• ENTRAR
  • No hay productos en el carrito.

Como proteger tu raspberry pi para que no la hackeen

Guía de buenas prácticas para proteger la raspi. Si tienes algún proyecto en una raspberry pi conectada a internet 24/7 deberías securizarla para evitar posibles ataques.

Si tienes algún proyecto en una raspberry pi conectada a internet 24/7 deberías securizarla para evitar posibles ataques.

Los servidores son el blanco de muchos atacantes y si tu raspberry pi es accesible desde fuera de tu intranet, es muy probable que en algún momento sea descubierta por algún bot o algún programa automatizado. Si esto ocurre también es probable que alguien intente entrar en ella para convertirla en un zombie (añadiendola a su botnet), ver si hay información relevante o por simple diversión de entrar en sistemas ajenos.

A continuación se describen una serie de buenas prácticas para proteger la raspi. Ten en cuenta que estas pautas son consejos básicos y en caso de querer una mayor protección, se pueden hacer muchas más cosas.

1. Cambiar la contraseña por defecto

Una Raspberry Pi que ejecute Raspbian viene con un nombre de usuario y una contraseña por defecto (vamos, que es la misma en todas las raspberries).

Por lo tanto, si puede obtener acceso a una Raspberry Pi, y estas configuraciones no se han cambiado, tiene acceso root a esa Raspberry Pi.

Para cambiarlo hay dos opciones:

  •  Vía la aplicación de configuración de raspbian ejecutando en la terminal:
sudo raspi-config

seleccionamos la opción 2 y seguimos las instrucciones para cambiar la contraseña.

  •  Vía comando, ejecutando en la terminal
passwd

Tras esto, escribiremos la nueva contraseña y confirmaremos.

2. Cambiar el usuario

Por defecto, las Raspberry Pi vienen con el usuario pi, cambiando este usuario haremos más segura nuestra raspberry.

Para ello, crearemos un usuario nuevo con los mismos permisos que pi:

sudo useradd -m nuevoUsuario -G sudo

Esto añade un nuevo usuario llamado nuevoUsuario, crea un directorio home y añade el usuario al grupo sudo.

Tras crearlo, ahora deberemos establecer su contraseña con:

sudo passwd nuevoUsuario

Para comprobar si la cuenta tiene los permisos correctos (por ejemplo de sudo) podemos ejecutar el siguiente comando:

sudo visudo

Este comando visudo solo se puede ejecutar por cuentas con privilegios de sudo. Si se ejecuta correctamente entonces puedes estar seguro que la nueva cuenta está en el grupo sudo.

3. Asegurate de tener siempre el sistema actualizado

Es importante tener las últimas actualizaciones de seguridad instaladas (esto también sirve para otros sistemas operativos), para ello puedes ejecutar los siguientes comandos periodicamente:

sudo apt-get update

sudo apt-get dist-upgrade

Recomendación: Actualizar a diario el servicio de ssh (openssh-server) por si hay nuevos parches de seguridad. Esto se puede automatizar mediante cron tab (utilidad de linux que permite ejecutar tareas periodicamente de forma automática en segundo plano).

Para ello podemos añadir una entrada en cron tab que ejecute un script con el siguiente comando:

sudo apt-get install --only-upgrade openssh-server

4. Cambiar puerto ssh

Por defecto el puerto del servicio ssh es el 22. Si lo tenemos abierto es posible que sea escaneado por alguna herramienta automática. Para evitar estos problemas podemos cambiarlo a otro puerto, por ejemplo al 6312.

Para ello, editaremos el fichero de configuración de ssh:

nano /etc/ssh/sshd_config

Buscaremos la línea:

# Port 22

Y la cambiaremos por:

Port 6312

Por último, reiniciaremos el servicio ssh para que levantarlo en el nuevo puerto:

sudo service ssh restart

Recordad que para poder conectarse a este nuevo puerto desde fuera de la intranet, es necesario abrir el puerto en el router.

5. fail2ban

Fail2ban es un escaner (escrito en Python) que examina los ficheros de log generados por la raspberry pi para buscar actividades sospechosas. Por ejemplo, en caso de encontrar intentos de login por fuerza bruta. De este modo nos ahorramos tener que comprobar manualmente los ficheros de logs en busca de intentos de intrusión y actualizar el firewall para prevenirlo.

Para instalar fail2ban ejecutamos:

sudo apt-get install fail2ban

El principal directorio de fail2ban está en /etc/fail2ban. en él hay un fichero de configuración llamado jail.conf. Para activar fail2ban debemos copiar este fichero a jail.local.

Para ello ejecutamos:

sudo cp /etc/fail2ban/jail.conf /etc/fail2ban/jail.local

Y ahora lo editamos:

sudo nano /etc/fail2ban/jail.local

Buscamos la sección ssh, la cual será parecida a:

1
2
3
4
5
6
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6

Para entender un poco mejor estas líneas vamos a describirlas:

  • Módulo de ssh en fail2ban está activado.
  • Examina el puerto ssh.
  • Comprueba los filtros (cuyos parámetros están en \etc\fail2ban\filters.d\sshd.conf)
  • Monitoriza el fichero /var/log/auth.log en búsqueda de actividad sospechosa.
  • Permite un máximo de 6 intentos de login antes de que se alcance el umbral de detección.

En este caso vamos a configurar estos parámetros ya que queremos que banee permanentemente las direcciones IP que tengan 3 intentos de login fallidos. Esto se hace poniendo el parámetro maxretry a 3 y bantime a -1:

1
2
3
4
5
6
7
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 3
bantime = -1

En esta guía podemos encontrar muchas más funcionalidades de fail2ban.

6. Contraseña

Por último hay que asegurarse de tener una contraseña robusta para evitar ataques de fuerza bruta o diccionario. Una contraseña de 14 caractéres con mayúsculas, minúsculas, signos de puntuación y números nos dará un extra de seguridad.

Trabajo futuro

Estos consejos son obligatorios en caso de querer estar más protegidos, pero no dejan de ser básicos. Para una mayor seguridad habría que protegernos aún más.

Por ejemplo, para proteger aún más el ssh habría que activar la autenticación basada en clave pública.

Os recomendamos también echar un ojo a esta otra guía de Digital Ocean.

Aleix | @aleixdev

0 respuestas sobre "Como proteger tu raspberry pi para que no la hackeen"

Deja un mensaje


Tú escuela de Hacking Ético.

Suscríbete a nuestro Boletin

  Suscribirse ahora
Copyright © 2018 - Todos los derechos reservados.

X