Una Red Privada Virtual (VPN por sus siglas en inglés) sirve para crear una conexión encriptada entre 2 o más puntos a través de Internet. Un caso de uso típico puede ser permitir al acceso a servicios de una intranet de forma segura desde Internet.  Otro caso típico de uso es interconectar redes locales de 2 ó más sucrusales a través de Internet. En este artículo haremos la primera opción y en un futuro cercano publicaré cómo interconectar 2 redes.

Existen varias implementaciones de VPN y en el mundo de software libre una de las más populares es OpenVPN.  Una de sus grandes ventajas, es que se pueden tener clientes en distintos sistemas operativos com GNU/Linux, Windows, Mac y seguro que en todas las versiones BSD.

Instalación

OpenVPN viene por defecto en la mayoría de las distribuciones GNU/Linux. En mi caso suelo utilizar Debian o Ubuntu. La instalación la hice con aptitude:

aptitude install openvpn

En distros basadas en RPM la instalación se la hace con yum:

yum install openvpn

Listo , así de fácil y de sencillo.

Crear los certificados digitales

OpenVPN autentica sus clientes a través de llaves públicas y privadas. De esta manera cada cliente tiene su llave privada y debe enviar su llave pública al servidor. Estas llaves son creadas con un certificado conocido como “Certificado de Autoridad“. De esta forma cuando el servidor recibe una llave pública este revisa si esta firmado con el certificado de autoridad. Sino esta no aceptará la conexión.

La forma más fácil de crear estos certificados es utilizando la utilidad easy-rsa que viene en el paquete de OpenVPN. En el caso de debian esta aplicación se encuentra en: /usr/share/doc/openvpn/examples/easy-rsa/2.0/ easy-rsa. Otras distribuciones tendrán una ruta similar.

Copiamos la aplicación a una ruta más fácil de recordar. Personalmente opté por un subdirectorio dentro de /etc/openvpn. Para tener las cosas ordenadas:

cp -r /usr/share/doc/openvpn/examples/easy-rsa/2.0/ /etc/openvpn/easy-rsa


Ahora ingresamos al directorio para crear las claves:

cd /etc/openvpn/easy-rsa/

Dentro de esta carpeta tenemos un archivo que almacena algunas variables importantes. Recomiendo revisar este archivo y de ser el caso modificar algunas variables.

vim vars

En mi caso personalice la siguiente parte para que cuando cree los certificados los valores por defecto tengan que ver con mi realidad:

export KEY_COUNTRY="EC"
export KEY_PROVINCE="Pichicha"
export KEY_CITY="Cayambe"
export KEY_ORG="Mi empresa"
export KEY_EMAIL="yo@midominio.com"

Guardamos y cerramos el archivo. Si no queremos no modificamos el archivo, es algo netamente opcional.

Cargamos las variables de este archivo al shell que estamos utilizando:

. vars

Borramos las claves previamete creados en caso de existir. Hacer esto solo si es la primera vez que vamos a crear los certificados y las claves.

./clean-all

Creamos el certificado de autoridad:

./build-ca

Si modificaron las variables, se darán cuenta que ahora las estaremos utilizando.

Certificado y clave privada para el servidor

/build-key-server servidor

Esto generara los archivos servidor.crt y servidor.key. donde el archivo .key es la llave privada y .crt es la pública.

Generamos los parámetros  Diffie Helman

./build-dh

Generamos las claves de los clientes.

./build-key cliente1
./build-key cliente2
./build-key cliente3


De manera similar al servidor se crearán las claves *.key y *.crt que serán las claves privadas y públicas respectivamente. Las 2 claves las deberemos copiar al cliente.

Listo, hemos creado todos los certificados necesarios y estamos listos para configurar los clientes y el servidor. Es importante sacar un respaldo del directorio /etc/openvpn/easy-rsa ya que ahí están todas las claves, incluido el certificado de autoridad que nos permitirá crear nuevas claves a futuro.

Resumen de las claves y certificados creados:

Nota: en clienteX, X quiere decir el número del cliente. En este ejemplo estamos trabajamos con 3 clientes para la VPN pr lo que deberíámos tener 3 pares de claves .crt y .key.

Configurar el Servidor

Copiamos los archivos que corresponden al servidor en una carpeta dentro del mismo. En mi caso copie la configuración en /etc/openvpn/claves. Si generamos las claves en una máquina que no es el servidor debemos usar scp u otra aplicación para subirlas a nuestro servidor.
Copiamos un archivo de ejemplo de configuración del servidor y la adaptamos a nuestras necesidades.

cd /etc/openvpn
cp /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz .
gunzip server.conf.gz
vim server.conf


Dentro del archivo modificamos algunas variables para que funcione. Aquí expico algunas:
Protocolo a utilizar:

# TCP or UDP server?
proto udp


Vamos a configurar la vpn utilizando el protocolo UDP ya que esto nos dará un mejor rendimiento. No tiene sentido trabajar en TCP ya que dentro de nuestra vpn se correra el protocolo IP donde de ser necesario se volver a utilizar el protocolo TCP y no tiene sentido utilizar 2 veces este protocolo. En otras palabras, utilizar TCP solo cuando no lo puedan hacer con UDP.

Definimos las rutas a los certifiados. Recordar que en este ejemplo estamos utilizando /etc/openvpn/claves

ca claves/ca.crt
cert claves/servidor.crt
key claves/servidor.key
dh dh1024.pem


Por último, en el mismo archivo, decimos a que redes queremos que los clientes vpn puedan acceder.

push "route 192.168.45.0 255.255.255.0"

Listo podremos iniciar el servidor:

/etc/init.d/openvpn start

En caso de necesitar corregir errores se puede iniciar el servicio así:

openvpn <archivo de configuración>

Nota: El servidor VPN debería poder trabajar como ruteador por lo que debemos activar esto a nivel del kernel:

echo 1 > /proc/sys/net/ipv4/ip_forward

Para que la configuración quede grabada y no se pierda al reiniciar la máquina se debe editar el archivo /etc/sysctl.conf y poner el valor de 1 a la variable correspondiente:

net.ipv4.ip_forward=1

Configuración de un Cliente

Instalar OpenVPN en el cliente. En el caso de usar Linux, la instalación es igual a como se instala el servidor.
Copiamos los archivos correspondientes al cliente dentro de la máquina del mismo (Ver la tabla de arriba). En mi caso los copie en /etc/openvpn/claves

Una vez que tenemos las claves, copiamos un archivo de configuración de ejemplo para cliente y lo configuramos para nuestras necesidades:

cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf /etc/openvpn/
vim client.conf

Definimos el protocolo como UDP igual que en el servidor:

proto udp


De manera similar al servidor, editamos las varialbes ca, cr y key:

ca claves/ca.crt
cert claves/clienteX.crt
key claves/clientX.key

El cliente debe saber a que servidor se debe conectar. Para esto debemos utilizar un nombre de dominio o el IP público y el puerto a conectarse. Por defecto OpeVPN corre en el puerto 1194.

remote miservidor.com 1194

Iniciamos OpenVPN en el cliente

/etc/init.d/openvpn start

En caso de tener errores podemos probar con

openvpn <archivo de configuracion>

Para probar la conectividad podemos hacer ping al ip 10.8.0.1 que es el ip de nuestro servidor. Si lo hacemos ya estamos con la VPN arriba. en caso de haber puesto la sentencia push podríamos hacer ping a ips dentro de la red LAN donde se encuentra la VPN. Ojo que las máquinas de la red LAN deberían saber como llegar a la red 10.8.0.0/24, para esto deberíamos ver la configuración del servidor.

Referencias Adicionales

• How to OpenVPN

En esta imagen se puede ver a mi sobrina montada en el caballo

Con esto de ser papá e informático tenía que llegar el momento de compartir la computadora con las hijas. Actualmente la Ana Martina le encanta jugar con Gcompris, pero en especial con Tux Paint. Estos son 2 aplicaciones de software libre educativas excelentes para los más pequeños y sus padres .
Para los que no han utilizado alguna vez Tux Paint saben que una de las partes más interesantes son las sellos. Con los sellos podemos agregar imágenes, las mismas que suelen ser asociadas con un sonido y un texto descriptivo. Por ejemplo si añadimos la vaca, al seleccionarla va a sonar “moo” y luego el audio nos dice la palabra “vaca”. Así el niño asocia la vaca con la imagen, el sonido y su nombre.
Si bien hay muchos sellos con muchos sonidos, me parece interesante poder añadir más. Por ejemplo, me gustaría tener animales andinos como el condor, las llamas, etc… Esto todavía no lo hago, probablemente alguien ya lo ha hecho y sino espero que este artículo ayude a alguien a hacerlo .
Una de las libertades del software libre es poder modificar sus aplicaciones y entender como funcionan. En este artículo vamos a ver lo sencillo que es hacer estos cambios en Tux Paint sin tocar el código fuente.

Añadir Sellos a 1 Usuario

En este caso en particular es necesario crear el directorio ~/.tuxpaint/stamps (/hpme/usuario/.tuxpaint/stamps). Dentro del mismo creamos los sub directorios que necesitemos para organizar nuestros sellos.

En cada sub directorio deberíamos añadir una imagen PNG (con transparencia) o SVG para lo que se puede usar el Gimp u otra aplicación gráfica. Listo luego ya podremos ver los sellos en Tux Paint.

Nota: Además de los sellos se pueden crear las carpetas ~/.tuxpaint/brushes y ~/.tuxpaint/starters para añadir brochas e imagenes de fondo para iniciar los dibujos.

Añadir Sellos para todos los Usuarios

Esta solución es útil si tenemos más de una persona usando la computadora. Por ejemplo podría ser el caso de una escuela donde cada niño tiene su propio usuario, pero queremos que todos tengan acceso a nuestras personalizaciones.

TuxPaint guarda las imagenes, sellos y sonidos dentro del directorio /usr/share/tuxpaint. En este directorio esta el subdirectorio /usr/share/tuxpaint/stamps. Si revisamos este directorio vamos a ver varios subdirectorios. Lo que yo hice fue crear el directorio personal y asignar privilegios de escritura a mi usuario.

mkdir /usr/share/tuxpaint/stamps/personal/


De esta manera tendré un directorio donde podré copiar las imágenes sin preocuparme e los permisos.. En mi caso subí una foto de mi sobrina para que mi hija tenga a su prima dentro del Tux Paint. Para esto con mis pocas habilidades en el Gimp cree el archivo sobrina.png. Uso este formato porque soporta transparencias. El archivo lo guardé en el directorio personal recién creado. Luego cree un archivo de texto llamado sobrina.txt dentro del mismo directorio y dentro del mismo puse el texto “nombre de mi sobrina”. Además utilizando el micrófono puede haber creado el archivo sobrina.ogg y copiarlo ahí mismo. Listo ahora hay una nueva categoría dentro de los sellos donde esta mi sobrina. Ahora a agregar a toda la familia .

Conclusión

No se si esta es la manera en la que se debe hacer. La verdad leí cero documentación, solo revisé el árbol de directorio y vi como estaban estructuradas las otras imágenes. El resto fue experimentar :). Si alguien sabe una mejor forma de hacerlo avise .

Gracias a Ricardo Arguello y a Bill Kendrick mejore este mini how to y encontré este tutorial en Inglés mucho más detallado y con explicaciones para Windows y Mac.

Seguro esto también se puede hacer en Mac y Windows, solo hay que revisar donde estan los archivos.

Se que existe un plugin para Firefox que sirve para guardar los videos, pero a mi me gusta hacerlo de la forma más genérica posible. Una gran ventaja de GNU/Linux es que es fácil entender como funcionan las cosas en el sistema. Cuando descargamos un video desde internet, este es grabado de forma temporal en el directorio /tmp, por lo que bastará con copiar ese video a un directorio dentro de nuestra carpeta personal.

Un Ejemplo Práctico

Como ejemplo voy a utilizar un video de Wikirebels con subtítulos en Español. Un video altamente recomendable, pero dura una hora y pesa cerca de 200M. Una ejemplo perfecto de porque es recomendable guardar videos en nuestro computador.

Pantallazo del video de en Youtube Wikirebels

Una vez que se descarga el video completo y sin cerrar la ventana del navegador web, abrimos nuestro explorador archivos favoritos y vamos a la ruta /tmp y buscamos un archivo con un nombre similar a FLASHXX7fywGT. Básicamnete la palabra FLASH seguida por algún código aleatorio.  En el caso de GNOME con Nautilus el archivo se vería así:

Video Youtube en Nautilus

Este archivo lo copiamos y pegamos dentro de nuestra carpeta personal y le ponemos un nombre fácil de recordar. En mi caso lo copié a  /home/rafael/Videos/Wikirebels.flv. La extensión flv es implemente para recordar que es un video en formato Flash. Ahora ya podré ver el video cuando quiera y sin Internet utilizando mi reproductor de videos favoritos.

1. SSH con Llaves Públicas y Privadas: Autentificar un usuario con contraseñas tiene sus problemas. Si administramos varios servidores debemos recordar la clave de todos y muchas veces para no olvidaras utilizamos claves débiles. Al utilizar llaves públicas y privadas solucionamos estos 2 problemas.
2. Túneles SSH (parte 1): Es muy probable que alguna vez sea necesario ingresar a un servidor dentro de una Intranet con IP privada desde Internet. Si tenemos un servidor con acceso a SSH accesible desde Internet y que puede ver esta IP privada, asunto solucionado con túnles SSH
3. Túneles SSH (parte 2): En este how to se aprende como compartir servicios desde mi máquina con IP privada hacia Internet gracias a los túneles SSH. El ejemplo más interesante es como con un servidor SSH en un ip pública, 2 máquinas con IPs privadas en distintas redes se pueden ver entre sí sin necesidad de VPNs.
4. Aplicaciones Gráficas en Red con SSH: Todos usamos SSH para acceder a línea de comandos en un servidor. No todos saben que también podemos usar SSH para acceder a aplicaciones gráfica en nuestra red.
5. SSH y Proxy Socks navegación segura en Internet: Con una simple opción de SSH podemos navegar en Internet de forma encriptada y sin restricciones. Muy útil cuando navegamos en sitios done los servidores proxy no dejan navegar a ningún lugar o donde queremos tener mayor seguridad al navegar.
6. SSH y HTTPS en el puerto 443: Muchas veces el puerto 22 puede estar bloqueado en una red, haciendo que la mayoría de estos tips no sean útiles. Sin embargo, muy rara vez una red bloqueaa el puerto 443, en este ejemplo se enseña como hacer para compartir el puerto 443 para HTTPS y SSH de manera simultanea.
7. Copia Remota con SCP: La herramienta SCP permite copiar archivos a través de la red utilizando el protocolo SSH. En este tip aprenderemos como hacer esto y además como hacerlo limitando el ancho de banda si queremos copiar archivos muy grandes.
8. Simplifica tu vida gracias a  ~/.ssh/config: Manejamos varios servidores, cada uno de ellos utiliza puertos diferentes. Podemos configurar nuestro cliente SSH para que algo como “ssh -p 2200 usuariox@servidorremoto.com” sea tan simple como “ssh serv“
9. SSH y SFTP con usuarios enjaulados: Muchas veces se tiene la necesidad de dar acceso a nuestro servidor a personas en las que no confiamos. En este tip se aprende como hacer para crear un ambiente limitado para estos usuarios y que tengan solamente las herramientas que necesitan.
10. Sincronizar Directorios con SSH y RSYNC: RSYNC, es una poderosa herramienta de sincronización a través de la red. En este tip se aprende como combinar su poder con SSH y poder sacar respaldos o crear mirrors de forma segura.
11. Proteger SSH con Fail2Ban: Muchas personas creen que cambiar el puerto de SSH significa asegurar su servidor. Cualquier persona que conoce poco de nmap y sabe usar Google seguro podrá descubrir en que puerto se ejecuta SSH. Fail2Ban es una herramienta mucho más poderosa que bloquea los IPs luego de X números de intentos fallido por un tiempo Y. De esta manera se hacen inútiles los ataques de diccionario.

Instalar Fail2Ban

En las distros basadas en Debian, basta con instalar el paquete fail2ban. Supongo que en otras distros la instalación es igual de simple

aptitude install fail2ban


Configurar Fail2Ban

Como cualquier aplicación de Linux, su configuración se encuentra dentro del directorio /etc. En este caso el directorio donde debemos buscar es /etc/fail2ban. El archivo que modicaremos en este mini tutorial es el /etc/fail2ban/jail.conf. Por defecto viene con varios templates para proteger servicios de nuestros servidores, no solo SSH. Algunas variables interesantes para modificar:
Al inicio del archivo encontraremos las variables ignoreip y bantime La primera sirve para que no bloquee mi IP si algo sale mal y la segunda especifica el tiempo a bloquear un IP en segundos. Por defecto son 10 minutos (600 segundos).

ignoreip = 192.168.182.3
bantime = 600


Luego bajamos a la sección de SSH y verificamos que la configuración este correcta:

[ssh]

enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 6


Reiniciamos fail2ban

/etc/init.d/fail2ban restart


Listo ahora estamos protegidos contra los ataques de diccionario a nuestro servidor SSH

Si bien RSYNC no necesita de SSH para sincronizar, utilizar los 2 en conjunto tiene algunas ventajas entre las que destaco algunas:

• La información viaja encriptada
• No necesito correr un servidor RSYNC
• Solo necesito preocuparme de tener abierto el puerto de SSH

Nota: todos los ejemplos son una sola línea

Ejemplo 1: Sincronizar 2 servidores web

rsync -avz --delete  -e ssh /var/www/sitioweb usuario@servidorremoto.com:/var/www/mirror

Las opciones quieren decir:

• -a Sirve para hacer una sincronización recursiva
• -v Sirve para mostrar en pantalla información de lo que esta haciendo el proceso
• -z Sirve para enviar la información comprimida y ahorrrar ancho de banda
• –delete Sirve para borrar del destino todo lo que no esta en el origen. En otras palabras para tener un mirror 100% igual.
• -e ssh: Es la parte del comando que hace que este artículo sea catalogado como un tip ssh . Básicamente sirve para hacer la sincronización utilizando el protocolo ssh

Al igual que SCP el primer directorio es el origen y el segundo es el destino.

Ejemplo 2: Sincronizar con puerto  no Estandard

Algo muy común es que la gente  corra el servidor SSH en un puerto distinto al 22. Inclusive hace unos días publiqué como hacer para que escuche en el puerto 443. Ahora explicamos como sincronizar los 2 directorios donde el puerto del destino no es estandard.

rsync -avz –delete –rsh=’ssh -p 443′ /var/www/sitioweb usuario@servidorremoto.com:/var/www/mirror

Como pueden ver hay un solo cambio en este ejemplo. En lugar de usar -e ssh utilizamos --rsh=’ssh -p 443′. Básicamente estamos diciendo que se utilice el puerto 443 en lugar del puerto 22.

Recomendaciones

Si desean hacer tareas automatizadas como usar su servidor como un mirror de un tercer (ej. Elastix, Wikileaks ) es muy recomendable crear un ambiente enjaulado para ese usuario SSH y seguro necesitará trabajar con autenticación con llaves públicas y privadas.

Supongamos que debemos ingresar a un servidor remoto, con un nombre de usuario que no es el mismo de mi máquina local y además corremos el servidor en un puerto distinto al 22. Cada vez que accedamos a este servidor deberíamos escribir algo así:

ssh -p 443 usuarioremoto@servidorremoto.com

No es el fin del mundo, pero si tenemos muchos servers y una mala memoria se nos complica un poco la vida. Que tal si en lugar de escribir toda esa línea podemos escribir simplemente:

ssh sremoto

Gracias al archivo de configuración ~/.ssh/config  podemos hacer sin problema. Empezamos creando el archivo:

vim ~/.ssh/config

En mi caso estoy utilizando vim como editor, pero podría ser un editor gráfico como gedit. El caracter “~” quiere decir home del usuario con el que estoy trabajando en este momento. En otras palabras si estoy trabajando con el usuario juan entonces lo más probable es que “~” se refiera a /home/juan/.
En el archivo de configuración añadimos las siguientes líneas.


Host sremoto
HostName servidorremoto.com
User usuarioremoto
Port 443

La primera línea es algo así como un alias para este servidor. La segunda línea nos dice el nombre del host para el servidor. En la tercera ponemos el nombre de usuario y en la última el puerto. No existe un orden específico sobre las variables que podemos utilizar. Podemos tener tantos Host como sea necesario.

Listo ahora ingresamos al servidor remoto.

ssh sremoto

Inclusive se puede utilizar el alias “sremoto ” para copiar archivos con scp

scp archivo sremoto:

En este ejemplo estamos poniendo solo un servidor remoto, pero podríamos tener los que queramos. Las variables con configuramos aquí no son las únicas. Para más información sobre lo que podemos hacer con este archivo de configuración basta ver su página de manual:

man ssh_config

El comando SCP básicamente sirve para copiar archivos de un computador a otro, de manera encriptada, a través del protocolo SSH. Funciona de manera muy similar a como funciona el comando cp, donde tenemos un origen y un destino. La diferencia es que el origen o el destino van a ser computadores diferentes.

Ejemplo 1: Origen local, destino remoto

scp archivo.tar.gz usuario@servidorremoto.com:

En este caso el origen es un archivo local de la computadora donde estoy trabajando y el destino es el servidor remoto. El “:” al final del nombre del servidor quiere decir que vamos a copiar el archivo en el directorio home del usuario que realiza la copia. Después del : podríamos poner una ruta relativa al home del usuario o una ruta absoluta. Por ejemplo, si quisiera copiar en la ruta /home/usuario/directoriox

Rutas relativas:

scp arhivo.tar.gz usuario@servidorremoto.com:directoriox

Rutas absolutas:

scp arhivo.tar.gz usuario@servidorremoto.com:/home/usuario/directoriox

En este caso es más comodo usar la ruta relativa, pero no siempre será este el caso.

Ejemplo 2: Origen remoto, destino local

scp usuario@servidorremoto.com:arhivo.zip .

En este caso copiamos el archivo remoto archivo.zip (ubicado en el home del usuario) A la carpeta actual donde me encuentro en mi máquina local.
Tanto para el ejemplo 1, como para el 2 si quisieramos copiar un directorio, lo haríamos con la opción “-r”. En general las opciones de scp son las mismas que las del comando cp

Ejemplo 3: Puerto alternativo

Muchas personas no corren ssh en el puerto 22, en un post anterior expliqué como hacer para correr ssh en el puerto 443 en conjunto con https. Pues bien, ahora hagamos un ejemplo de copia de scp utilizando el puerto 443.

scp -P 443 -r /ruta/directorio usuario@servidorremoto.com:/ruta/deestino


En este caso copiamos todo un directorio y lo hacemos por el puerto no estadard 443.

Ejemplo 4: Limitar Ancho de Banda

Esta opción no la sabe mucha gente y en ocasiones puede ser muy útil. Que tal si queremos copiar un archivo muy grande desde o hacia Internet. Es muy probable que eso genere mucho tráfico que haga insoportable el uso del Internet para el resto de personas en la red, incluido quien esta subiendo el archivo. Por suerte, parece ser que los desarrolladores de Openssh han pensado en todo y se puede limitar el ancho de banda de la transeferencia. Para esto usamos la opción “-l” seguido por el ancho de banda a limitar en kbits/segundo. (8 kbit/segundo = 1 kbyte/segundo)

scp -l 80 archivgrande.tar.gz usuario@servidorremoto.com:

De esta manera limitaremos la copia a 80 kbits/seg (10 kbytes/segundo).

Una solución simple podría ser ejecutar SSH en el puerto 443, pero lo más probable es que necesitemos correr alguna aplicación HTTPS en ese puerto. La solución a este problema se llama SSLH. Sus autores lo llaman un multiplexor SSH/HTTPS.

Básicamente lo que hace este servicio es redirigir las peticiones de SSH a localhost:22 y las de HTTPS a localhost:443. Para que todo funcione bien debemos deberíamos configurar nuestro servidor web para que escuche en: 127.0.0.1:433 en lugar de *:443.

Manos a la Obra

Nota: Si se va hacer esto en un servidor remoto podría perder la conexión al mismo. Trabaje con atención y mantenga una conexión de ssh abierta por si las moscas.

Lo primero que tenemos que hacer es instalar SSLH. En las distribuciones basadas en Debian (ej. Ubuntu) bastará instalarlo desde repositorios. En otras distros supongo que el procedimiento debe ser muy similar.

aptitude install sslh

Una vez instalado, lo primero que debemos hacer es configurar nuestro servidor web para que el puerto 443 sea solo escuchado en localhost y no en el ip público.  En mi caso personal uso Cherokee y para esto en el Cherokee admin debemos ir a: General-> puertos. Una vez ahí añadimos la dirección ip junto a la directiva de 443.  En el caso de Apache o cualquier otro servidor web se aplica el mismo concepto.

El servicio ssh si queremos lo podemos configurar para que escuche solo en 127.0.0.1:22 ya que ahora podríamos acceder desde el 443. No recomiendo hacer esto hasta que todo este funcionando.

Una vez que tenemos configurado el servidor web, tenemos que configurar el sslh. Para esto editamos el archivo /etc/default/sslh. Básicamente se debe añadir la lista RUN=yes y configurar el ip pública de nuestro servidor. Deberíamos tener algo similar a esto:

DAEMON_OPTS="-u sslh -p 200.200.200.200:443 -s 127.0.0.1:22 -l 127.0.0.1:443 -P /var/run/sslh.pid"
RUN=yes

Nota: Son solo 2 líneas la primera define la variable DAEMON_OPTS y la segunda la variable RUN.

Ahora solo queda arrancar el servicio

/etc/init.d/sslh start

Listo ahora podemos ingresar a nuestro servidor utilizando el puerto 443

ssh -p 443 usuario@servidorremoto.com

Ahora si quisieramos navegar utilizando un proxy socks básicamente deberíamos hacer algo así:

ssh -p 443 -ND 8080 usuario@servidorremoto.com

Ahora ya estamos preparados para redes hostiles donde les gusta bloquear lo que más pueden.

Les recomiendo leer el siguiente artículo de Linux Magazine donde Charlie nos cuenta sobre sslh. Si no hubiera sido por Charlie, no supiera como hacer esto y no hubiera escrito este artículo. Sin lugar a dudas mi columna favorita de Linux Magazine.

Requerimientos

Para que esto funcione, así como la mayoría de los tips ssh que he estado publicando, es importante que ustedes tengan un servidor a donde hacer ssh. Si su proveedor de internet en la casa les da un ip público, se podría usar ese ip para ssh. Otra opción es contratar un servidor virtual dedicado en la nube que puede costar unos $20 al mes. Un poco caro para hacer ssh, pero el costo puede llegar a cero si vendemos hosting a nuestros a migos para que cuelguen sus páginas web. Personalmente uso el servicio de Linode desde hace algún tiempo y me siento feliz.

Se asume que la red local no esta bloqueando el puerto 22 de SSH. Pronto publicaré un how to para correr ssh y un servidor web en el puerto 443 (normalmente https) que podría solucionar este problema.

Manos a la Obra

Dicho esto manos a la obra. Lo primero que vamos a hacer es ssh a nuestro servidor y decirle que use un puerto arbitrario como servidor Socks.

ssh -ND 8080 usuario@servidorremoto.com


La opción -N sirve para que la sesión de ssh no sea interactiva, en otras palabras no tendremos un shell ssh en el servidor. Muy útil si vamos a prestar nuestra computadora a un tercero. La opción -D es la que sirve para crear el servidor Socks. El puerto 8080 es arbitrario y podría ser cualquier puerto que nosotros queramos.
Eso es todo, ahora solo queda configurar nuestro navegador web para que use el servidor Sock recién creado. En el caso de Firefox/Iceweasel vamos a: Editar -> Preferencias -> Avanzadas -> Red. En el recuadro de Conexión ponemeos configuración manual de proxy y configuramos Socks como localhost y puerto 8080.

Listo ahora sí podemos navegar por internet sin las limitaciones del proxy local y de forma privada dentro de la red local.