Como configurar Smart card authentication en linux


 www.onlinetis.com

La autenticación con tarjeta inteligente es un método de seguridad que utiliza una tarjeta física (smart card) que contiene un microprocesador para verificar la identidad de un usuario. Funciona como una forma de autenticación de dos factores, ya que combina algo que el usuario tiene (la tarjeta) con algo que el usuario sabe (un número de identificación personal o PIN). 💳

La tarjeta inteligente almacena certificados digitales y claves criptográficas que se utilizan para las operaciones de autenticación. Estas claves privadas nunca salen de la tarjeta, lo que las protege de ataques de software y malware.

Cómo funciona la autenticación con tarjeta inteligente

El proceso de autenticación con tarjeta inteligente típicamente sigue estos pasos:

  1. El usuario inserta la tarjeta inteligente en un lector de tarjetas conectado al dispositivo (computadora, terminal, etc.).

  2. El sistema solicita al usuario que ingrese su PIN.

  3. El lector de tarjetas envía el PIN a la tarjeta inteligente para su verificación. La tarjeta verifica si el PIN ingresado coincide con el PIN almacenado internamente.

  4. Si el PIN es correcto, la tarjeta inteligente utiliza sus claves criptográficas para generar una firma digital que se envía al sistema para completar el proceso de autenticación.

  5. El sistema verifica la firma digital y, si es válida, concede acceso al usuario.

Este método es más seguro que la autenticación con contraseña tradicional porque incluso si un atacante consigue el PIN del usuario, no podrá acceder a los recursos sin la tarjeta física. De igual forma, si un atacante roba la tarjeta, no podrá usarla sin el PIN.

Tipos de tarjetas inteligentes

Existen varios tipos de tarjetas inteligentes, pero las más comunes en el contexto de la autenticación son:

  • Tarjetas PKI (Infraestructura de clave pública): Estas tarjetas almacenan un par de claves criptográficas, una pública y una privada. La clave privada se usa para firmar digitalmente y autenticar la identidad del usuario, mientras que la clave pública se utiliza para verificar la firma.

  • Tarjetas CAC (Common Access Card): Son un tipo específico de tarjeta inteligente PKI utilizada por el Departamento de Defensa de los EE. UU. y otras agencias gubernamentales. Se usan para controlar el acceso físico a edificios y el acceso lógico a sistemas y redes informáticas.

    Configurar la autenticación con tarjeta inteligente en Linux implica instalar y configurar varias herramientas para que el sistema operativo se comunique con el lector y la tarjeta. El proceso varía ligeramente dependiendo de la distribución de Linux que utilices. Sin embargo, los pasos generales son los siguientes:

    1. Instalar el software necesario1

    Primero, debes instalar los paquetes que gestionan la comunicación entre el sistema y la tarjeta. El principal es el servicio PC/SC Lite, que es una implementación del estándar PC/SC (Personal Computer/Smart Card).2

    • Para distribuciones basadas en Debian/Ubuntu:

      Bash
      sudo apt-get update
sudo apt-get install pcscd pcsc-tools libpcsclite1 libccid opensc libpam-pkcs11

    • Para distribuciones basadas en Red Hat/CentOS/Fedora:

      Bash
      sudo dnf install pcsc-lite pcsc-lite-ccid pcsc-lite-libs opensc libpam-pkcs11

    2. Verificar el lector de tarjetas

    Una vez instalados los paquetes, debes verificar que el demonio pcscd se esté ejecutando y que el sistema detecte tu lector de tarjetas.

    • Inicia o habilita el servicio pcscd:

      Bash
      sudo systemctl enable pcscd.service
sudo systemctl start pcscd.service

    • Usa la herramienta pcsc_scan para escanear el lector y la tarjeta. Inserta tu tarjeta inteligente en el lector y ejecuta:

      Bash
      pcsc_scan

      Deberías ver una salida que indica que el lector fue detectado y que la tarjeta está presente. Si no es así, podría haber un problema con el lector o sus drivers.

    3. Configurar PAM para autenticación3

    La autenticación con tarjeta inteligente en Linux se gestiona a través de los Módulos de Autenticación Conectables (PAM).4 Debes configurar PAM para usar el módulo libpam-pkcs11.5

    • Edita el archivo de configuración de PAM para el servicio que deseas proteger (por ejemplo, para el inicio de sesión del sistema, edita /etc/pam.d/common-auth).

    • Agrega la siguiente línea al inicio del archivo:

      auth required pam_pkcs11.so

      Esta línea le dice a PAM que se requiere la autenticación con tarjeta inteligente. Es crucial que la coloques antes de otras líneas que permitan la autenticación con contraseña, si quieres priorizar la tarjeta inteligente.

    4. Mapear certificados a usuarios

    Para que la autenticación funcione, el sistema debe saber qué certificado en la tarjeta corresponde a qué usuario de Linux. Esto se hace creando reglas de mapeo. El archivo de configuración principal para esto es /etc/pam_pkcs11/pam_pkcs11.conf.

    • El mapeo puede basarse en varios atributos del certificado, como el Nombre Común (CN) o el hash del certificado.

    • Por ejemplo, si el Nombre Común de tu certificado es "Juan Perez", puedes configurar una regla para que se asocie con el usuario jperez:

      use_mappers = pwent,cn,subject;

      El mapeo pwent asocia el CN del certificado con el campo gecos del archivo /etc/passwd.

    Este proceso es complejo y requiere un conocimiento detallado de la infraestructura de clave pública (PKI) y los certificados que residen en la tarjeta. Es fundamental que la tarjeta inteligente contenga un certificado y una clave privada válidos para la autenticación.

Location: España

Entradas populares de este blog

Ciberseguridad y hacking con Whatweb

Imagen
www.onlinetis.com WhatWeb es una herramienta de código abierto para realizar fingerprinting o huella digital de sitios web . Su principal función es identificar las tecnologías, aplicaciones, servidores y otras configuraciones que se utilizan en una página web. Es muy popular en el ámbito de la ciberseguridad, especialmente en la fase de reconocimiento de una auditoría de seguridad o un test de penetración. ¿Cómo funciona WhatWeb? WhatWeb opera analizando una página web en busca de "firmas" o patrones que revelan la tecnología subyacente. En lugar de ser un escáner de vulnerabilidades completo, se centra en la recopilación de información. Para ello, examina diversos elementos del sitio web, incluyendo: Encabezados HTTP : Analiza las respuestas del servidor para identificar el tipo de servidor web (como Apache o Nginx), el lenguaje de programación (PHP, ASP.NET), o la versión. Código HTML y JavaScript : Busca cadenas de texto, nombres de archivos, comentarios o scripts especí...
LEER MAS »

Como robar contraseñas haciendo un phishing web

Imagen
  www.onlinetis.com Evilginx es una herramienta de phishing de tipo man-in-the-middle (MitM) diseñada para interceptar y robar credenciales de usuario, incluyendo las de sitios web que utilizan autenticación de doble factor (2FA). Su principal objetivo es engañar a las víctimas para que introduzcan sus credenciales en un sitio web falso que parece legítimo. ¿Cómo funciona Evilginx? Evilginx actúa como un proxy inverso. Esto significa que se coloca entre la víctima y el sitio web real que la víctima intenta visitar. Aquí te explicamos los pasos clave de su funcionamiento: Atracción de la víctima : El atacante envía un enlace a la víctima que la dirige al sitio de phishing, el cual está alojado en el servidor donde se ejecuta Evilginx. El dominio de este sitio suele ser muy similar al del sitio web real para no levantar sospechas. Proxy inverso : Cuando la víctima accede al sitio de phishing, Evilginx no solo le presenta una copia idéntica del sitio web real, sino que también red...
LEER MAS »

Arsenal software hacking NFC

Imagen
  www.onlinetis.com Arsenal software hacking NFC Kali Linux incluye varias herramientas especializadas para la auditoría y "hacking" de redes y dispositivos NFC. Estas herramientas están diseñadas para interactuar con las etiquetas y tarjetas NFC para realizar análisis de seguridad, como leer, escribir o clonar datos. Herramientas principales libnfc : Es la biblioteca fundamental que proporciona las funciones básicas para interactuar con dispositivos NFC. Es la base para muchas otras herramientas. Permite listar, leer y escribir en tags NFC. Los comandos más comunes son: nfc-list : Lista los dispositivos y tarjetas NFC conectados. nfc-mfclassic : Utilidad para leer y escribir en tarjetas MIFARE Classic , que son comunes en sistemas de transporte y control de acceso. nfc-mfultralight : Similar al anterior, pero para tarjetas MIFARE Ultralight . mfoc (Mifare Offline Cracker) : Esta es una herramienta crucial para el "hacking" de tarjetas MIFARE Classic. Explota una vu...
LEER MAS »