SSH3: SSHv2 que usa HTTP/3 y QUIC

 (github.com/francoismichel)
4 puntos por GN⁺ 2023-12-17 | 1 comentarios | Compartir por WhatsApp

SSH3: un shell seguro más rápido y con más capacidades usando HTTP/3

  • Resumen de SSH3: SSH3 replantea por completo el protocolo SSH y mapea su semántica sobre mecanismos de HTTP. SSH3 usa QUIC+TLS1.3 para establecer canales seguros y aprovecha mecanismos de autenticación HTTP para autenticar usuarios.

SSH3 es más rápido

  • Velocidad de establecimiento de sesión: SSH3 establece sesiones mucho más rápido que SSHv2. Mientras que SSHv2 necesita de 5 a 7 viajes de ida y vuelta de red, SSH3 solo requiere 3.

SSH3 es seguro

  • Mecanismos de seguridad: SSH3 se basa en mecanismos sólidos y probados durante mucho tiempo, como TLS 1.3, QUIC y HTTP. Estos protocolos ya se usan ampliamente en aplicaciones críticas para la seguridad en Internet.

Los servidores públicos de SSH3 pueden ocultarse

  • Ocultamiento del servidor: Los servidores SSH3 pueden quedar ocultos detrás de un enlace secreto y solo responden a intentos de autenticación hechos mediante solicitudes HTTP a un enlace específico. Esto permite que los servidores SSH3 sean invisibles para los usuarios de Internet.

SSH3 ya viene con muchas funciones

  • Nuevas funciones: Permite reenvío de puertos UDP, uso de certificados X.509, ocultamiento del servidor y autenticación de usuario sin claves mediante OpenID Connect.
  • Implementación de funciones de OpenSSH: Implementa funciones populares de OpenSSH como el parseo de ~/.ssh/authorized_keys, el parseo de ~/.ssh/config, autenticación del servidor basada en certificados, el mecanismo known_hosts, uso automático de ssh-agent, reenvío del agente SSH y reenvío de puertos TCP.

Instalar SSH3

  • Compilar desde el código fuente: Requiere la versión más reciente de Golang y pasa por los pasos de descargar el código fuente y compilar los binarios.
  • Despliegue del servidor SSH3: Hay que desplegar un servidor SSH3 en el host, y se necesitan un certificado X.509 y una clave privada. Se proporciona el uso del ejecutable ssh3-server.
  • Uso del cliente SSH3: Una vez que el servidor SSH3 está en ejecución, se puede conectar usando el cliente SSH3. Se proporciona el uso del ejecutable ssh3.

Opinión de GN⁺

  • Importancia: SSH3 ofrece establecimiento de sesión más rápido y mayor seguridad frente al protocolo SSH tradicional. En particular, el nuevo método de autenticación basado en HTTP/3 y la función de ocultamiento del servidor aportan grandes ventajas de seguridad.
  • Interés: Para los usuarios actuales de SSH, resulta atractivo poder seguir usando las funciones populares de OpenSSH. Además, nuevas funciones como el reenvío de puertos UDP abren nuevas posibilidades para administradores de red y usuarios.
  • Diversión: El carácter experimental de SSH3 y sus nuevas funciones ofrecen a los profesionales de TI la posibilidad de explorar y probar nuevas herramientas. La autenticación sin claves mediante OpenID Connect tiene el potencial de transformar de forma innovadora la experiencia del usuario.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-12-17
Comentarios en Hacker News
  • Hay opiniones diversas sobre SSH over QUIC:
    • Un usuario considera que SSH over QUIC tiene mucho sentido y expresa una postura positiva sobre usar un canal QUIC sobre UDP en lugar de TCP. Sin embargo, se pregunta cómo encaja HTTP/3 aquí y si no estará simplemente agregando sobrecarga.
    • Otro usuario señala que los modelos de seguridad de HTTP y SSH son distintos, y menciona que QUIC puede ser adecuado para HTTP, pero que no está seguro de que lo sea para SSH. También le preocupa que tecnologías como certificados x509 u OAuth quizá no sean apropiadas para SSH.
    • Otro usuario cree que agregar HTTP/3 no aporta beneficios más allá de "ocultar" el servidor SSH detrás de una ruta URL, y sostiene que las host keys de SSH existentes, SSHFP y TOFU son más seguros.
    • Un usuario indica que este proyecto es un proyecto personal sin relación con OpenSSH ni con el RFC de SSH3 de la IETF.
    • También hay usuarios que mencionan deseos para una versión 3 del protocolo SSH, y argumentan que se necesita SNI cifrado o un bloque de metadatos estandarizado.
    • Algunos comparten su experiencia usando SSH a través de WebSocket y expresan interés en admitir distintos métodos de transporte.
    • Hay usuarios que señalan la falta de benchmarks que demuestren las posibles ventajas de QUIC, y mencionan que el tamaño fijo de ventana de OpenSSH limita el ancho de banda.
    • Un usuario explica SSHv2 over HTTP/3 y comenta que existen varios servidores y clientes SSH, y que este proyecto no introdujo nuevo cifrado. También dice que espera que el proyecto tenga éxito y critica la resistencia al cambio en OpenSSH.
    • También hay usuarios que comparten información sobre tunneling de UDP o TCP a través del protocolo WebSocket.
    • Un usuario menciona que una conexión SSH a través de HTTP/3 podría parecer tráfico estándar de un sitio web, y habla de la posibilidad de evadir el firewall de China.

Estas opiniones diversas ofrecen una discusión interesante sobre el concepto de SSH over QUIC, abordando sus ventajas y desventajas técnicas, así como consideraciones de seguridad.