Servicios en Red UT3.

Servicios de acceso y control remoto

-1-

Unidad 3 Servicio de acceso y control remoto

1. Qu es el servicio de acceso y control remoto?
Los servicios de acceso y control remotos permiten, mediante la utilizacin de determinadas aplicaciones de software, establecer conexiones con equipos a distancia y administrarlos de manera centralizada sin necesidad de acceder a ellos. En el caso de que se disponga de equipos que no tienen teclado o pantalla, o bien de servidores apilados en un rack o que no estn fsicamente presentes, es muy importante contar con mecanismos que permitan administrarlos remotamente de forma cmoda, rpida y segura. Lgicamente esta funcin, que parece til e inofensiva, puede tener consecuencias impredecibles si no se lleva a cabo con unas condiciones de seguridad bien definidas Cualquier agujero de seguridad que presenten dichas herramientas puede permitir el acceso de terceros no deseados a informaciones confidenciales. Remotamente se puede acceder prcticamente a cualquier recurso del ordenador. Se puede acceder a archivos, dispositivos, configuraciones, etc. Se puede acceder a un servidor para configurarlo, controlar el estado de sus servicios, transferir archivos, instalar aplicaciones, etc. Las herramientas de administracin remota ms utilizadas hasta la actualidad son En modo texto telnet y Secure Shell (SSH) En modo grfico VNC en entornos Unix GNU/Linux, NX y los servicios de Terminal Server en Windows

2. Telnet
Telnet (TELecommunication NETwork) es el nombre de un protocolo de red que sirve para acceder mediante una red a otra mquina para manejarla remotamente como si estuviramos sentados delante de ella. Tambin es el nombre del programa informtico que implementa el cliente. Para que la conexin funcione, como en todos los servicios de Internet, la mquina a la que se acceda debe tener un programa especial que reciba y gestione las conexiones. El puerto que se utiliza generalmente es el 23. Cuando el telnet fue desarrollado inicialmente en 1969, la mayora de los usuarios de computadoras en red estaban en los servicios informticos de instituciones acadmicas, o en grandes instalaciones de investigacin privadas y del gobierno. En este ambiente, la seguridad no era una preocupacin y solo se convirti en una preocupacin despus de la explosin del ancho de banda de los aos 90. Con la subida exponencial del nmero de gente con el acceso al Internet, y por extensin, el nmero de gente que procura crackear los servidores de otra gente, telnet podra no ser recomendado para ser utilizado en redes con conectividad a Internet.

Depto. Informtica IES Monte Naranco

CFGM Sistemas Microinformticos y en Red

Servicios en Red UT3.Servicios de acceso y control remoto

-2-

Funcionamiento Telnet slo sirve para acceder en modo terminal, es decir, sin grficos, pero fue una herramienta muy til para arreglar fallos a distancia, sin necesidad de estar fsicamente en el mismo sitio que la mquina que los tena. Tambin se usaba para consultar datos a distancia, como datos personales en mquinas accesibles por red, informacin bibliogrfica, etc. Aparte de estos usos, en general telnet se ha utilizado (y an hoy se puede utilizar en su variante SSH) para abrir una sesin con una mquina UNIX, de modo que mltiples usuarios con cuenta en la mquina, se conectan, abren sesin y pueden trabajar utilizando esa mquina. Es una forma muy usual de trabajar con sistemas UNIX y LINUX Problemas de seguridad y SSH Su mayor problema es de seguridad, ya que todos los nombres de usuario y contraseas necesarias para entrar en las mquinas viajan por la red como texto plano (cadenas de texto sin cifrar). Esto facilita que cualquiera que espe el trfico de la red pueda obtener los nombres de usuario y contraseas, y as acceder l tambin a todas esas mquinas. Por esta razn dej de usarse, casi totalmente, hace unos aos, cuando apareci y se populariz el SSH, que puede describirse como una versin cifrada de telnet. Manejo bsico de telnet Para iniciar una sesin con un intrprete de comandos de otro ordenador, puede emplear el comando telnet seguido del nombre o la direccin IP de la mquina en la que desea trabajar, por ejemplo si desea conectarse a la mquina purpura.micolegio.edu.com deber teclear
telnet purpura.micolegio.edu.com

y para conectarse con la direccin IP 10.20.31.4 deber utilizar

telnet 10.20.31.4.

Una vez conectado, podr ingresar el nombre de usuario y contrasea remoto para iniciar una sesin en modo texto a modo de consola virtual. La informacin que transmita (incluyendo su clave) no ser protegida o cifrada y podra ser vista en otros computadores por los que se transite la informacin (la captura de estos datos se realiza con un packet sniffer).

Activacin del cliente Telnet en Windows7

3. El servicio SSH
Esta herramienta permite establecer conexiones seguras entre mquinas remotas. Su funcionamiento se describe en el RFC 4251. SSH son las siglas de Secure SHell. Lo que te ofrece es una consola en un ordenador remoto con los privilegios que tenga la cuenta con la que conectes. Es decir, si en tu PC tienes varias cuentas, puedes conectar desde otro ordenador al tuyo con cualquiera de esas cuentas y sus respectivos privilegios, como pudiera ser la cuenta root, la de tu administrador sudo o la de un usuario normal sin poder de administracin. Y todo esto con encriptacin de datos.

Depto. Informtica IES Monte Naranco

CFGM Sistemas Microinformticos y en Red

Servicios en Red UT3.Servicios de acceso y control remoto

-3-

Historia La herramienta SSH fue desarrollada por el programador finlands Tatu Ylnen (1995), quien la public en principio bajo licencia libre. El programa tuvo xito e Ylnen decidi patentar la marca SSH y crear la empresa SSH Communications Security (www.ssh.com). En consecuencia, las siguientes versiones dejaron de ser libres y se distribuyeron de manera gratuita con la condicin de que no se empleasen para usos comerciales. Por otra parte, los desarrolladores de OpenBSD se dieron cuenta de que a su sistema operativo, centrado en la criptografa y seguridad, le faltaba algo similar a SSH. De hecho, los usuarios de OpenBSD, despus de instalar el sistema, agregaban dicha herramienta. En consecuencia, se cre el proyecto OpenSSH, cuyo principal objetivo fue desarrollar una implementacin libre de SSH.

OpenBSD (www.openbsd.org), segn Wikipedia, es un sistema operativo libre tipo Unix, multiplataforma, basado en BSD 4.4, descendiente de NetBSD (www.netbsd.org) y especializado en seguridad y criptografa. Para la programacin de Open SSH se utiliz solo cdigo libre y portable (es decir, ejecutable en cualquier entorno). ste hecho lleg a condicionar incluso el lugar de residencia de los desarrolladores, ya que, por problemas de patentes y restricciones gubernamentales, deban residir fuera de Estados Unidos. El desarrollador inicial de SSH, Ylnen, vio cmo su proyecto comercial desapareca. Tras varias demandas judiciales y muchas discusiones, OpenSSH pudo mantener su nombre y proseguir con el trabajo que estaba desarrollando. Las principales caractersticas del servicio SSH son las siguientes Utiliza el puerto 22 (TCP y UDP), el protocolo SSH y sigue el modelo cliente-servidor Permite la autenticacin de los usuarios mediante contrasea o sistema de claves Permite su integracin con otros sistemas de autenticacin como Kerberos, PGP o PAM Est implementado para la mayora de sistemas operativos y plataformas

Ventajas de utilizar SSH Despus de la primera conexin, el cliente puede saber que se conectar al mismo servidor en futuras sesiones (Por cliente, se entiende la mquina, el equipo o el ordenador desde donde se lanza la orden SSH correspondiente y por servidor el equipo al que nos queremos conectar) El cliente transmite al servidor la informacin necesaria para su autenticacin (usuario y contrasea) en formato cifrado Todos los datos que se envan y se reciben durante la conexin se transfieren cifrados El cliente puede ejecutar aplicaciones grficas desde el Shell (intrprete de rdenes) de forma segura

Con la utilizacin de SSH se evita La interceptacin de la comunicacin entre dos sistemas por parte de una mquina tercera que copia la informacin que circula entre ellas y puede introducir modificaciones y reenviarla a la mquina de destino La suplantacin de un host o enmascaramiento, es decir, que una mquina finja que es la mquina de destino de un mensaje, en cuyo caso el cliente no se da cuenta de que est siendo engaado y contina la transmisin

Ambos problemas se evitan con el cifrado de paquetes mediante claves que solo son

Depto. Informtica IES Monte Naranco

CFGM Sistemas Microinformticos y en Red

Servicios en Red UT3.Servicios de acceso y control remoto

-4-

conocidas por el sistema local y el remoto. Entendemos por conexin SSH un servicio cliente-servidor de acceso remoto seguro, para ello la mquina a la que nos conectamos tiene que tener instalada la parte servidor del servicio y desde nos queremos conectar tendremos que tener instalado la parte cliente. En este servicio, ms que en ninguno, el papel de servidor no tiene por qu estar asociado a una mquina especial dentro de la red, ya que en cualquier momento puede haber varios equipos que pueden ser susceptibles de acceder remotamente a ellos y por tanto necesitar este tipo de software servidor. SSH1 y SSH2. Existen dos versiones diferentes de SSH, la versin 2 es ms segura, ya que dispone de mecanismos que impiden la captura de datos que circulan por la red y la realizacin de ataques man in the middle entre otras cosas

Instalacin del servicio SSH

El servidor SSH permite el establecimiento de conexiones remotas que permiten la transferencia segura de cualquier tipo de datos: archivos, contraseas, rdenes de administracin, etc, etc. Nosotros vamos a utilizar para este propsito la herramienta OpenSSH, que es la implementacin libre ms utilizada en el servicio SSH. Para ello instalaremos el paquete openssh-server desde la terminal o con cualquier programa de gestin de software como synaptic.

Acceso al servidor por SSH desde el cliente

Una vez instalado podemos probar a ver si funciona desde otro equipo, por ejemplo el cliente Linux de Ubuntu. El cliente SSH es la herramienta de software que permite al usuario desde una mquina remota, solicitar el establecimiento de una conexin segura con el servidor SSH. Esta conexin se puede hacer mediante herramientas grficas o desde la consola. Acceso al servidor SSH desde la consola por contrasea Para ellos utilizamos el comando bsico
ssh nombre_usuario@equipo

En nuestro caso podemos conectarnos como figura en el siguiente ejemplo

Depto. Informtica IES Monte Naranco

CFGM Sistemas Microinformticos y en Red

Servicios en Red UT3.Servicios de acceso y control remoto

-5-

La primera vez que nos conectamos a un servidor por SSH, lgicamente no lo tendremos en la lista de known hosts, o servidores conocidos. Cada equipo genera una huella digital, o fingerprint, nica, que aadimos a la lista de confianza si nosotros deseamos. Por ese motivo esta primera vez nos avisa y nos pregunta si lo aceptamos como host conocido. A partir de este momento si intentamos conectarnos a este equipo y el fingerprint no coincidiera nos avisara de un intento de suplantacin de identidad. A partir de ese momento tenemos sesin en el otro equipo con los mismos permisos que el usuario con el que nos conectamos. Sobra decir los riesgos que conlleva poder entrar remotamente como root. Para cerrar sesin ejecutamos el comando exit y volvemos a la sesin en la que estbamos en el equipo local.

Tambien podemos conectarnos por el nombre de dominio que deseemos, para lo cual tenemos que tener nuestro servidor DNS correctamente configurado. En el siguiente ejemplo nos conectamos con otro usuario vlido del servidor pero a travs del nombre de dominio en vez de la IP. Nos vuelve a detectar servidor nuevo debido a que antes conectamos por la IP y en la lista de known hosts guarda literalmente por el de acceso elegido. Si os fijis el fingerprint es el mismo porque el equipo al que accedemos es el mismo. Las conexiones remotas siguientes ya no necesitan de estas comprobaciones pues ya lo tenemos dado de alta.

Arranque y parada manual del servidor ssh El servidor ssh, al igual que todos los servicios en Debian, dispone de un script de arranque y parada en la carpeta /etc/init.d.

// Iniciar o Reiniciar el servidor ssh root@cnice-desktop:# /etc/init.d/ssh restart // Parar el servidor ssh root@cnice-desktop:# /etc/init.d/ssh stop

Depto. Informtica IES Monte Naranco

CFGM Sistemas Microinformticos y en Red

Servicios en Red UT3.Servicios de acceso y control remoto

-6-

Transferencia segura de archivos Existen dos formas de transferir archivos seguros entre mquinas remotas utilizando SSH.
1. La orden SCP.

Permite hacer transferencias simples desde la lnea de comandos. Funciona como el comando de copia de Linux cp, que se utiliza para copiar en local, es el sucesor del antiguo comando rcp remote copy, pero de forma segura, encriptada. Sintaxis: scp usuario@maquina:archivo_origen usuario@maquina:archivo_destino Si omitimos alguna cosa de la anterior sintaxis entiende directorio actual, o usuario actual o mquina actual. Ejemplos:
smra@smra-VirtualBox:~/Escritorio$ scp archi1.txt naranco@192.168.101.254:~ smra@smra-VirtualBox:~/Escritorio$ scp naranco@servidor01.smr01.com:~/* mio.txt smra@smra-VirtualBox:~$ scp Escritorio/mio.txt naranco@servidor01.smr01.com:/home/naranco/Musica smra@smra-VirtualBox:~/Escritorio$ scp mio.txt naranco@servidor01.smr01.com:/home/naranco/Msica/ smra@smra-VirtualBox:~/Documentos$ scp ../*.txt naranco@192.168.101.254:~/Msica/ mio1.txt

smra@smra-VirtualBox:~/Ejemplos$ scp naranco@servidor01.smr01.com:~/archi1.txt

2. La orden SFTP. Emula una conexin FTP, la veremos ms en profundidad en el tema FTP ms adelante en el curso. Inicio de sesin SSH con autenticacin por clave pblica. El mtodo de acceso anterior es el de acceso por contrasea. Tiene el defecto de que es necesario validarnos cada vez que accedemos. Existe otro mtodo que es de clave pblica/privada generadas por el usuario. Tambin se conoce por el mtodo de clave asimtica. Para realizar este proceso se necesita 1. Una clave pblica que se copiar a todos los servidores a los que el usuario quiere conectarse. 2. Una clave privada que solo posee el usuario y que puede ser cifrada para mayor seguridad con una palabra de paso.

cmo se realiza el proceso de autenticacin? Se realiza un proceso transparente para el usuario(pasa en un segundo plano) que consiste en lo siguiente: 1. Cuando se establece la conexin el servidor genera un nmero aleatorio desafi, cifrado con la clave pblica de ese usuario. El texto cifrado se enva al usuario. 2. El usuario lo descifra con la clave privada correspondiente y devuelve respuesta al servidor, demostrando al servidor que es quien dice ser. De esta forma tambin comprobamos que el servidor es quien creemos que es, ya que la asociacin clave

Depto. Informtica IES Monte Naranco

CFGM Sistemas Microinformticos y en Red

Servicios en Red UT3.Servicios de acceso y control remoto

-7-

pblica(en servidor)- clave privada(cliente) es nica, inseparable e irrepetible. 3. El servidor descifra el texto de respuesta con la clave pblica del usuario y la compara con el texto original. Si coinciden todo est correcto. Cmo conectarnos por este mtodo de clave pblica o asimtrica Objetivo: Conexin SSH por mtodo de clave pblica. Lo realizaremos con el usuario smra que ya est dado de alta tanto en el cliente, para conectarnos como el usuario naranco dado de alta ya previamente en el servidor. Si utilizamos el mismo usuario en cliente y servidor no es necesario indicarlo en los parmetros de conexin. 1. En el cliente se generan las claves pblica/privada.

Comprobamos que se han generado los ficheros (id_rsa e id_rsa.pub) con las claves generadas.

2. Se propaga la clave pblica al lugar adecuado en el servidor, es decir, al fichero authorized_keys dentro de la carpeta .ssh del home del usuario naranco. Para ello tenemos que copiar el archivo id_rsa.pub al servidor, asunto que se puede hacer de muchas maneras, incluso manualmente o con la ayuda del administrador de la mquina servidor, etc, etc. Nosotros vamos a hacerlo todo por ssh, para practicar el acceso, aunque no siempre tendra sentido ya que si estamos configurando cmo nos vamos a conectar no es muy probable que ya tengamos acceso al servidor. En esos casos mandaramos nuestra clave pblica al administrador para que la gestione adecuadamente. Accedemos, creamos la carpeta, y luego salimos y lo copiamos con el comando de transferencia de ficheros por SSH, el comando scp. Es una comando de copia, remota y segura.

Depto. Informtica IES Monte Naranco

CFGM Sistemas Microinformticos y en Red

Servicios en Red UT3.Servicios de acceso y control remoto

-8-

Una vez creada la carpeta, transferimos el archivo

Ahora que tenemos el archivo transferido necesitamos volcar su contenido en el archivo adecuado y darle los permisos necesarios (por seguridad solo el usuario puede leer o escribir en el fichero). Para ello nos volvemos a conectar por ssh y manipulamos lo necesario.

Si ahora nos conectamos de nuevo por ssh, no nos pedir la contrasea de naranco, sino que al detectar su clave publica utiliza este mtodo. Si hubiramos utilizado una palabra de paso para desbloquear la clave privada (ms seguridad aun) nos la pedira ahora, si no, accede directamente.

Acceso SSH por la interface grfica. Es ms simple a simple vista y parece que nos ofrece ms posibilidades, sobre todo si disponemos de una interface de Linux grfico como el de Ubuntu o el de Debian. No siempre es posible y a veces se ralentiza mucho debido a la cantidad de informacin que es necesario transmitir por la red. Desde el cliente Ubuntu vamos a Aplicaciones->Internet->Visor de escritorios remotos. Escogemos conectar, tipo SSH y damos el resto de parmetros.

Depto. Informtica IES Monte Naranco

CFGM Sistemas Microinformticos y en Red

Servicios en Red UT3.Servicios de acceso y control remoto

-9-

Tambin podemos guardar lugares o carpetas a los que nos conectamos habitualmente por SSH. De esta forma tenemos un enlace directo a una carpeta, a la que adems podemos de una forma sencilla hacer operaciones de transferencia y tratamientos de archivos. Desde Lugares>conectar con servidor

Acceso por SSH desde clientes Windows. La forma ms utilizada y sencilla es a travs de la herramienta putty. Se copia en nuestro equipo cliente, la abrimos y damos los parmetros necesarios para conectarnos. Podemos guardar diversas conexiones para no tener que meter los datos cada vez que nos conectemos. La primera vez que nos conectamos a un servidor tambin nos pide la confirmacin de aadir esa huella digital de ese equipo para recordarla en futuras conexiones.

Con el comando exit, se sale de la terminal remota.

Depto. Informtica IES Monte Naranco

CFGM Sistemas Microinformticos y en Red

Servicios en Red UT3.Servicios de acceso y control remoto

-10-

Configuracin del servidor SSH

Hasta ahora estuvimos trabajando con el servidor SSH sin tocar nada de la configuracin, simplemente con la instalacin nos qued perfectamente funcional para poder trabajar. De todas maneras existen unos archivos de configuracin y unas opciones que pueden ser interesantes a la hora de adaptar nuestro servidor a nuestras necesidades y dotarle de ms potencia y mayor seguridad. Los archivos de configuracin de SSH se encuentran en el directorio del servidor /etc/ssh/ Los ms importantes son sshd_config y ssh_config. El primero contiene la configuracin del servidor SSH y slo lo tenemos en los equipos que instalamos la parte servidor del servicio. El segundo contiene la configuracin del cliente y suele venir siempre ya que el cliente ssh viene instalado por defecto en la mayora de las distribuciones Linux. Como cualquier fichero de configuracin tiene una serie de lneas que identifican varios parmetros de configuracin. Las lneas que empiezan por # son lneas que no se ejecutan, son comentarios.

Podemos destacar como opciones ms importantes, por motivos de seguridad, las siguientes: Port: indica el puerto de escucha del servicio SSH (por defecto, se trata del 22). Protocol: indica la versin de protocolo que se utiliza (por lo general, la 2). X11Forwading: este parmetro permite ejecutar aplicaciones grficas en el servidor (X11Forwading yes). PermitRootLogin: este parmetro indica si el administrador (root) puede conectarse al servidor SSH. Por motivos de seguridad, no debe permitirse (PermitRootLogin no). PasswordAuthentication yes. Permite autenticacin por contrasea. PermitEmptyPasswords no. No permite conectarse a usuarios con contraseas vacas RSAAuthentication yes: Indica que est permitida la autenticacin por RSA PubkeyAuthentication yes: Inidica que est permitida la atenticacin por clave pblica AuthorizedKeysFile %h/.ssh/authorized_keys: Inidica cual es el fichero para las claves pblicas vlidas. IgnoreRhosts yes: para que no lea los usuarios vlidos de los ficheros ~/.rhosts y ~/.shosts RhostsRSAAuthentication no: Inhabilita la posibilidad de conectarse por rhost AllowUsers: con este parmetro se indican los usuarios que podrn conectarse al servidor. El resto tendr vetado el acceso. La lista de usuarios debe aparecer en la misma lnea, con los nombres separados por espacios (AllowUsers user1 user2).

Depto. Informtica IES Monte Naranco

CFGM Sistemas Microinformticos y en Red

Servicios en Red UT3.Servicios de acceso y control remoto

-11-

LoginGraceTime: nmero de segundos que tiene un usuario remoto para hacer login en el servidor SSH. MaxAuthTries: nmero de intentos de que dispone el usuario remoto para hacer login. MaxStartups: define el nmero mximo de usuarios que pueden estar conectados simultneamente al servidor SSH. AllowGroups: permitir a ciertos grupos (/etc/group) hacer login utilizando SSH. DenyGroups: deshabilita la opcin que permite que los grupos hagan login (/etc/groups). DenyUsers: impide que los usuarios hagan login. AllowHosts: permite ciertos hosts; al resto, se les denegar el acceso. DenyHosts: bloquea ciertos hosts; al resto, se les permitir el acceso. Tneles SSH Hay momentos donde necesitamos tener plena seguridad de que los datos que son transmitidos desde nuestra mquina hacia internet no son ledos por terceros (eso sera siempre!), cmo cuando vamos a un caf con wireless disponible un congreso lleno de vidos hackers todos con sus sniffers llenando sus logs de contraseas de terceros, etc. En fin, necesitamos seguridad, y no todo lo que usamos se encuentra bajo SSL, no sabes que tiene la opcin, por ejemplo, levante la mano quien usa twitter con https!. Hay otras situaciones molestas como cuando un maldito proxy nos filtra contenido, no podemos ver todos los sitios usar todos los servicios que necesitamos, o simplemente nos cierran puertos que necesitamos, como el sagrado IRC.

Bien, para todos estos males existen los tneles SSH, quienes realizan una conexin segura, encriptada, y desde un servidor remoto, por lo que nuestro origen queda annimo. Todo lo que necesitas es una mquina en una red externa (tpicamente un servidor) en la que tengamos acceso ssh. Segn la necesidad, podemos requerir de 3 diferentes esquemas: 1. Ests tras un proxy y no te deja salir a todas las redes o te filtra sitios que realmente necesitas. T necesitas Dynamic application-level port forwading!.

El esquema mas sencillo, funciona como un proxy para cualquier aplicacin para cualquier servicio, SMTP, HTTP, POP, IMAP, etc. Bajo este esquema, puedes redireccionar todo el trfico de un puerto local hacia un servidor remoto a travs de otro servidor de redireccin para cualquier tipo de aplicacin que trabaje con protocolo Socks, aunque en la mayora de los casos si no lo soporta puedes forzarlo con una utilidad. En pocas palabras, haces que un servidor B baje por ti el contenido del servidor A y lo reenve a tu mquina local. 2. Te cerraron los puertos y necesitas acceder a algn servicio del servidor A con el puerto XX. T necesitas Local Port forwarding!

Depto. Informtica IES Monte Naranco

CFGM Sistemas Microinformticos y en Red

Servicios en Red UT3.Servicios de acceso y control remoto

-12-

Ahora s vamos a forwardear puertos de verdad, el anterior esquema es a nivel aplicacin, SSH entiende que debe servir de proxy para lo que le pida la aplicacin, si pides la pgina de google por socks, ssh entiende que tiene que conectarse a google y reenviar el contenido a tu mquina local a travs de un tercer servidor, y dinmicamente cambia del servidor de google al de yahoo, o hotmail, o facebook, etc. En este esquema de Local Port forwarding (y tambin el Remote/reverse port forwading) SSH simplemente reenva todo lo que mandes a un puerto local hacia un servidor destino a travs de un servidor donde tienes shell. Es decir, slo puedes redirigir el trfico hacia un slo servidor. Se utilizan rdenes SSH con el parmetro -L 3. Ests tras un router, con ip privada y necesitas que alguien entre a algn servicio de tu mquina sea HTTP, SSH, FTP, etc. T necesitas Reverse Port Forwarding! (tambin llamado Remote port forwarding) Este esquema es quizs el ms divertido y confuso de los tres, basicamente es lo mismo que -L pero en inversa, expliquemos. Con -L le dices a ssh que reenve el trfico que vaya a un puerto local hacia uno remoto, con -R le dices a ssh que reenve el trfico que llegu a un puerto remoto hacia uno local. Para que nos sirve algo as?, por ejemplo si tienes un problema con tu linux/mac os x/unix/whatever, y quieres que un amigo se conecte a tu mquina para ayudarte y estas detrs de un router, con ip privada, y sin privilegios para poder abrir un puerto en el router que redirija el trfico a tu mquina. Solucin, abres un tunel reverso. Ejemplos y ms informacin: http://marcoalfonso.net/2008/12/24/tuneles-ssh/ http://www.felixblanco.es/index.php/tecnicas/43-informaticas/50-tuneles-ssh

4. Escritorios remotos
Con el avance de las comunicaciones y de las implementaciones de los sistemas operativos cada vez es ms asequible usar tecnologas de escritorio remoto donde emulamos en nuestro equipo cliente una sesin como si realmente estuviramos en la mquina remota, transmitindose no solo las rdenes y los comando de las diferentes aplicaciones sino toda la interface grfica. Es muy importante sealar que en casi todos los protocolos de escritorios remotos que vamos a ver a continuacin, es posible asegurar la comunicacin por SSH usando un tnel de comunicacin para que toda la informacin grfica y no grfica que viaja por la red vaya encriptada. Por tanto SSH es una base no solo para un acceso remoto por terminal, sino para poder acceder desde otras formas de conexin ms atractivas pero menos seguras.

5. Protocolo VNC
RealVNC, UltraVNC (Open Source), ThinVNC (Open Source), TigerVNC (Open Source) son algunas aplicaciones de este tipo, con el cual podemos establecer una conexin remota hacia cualquier ordenador como si lo tuvieses frente tuyo. VNC es multiplataforma por lo tanto podemos acceder remotamente desde nuestro ordenador hacia otro, independientemente del sistema operativo que ambos usen. Para establecer la comunicacin remota hacia un ordenador destino debe estar en ste ltimo instalado el servidor de VNC (VNC Server) donde se configura el permiso a los ordenadores que pueden acceder mediante una IP, as como tambin el usuario y la contrasea de acceso; y en los ordenadores desde donde deseamos acceder hace falta nicamente el VNC Cliente (VNC Viewer), encargado de mostrarnos el ordenador destino en pantalla para poder hacer uso de l.

Depto. Informtica IES Monte Naranco

CFGM Sistemas Microinformticos y en Red

Servicios en Red UT3.Servicios de acceso y control remoto

-13-

Escritorio remoto en linux por VNC En las distribuciones actuales de Linux, tanto en Ubuntu como en Debian vienes ya preinstalados tanto el servidor como el cliente. Pero antes tengo que activar en el servidor o equipo al que voy a acceder la posibilidad de acceso remoto. En deban y en Ubuntu esto es muy parecido, sera en Preferencias->Escritorio remoto. La ventana que sale le permite configurar el modo en que los usuarios pueden conectarse a su escritorio. Permitir a otros usuarios ver su escritorio: Seleccione esta opcin para permitir a los usuarios remotos ver su sesin. Todos los eventos de teclado, puntero y portapapeles provenientes del usuario remoto se ignoran. Permitir a otros usuarios controlar su escritorio: Selecciones esta opcin para permitir a otros acceder y controlar su sesin desde un lugar remoto.

Cuando un usuario intente ver o controlar su escritorio marque las siguientes consideraciones de seguridad cuando un usuario intenta ver o controlar su sesin: Pedir confirmacin: Seleccione esta opcin si quiere que los usuarios remotos le pidan confirmacin a usted cuando quieran compartir tu sesin. Esta opcin te permite estar advertido de otros usuarios que se conectan a tu sesin. Puedes adems decidir qu hora es apropiada para que los usuarios remotos se conecten a tu sesin. Requerir que el usuario introduzca esta contrasea: Seleccione esta opcin para autenticar al usuario remoto si se usa autenticacin. Esta opcin proporciona un nivel adicional de seguridad. Contrasea Introduzca la contrasea que el cliente que intenta ver o controla su sesin debe introducir.

Una vez habilitado, vaya desde otro equipo Linux e intente conectarse desde aplicaciones>internet->visor de escritorios remotos y configure sus datos para conectarse.

Depto. Informtica IES Monte Naranco

CFGM Sistemas Microinformticos y en Red

Servicios en Red UT3.Servicios de acceso y control remoto

-14-

Para hacer esto mismo desde deban cambia un poco la herramienta, que pasa a llamarse Remmina, y tiene bastantes ms opciones de configuracin.

Ejemplo en el que nos conectamos al Ubuntu desde el deban.

Escritorio remoto en Windows por VNC Tambin podemos usar este protocolo para comunicarnos desde Windows a cualquier mquina, para ello necesitamos un software cliente de VNC, y podemos conectarnos a Windows por VNC desde cualquier otra mquina. Podemos utilizar el software Real VNC, que dispone de la parte cliente y servidor que podemos instalar juntas o por separado segn nuestras necesidades. En nuestro ejemplo instalamos el server y el cliente en la mquina de XP para probarlo en los dos sentidos.

La parte de servidor dispone de una pestaas donde podemos configurar las caractersticas de nuestro servidor para definir cmo queremos que sea la conexin, la autenticacin, y las caractersticas del escritorio remoto.

Depto. Informtica IES Monte Naranco

CFGM Sistemas Microinformticos y en Red

Servicios en Red UT3.Servicios de acceso y control remoto

-15-

Para conectarnos a otra mquina tan solo tenemos que ejecutar el programa cliente y nos saldr la ventana de conexin donde definimos a que mquina nos vamos a conectar. EN este caso hemos elegido la de Debian.

Para probarlo en sentido inverso vamos al deban y desde la herramienta de conexin a escritorio remoto ponemos los parmetros de la mquina de XP y nos conectamos a esta.

6. Tecnologa NX
NX es un programa informtico que realiza conexiones remotas X11 muy rpidas, lo que permite a los usuarios acceder a escritorios remotos de Linux o Unix incluso bajo conexiones lentas como las realizadas con mdem.

Depto. Informtica IES Monte Naranco

CFGM Sistemas Microinformticos y en Red

Servicios en Red UT3.Servicios de acceso y control remoto

-16-

NX realiza una compresin directa del protocolo X11, lo que permite una mayor eficiencia que VNC. La informacin se enva mediante SSH, por lo que toda la informacin que se intercambian servidor y cliente est cifrada, cosa que en VNC nativo no, aunque hay tcnicas para cifrar estas tambin, como los ya comentados tuneles SSH. Al cliente que se conecta al servidor NX se le considera cliente liviano. NX est desarrollado por la empresa italiana NoMachine, que ha liberado el cdigo. Existe una implementacin libre de esta aplicacin, llamada FreeNX. El principal objetivo de esta tecnologa es el de ejecutar a travs de Internet aplicaciones que logren tener el mismo aspecto grfico que cuando se ejecutan en cualquier PC. Generalmente cuando esto ocurre es necesario deshabilitar todo aquello que pueda consumir demasiados recursos, como por ejemplo, mens desplegables, fondos de pantalla, iconos o animaciones grficas. NX fue diseado especialmente para soportar estas condiciones y no hacer que usuarios y desarrolladores deban cambiar sus hbitos o su cdigo. Instalacin de FreeNX en Linux Debemos ir a la web de Nomachine y descargarnos el paquete correspondiente de NX Free Edition for Linux DEB i386 al tratarse nuestras distribuciones de sistema basados en deban y de 32 bits. http://www.nomachine.com/download.php Nos tenemos que bajar 3 paquete client, node y server. En el equipo que queramos que sea servidor debemos instalar los 3 paquetes y en ese orden. El equipo que queramos que solo sea cliente basta el paquete client. Una vez bajados los 3 paquetes los copias a tu mquina deban o Ubuntu y con el botn derecho das a cada uno y en el orden indicado abrir con instalador de paquete GDebi para instalar todos los componentes. En Ubuntu al pulsar con el botn derecho sobre el paquete se elige la opcin abrir con el gestor de software de Ubuntu.

Tendremos en los equipos que hayamos instalado la parte cliente una nueva aplicacin accesible desde el men

La primera vez nos entra en el asistente de conexin siempre, donde ponemos los parmetros de configuracin.

Depto. Informtica IES Monte Naranco

CFGM Sistemas Microinformticos y en Red

Servicios en Red UT3.Servicios de acceso y control remoto

-17-

Tanto en el servidor con en el cliente en NX sesin administrador, se puede comprobar las sesiones establecidas y con qu equipos.

Tambin existe una versin de NX para Windows que funciona de forma muy similar.

Depto. Informtica IES Monte Naranco

CFGM Sistemas Microinformticos y en Red

Servicios en Red UT3.Servicios de acceso y control remoto

-18-

7. Servicios de Terminal Server en Windows

Los servicios de terminal server en Windows permiten que varios usuarios puedan iniciar sesin simultneamente. Si varios usuarios se conectan de forma remota al servidor se est permitiendo la ejecucin de aplicaciones y el control de los escritorios desde dispositivos fsicamente distantes. El administrador puede tener varias sesiones remotas y acceder desde ellas a los dispositivos locales y a las unidades de otros equipos Windows. Esta comunicacin se realiza a travs del protocolo RDP (Remote Desktop Protocol). Remote Desktop Protocol (RDP) es un protocolo propietario desarrollado por Microsoft que permite la comunicacin en la ejecucin de una aplicacin entre un terminal (mostrando la informacin procesada que recibe del servidor) y un servidor Windows (recibiendo la informacin dada por el usuario en el terminal mediante el ratn el teclado). El modo de funcionamiento del protocolo es sencillo. La informacin grfica que genera el servidor es convertida a un formato propio RDP y enviada a travs de la red al terminal, que interpretar la informacin contenida en el paquete del protocolo para reconstruir la imagen a mostrar en la pantalla del terminal. Este servicio utiliza por defecto el puerto TCP 3389 en el servidor para recibir las peticiones. Una vez iniciada la sesin desde un punto remoto el ordenador servidor mostrar la pantalla de bienvenida de windows, no se ver lo que el usuario est realizando de forma remota. Activacin en el servidor Para activar la posibilidad de permitir el acceso al escritorio remoto de nuestro servidor Windows 2008, para posibilitar su administracin de forma remota tenemos que seguir las siguientes inidicaciones: - Hacer clic en Inicio, luego clic derecho sobre Equipo y seleccionar Propiedades del men contextual mostrado. - Tambin podemos Hacer clic en Inicio Panel de control > Sistema y seguridad > Sistema - Seleccionar Configuracin de Acceso remoto del panel izquierdo. - De la ventana Propiedades de sistema, seleccionar la pestaa Acceso remoto Seleccionar Permitir las conexiones desde equipos que ejecuten cualquier versin de Escritorio remoto (menos seguro ) de la seccin Escritorio Remoto. - Posiblemente se muestre un mensaje de notificacin debido a que la computadora tenga habilitado el estado firewall. Hacer clic en Aceptar para abrir esta opcin. - Hacer clic en el botn Opciones avanzadas y marcar el check Permitir que este equipo se conecte de forma remota, clic en el botn Aceptar - Clic en Aplicar y Aceptar Adems desde esta pantalla podemos Seleccionar usuarios remotos, los usuarios que podrn administrar de forma remota el servidor. En principio los administradores estn habilitados para acceder.

Configuracin del cliente

Depto. Informtica IES Monte Naranco

CFGM Sistemas Microinformticos y en Red

Servicios en Red UT3.Servicios de acceso y control remoto

-19-

Ejecutaremos el programa Conexin a Escritorio remoto, el cual est disponible accediendo desde Inicio>Todos los programas>Accesorios>Comunicaciones. Tambin se puede desde inicio->ejecutar->mstsc.exe.

Basta que desde la pantalla de la izquierda indiquemos la IP del equipo servidor y nos entrar en la pantalla de validacin de usuario remota. Si pinchamos en opciones nos sale la ventana de la derecha y ya no es posible elegir de antemano cmo nos vamos a conectar. Adems nos permite guardar esas opciones con un nombre y as no tener que introducir estas credenciales cada vez que nos conectemos. Estas opciones de conexin configurables son Con que usuario nos conectamos y si es usuario del dominio o local del servidor Tamao y resolucin de la pantalla Qu recursos locales disponemos: sonido, impresoras, etc Si queremos ejecutar un programa al inicio de la conexin Ajustar el rendimiento en funcin de la velocidad de la lnea de conexin.

Acceso remoto a Terminal Services desde Linux Desde Linux es posible tambin conectarnos por RDP y abrir un escritorio remoto por los servicios de terminal. Para ello se va a Aplicaciones->Internet->Servicios de Terminal (igual que cuando nos conectamos por VNC, con las variantes vistas desde Ubuntu o Debian). Eso s, ahora elegiremos protocolo de conexin RDP. Entramos a una pantalla donde podemos configurar la conexin a nuestro gusto, de forma muy similar a la herramienta de conexin de Windows. Tambin nos permite usar SSH si disponemos de ello para realizar una comunicacin encriptada.

Podemos incluso compartir una carpeta del cliente para poder intercambiar ficheros desde la mquina remota y la cliente. Por defecto elige la carpeta home del usuario Linux con el que nos

Depto. Informtica IES Monte Naranco

CFGM Sistemas Microinformticos y en Red

Servicios en Red UT3.Servicios de acceso y control remoto

-20-

conectamos. En Windows accedemos a esta carpeta compartida en Equipo->carpeta compartida

8. Otros Productos: Log Me In.

LogMeIn Pro pone a la disposicin de los usuarios acceso rpido y sencillo a ordenadores remotos desde sus dispositivos, a travs de la web y en alta definicin. Se pueden transferir archivos, imprimir de forma remota o mantener ordenadores actualizados desde cualquier ordenador o dispositivo mvil. El funcionamiento es muy simple. Nos damos de alta, nos bajamos el software y lo instalamos. Una vez validada la cuenta podemos acceder a mi lista ordenadores desde la web desde cualquier dispositivo validndome, escogiendo el equipo y conectndome.

Caractersticas: Control remoto total: Acceda al escritorio, a las aplicaciones y a los archivos de su ordenador. Trabaje de forma rpida y sencilla en un ordenador remoto tal y como si estuviera sentado frente a l. 100% gratuito. Calidad alta definicin. Disfrute de transmisin de vdeo y sonido en HD. El control remoto nunca antes haba sido tan suave. Vea vdeos en alta definicin y transmita sonido de forma remota. Disponible para Windows, prximamente para Mac. Acceso mvil. Acceda a sus ordenadores desde su iPad/iPhone o desde Android con Ignition. Transferencia de archivos. Tenga siempre disponibles, incluso fotos y vdeos. Transfiera archivos de gran tamao de forma sencilla y segura a travs del gestor de archivos. Sincronice, copie o mueva carpetas enteras de un ordenador a otro. Escritorio compartido. Podr compartir los archivos de una forma rpida, sencilla y segura. Comparta archivos sin enviar archivos adjuntos a correos electrnicos ni tener que confiar en unidades porttiles. Basta con que enve un vnculo generado automticamente al archivo, para que lo descargue de forma segura desde

Depto. Informtica IES Monte Naranco

CFGM Sistemas Microinformticos y en Red

Servicios en Red UT3.Servicios de acceso y control remoto

-21-

su ordenador. Impresin remota. Imprima un archivo de un ordenador remoto en una impresora local. Gestione sus ordenadores desde cualquier lugar. Ofrezca asistencia tcnica, actualice, diagnostique y resuelva problemas fcilmente, sin ningn tipo de molestia para los usuarios finales. Adems, cuando se combina con LogMeIn Central, Pro le permite implementar el software LogMeIn, gestionar las actualizaciones de Windows, automatizar la instalacin de software y mucho ms.

Wake on LAN. Inicie de forma remota un ordenador que se encuentra en inactividad en la LAN y termine su trabajo. Avisos y supervisin. Cuando se utiliza junto con Central, los avisos mantienen los sistemas activos y en funcionamiento. Seguridad. Los datos estarn protegidos por cifrado SSL de 256 bits. Inventario sincronizado. Con Central, Pro recopila y realiza un seguimiento de los activos de TI. Sonido remoto. Escuche msica, los avisos de nuevos correos electrnicos y otros sonidos a travs de los altavoces locales. Kit de herramientas de diagnstico. Acceda a informacin detallada sobre el estado del ordenador e informacin de mantenimiento. Consiga an ms funciones con Central Inicio de sesin en segundo plano. Mantenga los niveles de productividad con inicio en segundo plano en ordenadores remotos.

Depto. Informtica IES Monte Naranco

CFGM Sistemas Microinformticos y en Red