatives El cas anterior és vàlid en cas d'utilitzar les configuracions, noms i camins de fitxers per defecte. Per configuracions alternatives podem utilitzar el fitxer ~/.ssh/config: $ cat ~/.ssh/config Host feina Hostname IdentityFile ~/.ssh/sergitur Port 22 Host * ForwardX11 yes $ ssh feina connected to feina feina$
98 Autenticació de servidorsPrimera connexió a un servidor Man-in-the-middle warning Solució: $ ssh The authenticity of host 'tjener ( )' can't be established. RSA key fingerprint is ab:37:e2:3f:6f:16:27:5e:9a:02:a1:e1:9a:34:7f:69. Are you sure you want to continue connecting (yes/no)?yes password: $ ssh @ WARNING: REMOTE HOST IDENTIFICATION HAS IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY! Someone could be eavesdropping on you right now (man-in-the-middle attack)! It is also possible that the RSA host key has just been changed. The fingerprint for the RSA key sent by the remote host is f2:92:1d:da:81:2a:d7:16:0a:48:f0:43:20:1c:f4:b5. Please contact your system administrator. Add correct host key in ~/.ssh/known_hosts to get rid of this message. Offending key in ~/.ssh/known_hosts:5 Password authentication is disabled to avoid man-in-the-middle attacks. X11 forwarding is disabled to avoid man-in-the-middle attacks. Permission denied (publickey,password,keyboard-interactive). sed -i '5d' ~/.ssh/known_hosts $ ssh-keygen -R
99 $ sudo ssh -f -L 81:www.google.com:80 usuari@localhostSSH Tunneling Permet securitzar part d'una comunicació Útil quan la LAN no és confiable (p.ex. Ettercap) També anomenat Port Forwarding Cal permisos de root per redirecciona ports <1024 SSH tunel a la wiki del curs $ ssh -f -L localport:Appserver:RemotePort -N $ sudo ssh -f -L 81:www.google.com:80
100 SSH Tunneling. Local ForwardingPodem convertir connexions TCP/IP no segures en connexions segures utilitzant túnels Exemple tonto! $ sudo ssh -L 81:www.google.com:80 localhost
101 SSH Tunneling Per permetre a altres màquines connectar-se al port local: Connecteu-vos a google a través d'un company Podria interceptar aquesta informació Ettercap? Fitxer de configuració: ~/.ssh/config $ sudo ssh -g -L 81:www.google.com:80 localhost Host revTelnetTunnel HostName mail.my_isp.net RemoteForward 2323:localhost:23 GatewayPorts no $ ssh -f -L 2000:personal-server.com:25 -N
102 SSH tunneling. SSH backdoorRemote Forwarding or SSH backdoor Permet accedir via SSH a una màquina darrera d'un firewall. Si la màquina té accés cap a l'exterior aleshores es possible saltar-se el tallafocs si tenim accés a la màquina (ginger) $ ssh -R 2222:localhost:22 $ while [ 1 ]; do date; sleep 300; done $ ssh (des de tech) ssh -p 2222 No hi ha opció -g Cal afegir al servidor de SSH: (fitxer sshd_config): GatewayPorts yes
103