Professional Documents
Culture Documents
Serviciodeaccesoycontrolremoto
1. Queselserviciodeaccesoycontrolremoto? 2. ElservicioSSH 3. Conceptosbsicossobreencriptacin 4. CmofuncionaSSH? 5. QuesunclienteSSH? 6. QuesunservidorSSH? 7. InstalacinyconfiguracindeunservidorVNCenLinuxyunclienteenWindows 8. InstalacinyconfiguracindelservidorSSH(GNU/Linux)conWebmin 9. AccesoremotoconFreeNX(instalacindelservidorFreeNXenUbuntuGNU/Linux) 10. ServidorSSHbajoWindowsServer 11. ServiciosdeterminalServer
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
Sinembargo,suaportacinmsimportanteeselsoporteseguroquedaacualquierprotocoloque funcionesobreTCPyquesebasaenlautilizacindemecanismosdecriptografa,deformaque toda transmisindeinformacinestcifradayelmecanismodeautenticacindelusuario sea transparente. Funciona sobre la mayora de sistemas Unix GNU/Linux, si bien hay versiones tambinparaWindowsyMacOS,yelprotocoloqueutilizaesSSH. OpenSSH (www.openssh.com) desarrollalaversinlibremsimportante.Paralainstalacinse requiereelpaqueteOpenSSL(www.openssl.org),quecontienevariasbibliotecasimprescindibles paraelcifradoenlascomunicacionesatravsdeOpenSSHyque,normalmente,seinstalacomo unadependenciadeestaaplicacin.
2.ElservicioSSH
Comosehacomentadoenelapartadoanterior,estaherramientapermiteestablecerconexiones segurasentremquinasremotas.SufuncionamientosedescribeenelRFC4251. LasprincipalescaractersticasdelservicioSSHsonlassiguientes: Utilizaelpuerto22(TCPyUDP),elprotocoloSSHysigueelmodeloclienteservidor. Permitelaautenticacindelosusuariosmediantecontraseaounsistemadeclaves. PermitesuintegracinconotrossistemasdeautenticacincomoKerberos,PGPoPAM. Estimplementadoparalamayoradesistemasoperativosyplataformas.
2.1.-Ventajas de utilizar SSH AlgunasdelasventajasqueofrecelautilizacindeSSH,comoherramientadeadministracin remota,son: servidor en futuras sesiones. (Por cliente, se entiende la mquina, el equipo o el ordenadordesdedondeselanzalaordenSSHcorrespondiente.) El cliente transmite al servidor la informacin necesaria para su autenticacin (usuarioycontrasea)enformatocifrado. Todoslosdatosqueseenvanyserecibendurantelaconexinsetransfierencifrados. Elclientepuedeejecutaraplicacionesgrficasdesdeelshell(intrpretederdenes)de formasegura(como,porejemplo,elreenvoporX11). Ademsdeestasventajas,conlautilizacindeSSHseevitalosiguiente: Lainterceptacindelacomunicacinentredossistemas porpartedeunamquina tercera que copia la informacin que circula entre ellas y puede introducir modificacionesyreenviarlaalamquinadedestino. 2. Lasuplantacindeunhostoenmascaramiento,esdecir,queunamquinafinjaque eslamquinadedestinodeunmensaje,encuyocasoelclientenosedacuentadeque estsiendoengaadoycontinalatransmisin.
1. Despus de la primera conexin, el cliente puede saber que se conectar al mismo
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
Dos claves, que dependen del algoritmo de encriptacin utilizado. Ninguno, de momento.
RSA y DSA
Laversin2deSSH(enadelante,SSH2)esmssegura,yaquedisponedemecanismosque impidenlacapturadelosdatosquecirculanporlaredmedianteprogramassniffersylarealizacin de ataques del tipo man in the middle (consistentes en la interceptacin por parte de un programadelasclavesqueintercambianelservidoryelclienteconelfindehacersepasarporuno ante el otro y viceversa). Estos mecanismos tambin impiden el descifrado de las claves de codificacin.
3.Conceptosbsicossobreencriptacin
Lacriptografaesunatcnicautilizadaparaconvertiruntextoclaro(esdecir,untextoqueseleey entiende directamente) en otro, llamado criptograma, cuyo contenido informativo es igual al anteriorperosolopuedeserdecodificadoporpersonasautorizadas. Lacriptografasebasaenalgoritmoscadavezmssofisticadosymsdifcilesderomper.La seguridaddeunatcnicadecifradoresideenlalongituddelaclaveutilizada,yportanto,enel costedeCPUquerequiereparareventarla,esdecir,paraobtenerelmensajeoriginaldescifrado. SSHutilizavariosalgoritmosdeencriptacinyautenticacinparaloscasossiguientes: Establecer la conexin con la mquina remota, para lo que emplea algoritmos de encriptacinasimtrica. Realizar la transferencia de datos, en cuyo caso se utilizan algoritmos de encriptacin simtricaquesonmsrpidos. Latcnicadeencriptacinresuelvelosproblemassiguientes: a)Privacidadoconfidencialidad:nadiequenoseasulegtimodestinatariopuedeaccederala informacin. b)Integridad:lainformacinnopuedeseralterada(sinserdetectadoelcambio)eneltrnsitodel 3
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
emisoraldestinatario. c)Autenticacin:tantoelemisorcomoeldestinatariopuedenconfirmarlaidentidaddelaotra partequeparticipaenlacomunicacin. d)Norechazo:elcreadoroemisordelainformacinnopuedenegarqueeselautor.Existen diversostiposdeencriptacin,talcomoseveracontinuacin. 3.1.Encriptacinsimtricaodeclavecompartida Comoindicaelnombre,setratadeunatcnicabasadaenlautilizacindeunaclaveconocidapor elagenteemisoryporelreceptorodestinatario.Lamismaclavequecifraenelorigendescifraen eldestino. Esmuyeficienteparaelcifradodegrandesvolmenesdeinformacin,yaquelosalgoritmos utilizadossonmuyrpidos,aunquedebetenermsde40bitsparaqueseaunaclavefuerte.La robustezdelaclavesemideporsutamao. Sinembargo,tieneelinconvenientedequetantoelemisorcomoelreceptorhandeconocerla clave,locualimplicaqueestadebeviajarporlared.
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
EntrelosalgoritmosdecifradosimtricomsutilizadossehallanlosdelafamiliaDESeIDEA. El algoritmo 3DES (Estndar de Encriptacin de Datos) fue creado en 1978 con estas caractersticas: RealizauntriplecifradosobreunaclaveDESdelongitud56bits. Loutilizaprincipalmentelabancaparalagestinyusodetarjetasdecrdito. Ha sidoreventadoennumerosaspruebasdecriptoanlisis,porloquesehaquedado obsoleto. ElalgoritmoIDEA(AlgoritmoInternacionaldeEncriptacindeDatos),poseelascaractersticas siguientes: Trabajaconclavesde128bitsyseutilizaparaelcifradodelcorreoelectrnico(PGP). Essencillodeprogramaryrpido. Demomento,nohasidoroto.
3.2.Encriptacinasimtricaodeclavepblica Lastcnicasdecifradoasimtricosebasanenelusodedosclaves:unapblicayotraprivada. Laclavepblicacifraylaprivadadescifra. Segnestatcnicacadausuariotienedosclaves:laprivadasololaconoceeldueoesdecir,no seenvaporlared,mientrasquelapblicalaconocenlosusuariosenotrasmquinas.Estas claves se generan al mismo tiempo y dan lugar a pares biunvocos, de tal forma que la combinacinpblicaprivadaesnica. Elalgoritmoutilizadoessencillo,peroaltenerhasta1.024bits,elcostedecomputacinesmuy elevado. La legislacin de EE.UU. impone el lmite de 512 bits para la exportacin de software criptogrfico.Deesaforma,suspotentesequiposdeInteligenciapuedendescifrarlosmensajesa basedefuerzabruta. Lautilizacindeestatcnicatienesusprosysuscontras: Ventaja:laclaveprivadanosetransmite.Bastaconquecadausuariotengasuclavedoble pblicaprivada. Desventajas: a)Estatcnicanoutilizaalgoritmoseficientes,yaquenosonrpidosalahoradecifrary descifrar. b) No es fcil disponer deuna garanta de autenticidad de las claves pblicas: quin garantiza que la clave pblica de un usuario sea realmente suya? De ah que se hayan 5
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
desarrolladocertificadosdigitales. Latcnicadeencriptacinasimtricagarantizalaconfidencialidaddelascomunicaciones, ya que nadie que no conozca la clave privada del usuario B puede obtener el mensaje original de A. Solo el destinatario legtimo B podr leer el mensaje. Adems, tambin protege su autenticidad, pues basta con hacer unusodiferente de las claves pblicas y privadasdelosusuariosimplicadosparaasegurarsedequingenerelmensaje. Segnestatcnica,elusuarioAposeedosclaves,unapblicayotraprivada(quesolo conocel).SesuponequeelusuarioAquieretransmitirunmensajeotextosoloalusuario B.ElusuarioAconocelaclavepblicadeBymedianteunalgoritmodeencriptacin asimtricogenerauntextocifradoquetransmite.ElusuarioB,utilizandosuclaveprivaday elalgoritmoinverso,reproduceeltextonativo.
Confidencialidaddelacriptografaasimtrica. ElalgoritmodebegarantizarquenadiequenoconozcaclaveprivadadelusuarioBpuedaobtener el texto o mensaje original. De este modo, se garantiza la confidencialidad, ya que solo el destinatariolegtimo(enesteejemplo,elusuarioB)podrleerelmensaje.
EnelsiguienteejemploelusuarioAcifraelmensajeconsuclaveprivadaobteniendoelmensajeo 6
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
textocifradoqueestransmitidoalusuarioBquien,usandolaclavepblicadelusuarioA,obtieneel texto original. Dado que esa clave es pblica, cualquiera puede obtener el mensaje, pero esto garantizaalusuarioBquelanicapersonaquepudohaberlogeneradoeselusuarioA,yaque solamentelconocela:laveprivadaconquefuecifrado.
Firmadigital Los algoritmos de clave pblica requieren mucho tiempo para cifrar documentos largos, los protocolosdefirmadigitaltrabajansobreunresumen,obtenidoconfuncioneshash.Deestaforma, enlugardefirmareldocumento,sefirmaelresumenobtenido. Lafirmadigitaltienecomoobjetivosautenticaralusuarioemisorycomprobarlaintegridaddel 7
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
mensaje.
4.CmofuncionaSSH?
Lasclavesdeunacorrectaconexinremotasonlassiguientes:
ElservicioSSHgarantizatodosestospuntosyfuncionasegnelprocesosiguiente:
1. 2.
3. 4.
5.
6. 7. 8.
LamquinaclienteabreunaconexinTCPsobreelpuerto22delservidor. LamquinaclienteyelservidorseponendeacuerdoenlaversindeSSHquevana utilizar.Enestemomentosedeterminaelalgoritmodecifrado(simtrico)autilizarpara latransferenciadedatos. Elservidortienedosclaves(pblicayprivada).Elservidorenvasuclavepblicaal cliente. Elclienterecibelaclavepblicaylacomparaconlaquetienealmacenadaparaverificar siesautntica.Laprimeravez(comonodisponedeestaclavepblica),SSHpidequeel usuariolaconfirme.Enesteenvosepodraproduciruncambioysustituirlaporotra.Se tratadesupuntomsdbil.Dehecho,setratadeuntipodeataquebastantecomn conocidocomomaninthemiddle.Enlasocasionessiguientes,cuandoelclientereciba laclavepblicadelservidor,lacompararconlaqueyatienealmacenada.Sepueden prevenirataquesmaninthemiddlecontraSSHenunaintranetfcilmente.Bastacon publicarunlistadoconlasclavesdelosservidoresdelaintranet,paraquelosusuarios puedanverificarlasantesdeaceptarlas. Elclientegeneraunaclavedesesinaleatoriaycreaunmensajequecontienelaclave aleatoriageneradayelalgoritmoseleccionado,todoelloencriptadohaciendousodela clavepblicadelservidor.Elclienteenvaestepaquetecifradoalservidor. Paraelrestodelasesinremotaseutilizaelalgoritmodecifradosimtricoseleccionado yclavedesesinaleatoria. Llegadosaestepuntoseautenticaelusuarioyaqupuedenusarsevariosmecanismos. Porltimoseinicialasesindeusuario.
El DNI electrnico, adems de identificar al usuario ante terceros, permite la firma electrnica.EsexpedidoporlaDireccinGeneraldelaPolica,queeselnicoorganismo autorizadoparaemitirloscertificadosdigitalesparaelDNIelectrnico. LautilizacindelDNIeesvlidaparatodotipodetramitacintelemtica:solicitaruna beca,presentarlaDeclaracindelaRentaoimpuestos,accederalosdatosdelaSeguridad Social o a informacin personal en bases de datos pblicas, realizar transacciones con 8
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
4.1.QuesuntnelSSH?
Ensumayora,losprotocolosqueseempleanenlascomunicacionesestnbasadosendiseosde hacecasi30aos,cuandolaseguridadenredesnoeraunproblema.Comoyasehacomentado, Telnet, FTP, POP3 son protocolos muy comunes pero que descuidan la seguridad y confidencialidaddelosdatosqueenvan.Dequsirveprotegerlosservidores,utilizarunabuena polticadecontraseasyactualizarlasversionesdelasaplicacionesservidoras,siluegocuandoun usuariodePOP3,porejemplo,quiereverucorreoelectrnicodesdesucentrodeestudios,envasu usuarioycontraseaentextoplano(sinencriptar)porlared? Paraevitarlo,haydosposiblessoluciones: Crearoutilizarprotocolosseguros. Modificarlosprotocolosinsegurosdeformaquesecomportencomoprotocolosseguros. Deestassoluciones,lasegundaesmuchomsviable,yaqueaprovechagranpartedeosservidores yclientesexistentesenelmercado.Elobjetivoserconvertirlosprotocolosclsicosenprotocolos seguros.Acontinuacin,veremosqutienequeverelservicioSSHconello. Elprocedimientoconsisteencrearuntnelporelqueviajenlosdatosdemanerasegura.Enlos extremosdedichotnelseestnejecutandoserviciosqueutilizanprotocolosnoseguros,como POP3oFTP.SSHescapazdeasegurarlacomunicacinmediantelacriptografayhaciendousode latcnicadelreenvodepuertos(PortForwarding).SSHtomalosdatosqueelclienteenvaenun extremodeltnelylosreenvaporelcanalsegurocreadoapartirdedichotnel,haciaelotro extremodondeserecogenlosdatosquesonreenviadosalservidor.
PortFordwarding
SSH
Conexinsegura
PortFordwarding
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
Cliente
Servidor
Elreenvodepuertospuedeserinteresanteparalossiguientespropsitos:
5.QuesunclienteSSH?
ElclienteSSHeslaherramientadesoftwarequepermitealusuario, desdeunamquinaremota, solicitarelestablecimientodeunaconexinseguraconelservidoSSH. LaconexinSSHsepuedellevaracabomedianteherramientasgrficasobiendesdeunaconsola, enmododelneadecomandos. Por ejemplo, la herramienta Webmin ofrece la posibilidad de establecer conexiones SSH. Para utilizarelclienteSSHdeWebminsielnavegadorempleadoesFirefoxylaspruebassehacenconla distribucinUbuntuGNU/Linux,hayquetenerinstaladoelcomplementoparaJavaconsole(JRE). Enlapantallainicial,siseseleccionalacategoraOtrosy,acontinuacinConexinSSH,seabrir unaventanadeconexin. Esposiblequemuestreunmensajedeseguridadrelacionadoconelcertificadodiciendoqueloha emitidounafuentequenoesdeconfianza.Bastarconcontestarquesiconfa. AntesdeabrirlaconexinsepuedenmodificaralgunosparmetrosdelaconexinParaello,habr queiraConfiguracindemdulo. 10
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
ElprocesoodemonioqueseejecutaenelclienteesSSHyseencuentraeneldirectorio/usr/bin.
Modotexto:ssh
Sielaccesoalservidorsehacedesdeunaterminaldetexto,lasintaxiseslasiguiente: ssh[ppuerto][usuario@]host usuarioesellogindeconexindelusuarioyhost,laIPdelamquinaservidorSSHosunombresi setieneconfiguradounservidorDNS.
Modogrfico:PuTTY
Existen diferentes opciones grficas, pueden utilizarse las herramienta FreeNX, VNCViewr, Filezilla,elclientePuTTY... Realizaremos la conexin al servidor SSH instalado en una mquina Ubuntu (servidor1.zubirimanteo.com),desdeunclienteWindowsXPutilizandoelprogramaPuTTY.
Laconfiguracinbsicaquedebemosrealizarparalaconexinesindicarelnombredeldominioo laIPdelservidor.EltipodeconexinqueutilizapordefectoesSSHyelpuertoel22. 11
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
TraspulsarOpeneintroducirelusuarioycontrasearealizamoslaconexin.
5.1.Transferenciaseguradearchivos ParalatransferenciadearchivosenGNU/Linuxexistendiversasopciones. Laordenscp Permiterealizartransferenciassimplesdesdelalneadecomandos.Funcionacomoelcomandocp queseutilizaparacopiarenlocal,perodeformaremotay,adiferenciaelrcp,deformasegura. Conestaordenpuedenhacersecopiassegurasdearchivos,conconexinsegurayencriptada,entre distintasmquinas,ascomodirectorioscompletosconelcarcterasterisco(*). SiguelosmismosesquemasdecomprobacinqueSSH.Sufuncionamientodependerelamanera enquecadausuariohayaconfiguradoSSH;esdecir,sidisponedeclavepropiaonoysilaclave tienefrasedepasoono.
12
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
Sintaxisscp
Descripcin
Ejemplo
alumnol@pcll:~$scparchivoalumno@pcl2:/home
Laordensftp IntentaemularlaformadeusodeunclienteFTPordinarioparaabrirunasesinsegura;interactiva deestetipo. Lasintaxiseslasiguiente: alumnol@pcll:~$sftpnombre_usuario@nombre_maquina Unavezestablecidalaconexin,puedeutilizarseunaseriedecomandosespecficosenFTP.No obstante,soloestdisponibleenOpenSSH2.5yversionessuperiores. alumnol@pcll$sftpmaquina_remota sftp>help Esteltimocomandopermitevisualizarlalistaderdenesftpdisponibles.Enestaconexinse asumequeelusuarioalumno1seconectacomoalumnolenlamquinaremotay,porlotanto, dichousuariodebeexistirenella.
6.QuesunservidorSSH?
13
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
ElservidorSSHfacilitaelestablecimientodeconexionesremotasquepermitenlatransferencia seguradecualquiertipodedatos:archivos,contraseas,ejecucindeordenesdeadministracinen unsistemaremoto,sesionesdelogin,sesionesgrficas,etc. UnavezhasidodescritalafuncionalidadbsicadeSSHengeneralapartirdeestepuntosevaa tomarcomoherramientabaseOpenSSH,queeslaimplementacinlibremsutilizadadelservicio SSH.LascaractersticasmsimportantesdeOpenSSHson: 1. Proyectodecdigoabierto,disponibleparasudescargadeinternet. 2. Tiene licencia libre que permite su utilizacin para cualquier propsito, incluido ek comercial. Puede consultarse el enlace http://www.openbsb.org/cgi bin/cvsweb/scr/usr.bin/ssh/LICENCE. 3. EscompatibleconlosprotocolosSSH1ySSH2 4. EstadisponibleparaplataformasGNU/LinuxyWindows,AscomoUnix,Mac,Solaris, AIXyotras. 5. Reenvodepuertos.ConsisteenelenvodeconexionesdeTCP/IPaunamquinaremota poruncanalcifradomedianteelmapeadodeunpuertolocalenelclienteenunpuerto remotodelservidor. 6. Reenvoporagente.Consisteenqueelagente(deautenticacin)delclientepuedecontener lasclavesdeautenticacindeRSAoDSA.EnestecasoOpenSSHenvalaconexinal agentedeautenticacinpormediodecualquierconexin.Deestaformanoesnecesario guardar las claves de autenticacin de RSA o DSA en ninguna mquina de la red. (exceptuandolamquinadelusuario). 7. SoporteparaclienteyservidordeSFTPenlosprotocolosSSH1ySSH2.Apartirdela versin2.5.0,OpenSSHincluyesoportecompletoparaSFTP.Laordenqueseusaparael clienteessftp. 8. Compresindedatos.OpenSSHcomprimelosdatosantesdelcifrado,locualmejoralos resultadosenlosenlacesconredeslentas.
14
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
Archivo
sshd_config
Descripcin
Describe la configuracin del servidor SSH. Permite modificar el puerto de escucha, la versin del protocolo, as como el lugar donde se encuentra la clave privada de la mquina y si esta ha sido generada con RSA o DSA. Si se permite la autenticacin de usuarios mediante clave pblica, hay que activar la opcin PubkeyAuthentication e indicar dnde estn guardadas (opcin AuthorizedKeysFile; por lo general se encuentran en ~/.ssh/ authorized_keys). Describe la configuracin del cliente SSH. Es posible que un mismo cliente tenga opciones de conexin diferentes en funcin de la mquina destino. Esto se indica mediante diferentes secciones Host. Clave RSA privada de la mquina Clave RSA pblica de la mquina. Claves pblicas de otras mquinas. Clave DSA privada de la mquina. Clave DSA pblica de la mquina.
ssh_config
Algunas directivas, especialmente interesantes incluidas en el archivo de configuracin sshd_config: PermitRootLoginno:indicaqueelusuarioadministradorrootnopuedeconectarsealamquina remotacomotal. RSAAuthenticationyes:indicaqueestpermitidalaautenticacinporclaveRSA. PubkeyAuthenticationyes:informadequeestpermitidalaautenticacinporclavepblica. RhostsAuthenticationno:indicaquenosepermiteelmtododeautenticacinporrhost,esdecir, nosehabilitalaposibilidaddegenerarunarchivo.rhosteneldirectoriohomedelusuarioenla mquinaremota.Enestearchivoseespecificanusuariosymquinasdesdelasquesepuedeacceder alamquinaremotasincontrasea. HostbasedAuthenticationno: informadequenoseutilizaelmtododeautenticacinporhost, sinoporusuario. XI1Forwardingyes:avisadequesepermite,alosclientesqueseconecten,ejecutaraplicaciones deXWindowytransmitirlainformacingrficasobrelaconexinsegura. MaxAuthTries nn: establece el nmero mximo de intentos de conexin. Es muy importante establecerunvalorrazonableyaqueseevitaranlosataquesbasadosenlafuerzabruta. 6.2.Autenticacindeusuarios 15
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
Existen varios mtodos deautenticacindeusuarios.A continuacin,seexplican dos mtodos mutuamente excluyentes, es decir, el servidor y el cliente deben utilizar el mismo, por lo que automticamentesedescartaelotro. Autenticacinporcontrasea
Lasegundaalternativadeautenticacinutilizaunesquemadeclavepblica/privadageneradaspor elusuario.Tambinseconocecomoclaveasimtricayseaplicaalusuario.Enestecasoserecurre aloselementossiguientes: 1. Una clave pblica, que se copia a todos los servidores a los que el usuario quiere conectarse. 2. Unaclaveprivada quesoloposeeelusuario.Paramayorseguridad,estcifradaconuna frasedepaso. Ambasclavesposeenunacaractersticaimportante:untextocifradoconlaclavepblicasolopuede descifrarsemediantelaclaveprivadacorrespondiente,mientrasqueuntextocifradoconlaclave privadasolopuededescifrarsemediantesuclavepblicaasociada. Cmoseaplicaestapropiedadalprocesodeautenticacindelusuario? 1. Unavezestablecidalaconexin,elservidorgeneraunnmeroaleatorioqueseconocecon elnombrededesafo(challenge),cifradoconlaclavepblicadelusuariomedianteel algoritmoRSAoDSA.Estetextocifradoseenvaalusuario. 2. Elusuariodebedescifrarloconlaclaveprivadacorrespondienteydevolverlarespuesta cifradaalservidor.Deestaforma,demuestraqueelusuarioesquiendiceser. 3. Elservidordescifraeltextoderespuestaconlaclavepblicadelusuario. 4. Elservidorcomparaeltextoresultanteconeltextooriginal.Sicoincidenelservidoracepta alusuariocomocorrectamenteautenticado. 16
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
6.3.Elagentedeautenticacinsshagent Elagentedeautenticacinpermitesimplificarelprocesodeconexinaunamquinaremotaen casodequeseutiliceautenticacinporclavepblica. ElagentesshagentactacomoalmacndelasclavesprivadasylassuministraalclienteSSHcada vezqueestelasnecesita. Enlaprcticaestosignificaquenicamentesetendrqueintroducirlapalabraofrasedepasouna solavez.Estoesmuytilsisenecesitalaconexinavariasmquinasremotasdurantelasesinde trabajo. Laformadelanzarelagente,siseestutilizandoshobash,eslasiguiente: usuariol@pcl:~$eval`sshagent` Agentpid6194 Laordeneval(eval[argl[arg2]...])expandesusargumentossiguiendolasnormasdeexpansinde lashell,separndolosporespacioseintentaejecutarlacadenaqueresultacomosifueraunaorden. Como se ha comentado, el agente acta como almacn de las claves privadas. Inicialmente el depsitodeclavesdelagenteestvaco.ParaaadirnuestraclaveprivadaRSAaestedepsitose utilizaelcomandosshadd:
usuario1@pcl:~$sshadd.ssh/id_rsa Enterpassphrasefor.ssh/id_rsa: Identityadded:.ssh/id_rsa usuario1@pcl:sshusuario1 @servidor1.zubirimanteo.com
17
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
.........................
usuario1@servidor1:~$
Consideracionesdeseguridadsobreelagente En general, en la medida que se incrementa la facilidad de uso de un servicio tiene como consecuenciaunadisminucinensuseguridad.Enestecasoocurrelomismo.Elusodelagentede autenticacin,aunquesimplificaelprocesodeconexin,tienesusinconvenientes. Siporejemplosedejaelterminaldesatendido,cualquieraquepasepordelantepuedeconectarsea unamquinaremotahacindosepasarporelusuarioconectadodesdeeseterminal.Noselepedir queintroduzcafrasedepaso,yaqueelagenteseencargardesuministrarla. Portanto,elusodelagentesoloesrecomendableencasosconcretosquejustifiquensuutilizacin. Sinormalmenteelusuariosolonecesitaabrirdosotressesionesremotas,probablementesepueda prescindirdelagente. Sidetodasformasseutilizaelagente,hayqueasegurarsedequeelterminalquedabloqueadoantes deabandonarelpuestodetrabajo,aunqueseaporpocotiempo.Tampocohayquedejarelagente ejecutndosedeundaparaotro.Espreferiblequecadavezseinicieunanuevasesin.
portante
Ssh-agent es un proceso (demonio) cuya finalidad es ayudar al usuario con las claves. Es decir, el usuario introduce una vez la contrasea y ssh-agent se encarga de transmitirla. Cada vez que se arranca el servidor ssh-agent se crea un archivo en /tmp con el PID del proceso. Es importante limpiar peridicamente este directorio /tmp porque puede ocurrir que coincida el PID del proceso ssh- agent actual con el de hace unos das y dara un error.
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
Windows
InstalaremosunservidorVNCenunservidorLinuxyunclienteVNCenWindows. ComenzaremosinstalandoenlamquinaUbuntucuyaIPes192.168.1.2elpaqueteVncserver.Para elloutilizaremoselgestorSynapticytrasbuscarelpaqueteloinstalaremos.
19
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
20
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
21
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
22
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
Ahora cambiamos al pc Windows e instalamos el cliente VNC que podemos bajar desde http://www.realvnc.com.Comenzamoslainstalacinpulsando siguienteenlasopcionesquenos muestrapordefecto.
IntroducimoslaIPdelservidorylacontraseaquehemosdefinidoenelservidor
23
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
PulsamosOKylogramosasaccederdesdeWindowsalservidorLinux. 8.InstalacinyconfiguracindelservidorSSH(GNU/Linux)conWebmin Para la instalacin del servidor OpenSSH recurriremos a Synaptic. El paquete a instalar es OpenSSHserver
24
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
25
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
26
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
Lasiguientepantallanosindicaquelainstalacinseharealizadocorrectamente.
Acontinuacinvamosalasopcionesdeconfiguracindelmdulo
27
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
En la opcin de menu Webmin>Servidores>Servidor SSH>Autenticacin podemos marcar opcionescomoporejemplopermitirlaautenticacinmediantecontrasea,eltipodealgoritmode clavepblicapermitida,sicontieneonoclavespblicasdeotrosusuarios,... El archivo de claves pblicas autorizadas es ~/.ssh/authorized_keys y, como su path indica se encuentraeneldirectoriohomedelusuario. Espreferiblesiempretenerdesactivadalaopcindearchivos.rhosts.EnrealidadelservicioSSH apareciparasolucionarlosproblemasdeseguridaddeTelnetyloscomandosr(rcp,rsh,etc):
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
DesdeServidorSSH>ControldeAccesosepuedeconcederodenegarelaccesoalosusuarios.
PodemosseleccionaraquellosusuariosalosquevamosapermitirconexionesSSH.
29
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
Iniciodesesinconautenticacinporcontraseadesdelalineadecomandos TraslaconfiguracincomprobaremoselfuncionamientodeunaconexinSSHconautenticacin por contrasea. Realizaremos la conexin a la mquina remota servidor1.zubirimanteo.com accediendocomo usuario1 queeselusuarioalquehemosdadopermisodeaccesoaconexiones remotasSSH. Laprimeravezquerealizamoslaconexindebemosresponderyesalmensajequenospideaceptar laclavepblicadelservidor.Estaseaadealarchivo~/.ssh/known_hosts. root@amaia:~#sshusuario1@servidor1.zubirimanteo.com Theauthenticityofhost'servidor1.zubirimanteo.com(192.168.1.2)'can'tbeestablished. RSAkeyfingerprintiscf:ec:45:b5:f4:7d:43:6d:43:dc:34:01:fb:59:b2:1f. Areyousureyouwanttocontinueconnecting(yes/no)?yes Warning:Permanentlyadded'servidor1.zubirimanteo.com,192.168.1.2'(RSA)tothelistofknown hosts. usuario1@servidor1.zubirimanteo.com'spassword: Linuxservidor12.6.2428generic#1SMPFriJun1812:02:15UTC2010i686 TheprogramsincludedwiththeUbuntusystemarefreesoftware; theexactdistributiontermsforeachprogramaredescribedinthe individualfilesin/usr/share/doc/*/copyright. UbuntucomeswithABSOLUTELYNOWARRANTY,totheextentpermittedby applicablelaw. ToaccessofficialUbuntudocumentation,pleasevisit: http://help.ubuntu.com/ usuario1@servidor1:~$
30
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
Paralas conexionesremotassiguientestieneencuentalaclavepblicaaceptadaenlaprimera conexin,siserecibeunaclavepblicadiferentealadeknown_hostsapareceunmensajedeaviso ylaconexinaborta. root@amaia:~#sshusuario1@servidor1.zubirimanteo.com usuario1@servidor1.zubirimanteo.com'spassword: Linuxservidor12.6.2428generic#1SMPFriJun1812:02:15UTC2010i686 TheprogramsincludedwiththeUbuntusystemarefreesoftware; theexactdistributiontermsforeachprogramaredescribedinthe individualfilesin/usr/share/doc/*/copyright. UbuntucomeswithABSOLUTELYNOWARRANTY,totheextentpermittedby applicablelaw. ToaccessofficialUbuntudocumentation,pleasevisit: http://help.ubuntu.com/ Lastlogin:TueJul2718:34:142010fromamaia.local usuario1@servidor1:~$ Iniciodesesinconautenticacinporclavepblica Vamos a realizar una conexin como usuario1 a la mquina remota servidor1 del dominio zubirimanteo.com.Loharemosdesdelamquinapc1yconelusuariousuario. Comenzaremosgenerandoenlamquinaclientelasclavespblica/privada: usuario@pc1:~$sshkeygentrsa Generatingpublic/privatersakeypair. 31
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
Enterfileinwhichtosavethekey(/home/usuario/.ssh/id_rsa): Enterpassphrase(emptyfornopassphrase): Entersamepassphraseagain: Youridentificationhasbeensavedin/home/usuario/.ssh/id_rsa. Yourpublickeyhasbeensavedin/home/usuario/.ssh/id_rsa.pub. Thekeyfingerprintis: d8:2d:81:16:df:cf:ff:df:29:98:ab:9b:15:bf:36:3cusuario@pc1 Thekey'srandomartimageis: +[RSA2048]+ |.| |+.| |oo.| |.ooo| |.S..o| |.o.| |.+..| |ooE..o| |+o.o.+.=| ++ usuario@pc1:~$ Comprobaremoslageneracindelosarchivos usuario@pc1:~$lsa.ssh/ ...id_rsaid_rsa.pubknown_hosts Acontinuacinpropagaremoslaclavepblica Deberemoscopiarlaclavepblicaaldirectoriohomedelusuariousuario1enelservidor1 usuario@pc1:~$scp./.ssh/id_rsa.pubusuario1@servidor1.zubirimanteo.com:~/.ssh usuario1@servidor1.zubirimanteo.com'spassword: id_rsa.pub100%3930.4KB/s00:00 Establecemosdenuevolaconexinparahacerlosltimoscambios usuario@pc1:~$sshusuario1@servidor1.zubirimanteo.com usuario1@servidor1.zubirimanteo.com'spassword: Linuxservidor12.6.2428generic#1SMPFriJun1812:02:15UTC2010i686 32
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
Nossituamoseneldirectorio .ssh (elpuntodelcomienzonosindicaquesetratadeunacarpeta oculta)delusuariousuario1aadimoselidentificadorRSApblicoalasclavesautorizadas usuario1@servidor1:~$cd.ssh usuario1@servidor1:~/.ssh$catid_rsa.pub>>authorized_keys Visualizamoselresultado usuario1@servidor1:~/.ssh$lsl rwrr1usuario1usuario13932010072813:21authorized_keys rwrr1usuario1usuario13932010072813:15id_rsa.pub
Esimportantemodificarlospermisosdelacarpeta~/.ssh/ydelarchivo~/.ssh/authorized_keys.No sedebenasignarpermisosdelecturanideescrituraparaelgrupodelusuariousuario1,niparael restodelosusuarios.Portantomodificamoslospermisosdelacarpeta.ssh usuario1@servidor1:$chmod700.ssh oloqueesequivalente usuario1@servidor1:$chmodu+rwxgorwx.ssh ytambindelficheroauthorized_keys usuario1@servidor1:~/.ssh$chmodgorwxauthorized_keys oloqueesequivalente usuario1@servidor1:~/.ssh$chmod700authorized_keys ycerramoslaconexin usuario1@servidor1:~/.ssh$exit logout Connectiontoservidor1.zubirimanteo.comclosed.
33
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
9.AccesoremotoconFreeNX
EstaaplicacinpermiteaccederaunequipoGNU/Linuxdeformaremota.UtilizaelprotocoloNX, desarrollado por la empresa italiana NoMachine que permite la ejecucin de sesiones grficas remotas (X11) mediante conexiones que no requieren gran ancho de banda. Esta tecnologa comprime(ZLIB)todoeltrficoenelservidorgrficoXWindowylotransmite,haciendousodel protocoloSSL,atravsdeunaconexinseguraSSH.Esdecir,cifraeltrficoentrelamquina remotaylamquinalocal.AdemsNXactacomocachacelerandoasfuturosaccesosidnticos. EssimilarenfuncionamientoalasherramientasbasadasenVNC,peroutilizandounatecnologa diferenteyaqueVNCnotransmiteinformacincifrada. De FreeeNX existen versiones libres y propietarias con las misma funcionalidad. La nica diferenciaentreellasradicaenlanodisponibilidadseasistentesnidesoporte.
ServidorFreeNXenGNU/Linux
LainstalacindelservidorFreeNXenUbuntuGNU/Linuxrequiereladescargaeinstalacindetres paquetes: clienteFreeNX,elnodo yelservidorFreeNXpropiamente.Ademseneseordenpor problemasdedependencias.
34
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
La descarga de los paquetes libres (NX Free Edition) se puede realizar desde la pagina http://www.momachine.comylaherrmamientagdebiseencargadecomprobarlasdependenciasas comodeinstalarlos. Elprocesoservidorsellamanxserverysupuertodeescuchadeberserelmismoqueseutiliza paraSSH(generalmenteel22). Podemoscomprobarsielservidorseestaejecutando: root@servidor1:/usr/NX/bin#./nxserverstatus NX>900Connectingtoserver... NX>900Warning:Permanentlyadded'127.0.0.1'(RSA)tothelistofknownhosts. NX>110NXServerisrunning. NX>999Bye.
ClienteNXenGNU/Linux DesdelamismaURLdescargamoseinstalamosenlamquinaclienteelclienteNX
35
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
LainstalacindelclienteFreeNXcreaunanuevaentradaenelmen Aplicaciones>Internet >NXCliente for Linux, que a su vez contiene el cliente propiamente, una herramienta de configuracinNXCoonectionWizard,yeladministradordesesionesclienteNX. Cada usuario dispondr de un directorio .nx en el que guarda los datos de su sesin y su configuracinpersonalizada. Laprimeravezqueelusuarioabraunasesinremotairalaopcindemen NXConnection Wizard
le asignamos un nombre a la sesin remota (servidor zubirimanteo), indicamos el nombre del servidorsobreelqueseestablecelasesin(servidor1.zubirimanteo.com)yelpuerto(22).Sila conexinremotasehaceatravsdeinternethayqueindicareltipodeconexinutilizada.
36
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
Acontinuacinhayqueindicareltipodeconexin(Unix),elescritorioutilizadoporelservidor (GNOME), eltamaodelaventanaremota/(Availablearea),ysobretodonoactivarlacasilla Desactivacindelaencriptacindeltrfico,yaqueseestaraperdiendounafuncionalidadmuy importantedeFreeNX. Asignados los parmetros iniciales, se muestra la interfaz de la configuracin avanzada de la conexinremota.Enellasepuedenajustarotrosparmetrosrelacionadosconlared,lagestindela cach,etctera. Ahorapodemosabrirunasesinremotaenelservidorparaellohayqueseguir Aplicaciones >Internet>NXClientforLinux>NXclientforLinux. Nosmuestralaventanadeconexindondeindicaremoselnombreylacontraseadelusuario.Tras pulsarlogin,nosconectamosalservidorservidor1comousuario1desdenuestramquinacliente.
ClienteNXenWindows
DesdeunequipoconWindowssepuedeestablecerunasesinremotacontraunservidorFreeNXen GNU/Linux.ParaellohayquedescargareinstalarelclienteNXparaWindowsdelapginaoficial deNoMachine(www.nomachine.com).
37
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
38
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
39
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
40
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
Tras la descarga e instalacin accedemos a Inicio>NX Client for Windows> NX Connection Wizard e introducimos los parmetros para la posterior conexinalservidorLinux. AlejecutarNXClientforWindows e introducir la contrasea del usuariousuario1seabrelaventanadeconexinalservidor.
Altratarsedelaprimeravez,pideconfirmacinsobrelaautenticidaddelhost,inicialasesiny muestralasiguientepantalla. 41
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
SehainiciadolaconexinynosencontramosejecutandounasesinenelservidorLinux.
Podemos realizar un control de las sesiones mediante Inicio>NX Client for Windows>NX SessionAdministrator
42
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
10.ServidorSSHbajoWindowsServer
ExistenvariasherramientasSSHparaWindowselmercado.Muchaspropietariasyalgunalibre. DentrodelaopcinlibretenemosfreeSSHdyaqueelniveldecomplejidaddeOpenSSHpara WindowsServernolohacerecomendable.Puedeserporejemplounasolucinalosproblemasde seguridaddeTelnet. LasprincipalescaractersticasdefreeSSHdsonlassiguientes: PermitelautilizacindeSSHsobrelasinterfacesderedqueasignemos. Soporta varios mtodos de autenticacin, incluyendo autenticacin integrada en Active Directory(NTLM). Permiteestablecertnelesseguros. Selecionamquinas/redesalasqueselespermiteodeniegalaconexin. Llevaunregistrodetodaslasoperacionesrealizadasypermitecontrolartodaslassesiones abiertas. InstalaremosfreeSSHdconlosvalorespordefecto.
43
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
Antesdeejecutarcomprobaremosqueexistelacuentadelusuariousuario1yladeladministrador. Alaadirlosusuariosquepodrnconectarsealservidorhaydiferentesmtodosdeautorizacin.Si seleccionamos NT authentication, el usuario se podr conectar con su nombre/contrasea de Windows. La opcin pasword stored as SHA1 hash lo que hace es crear un nuevo par login/contraseadeusuariovlidosoloparaestaconexinSSH.
44
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
PorltimoselanzaelservidorfreeSSHd,quequedareflejadoeneliconodelabandejadelsistema.
Ahoraprocedemosalaconexinanuestroservidor,cuyaIPes192.168.1.2desdeunamquina WindowsconelclientePuTTy.Loharemosconelusuariodelsistemausuario1.
Tras indicar los parmetros de conexin, pulsamos Open y nos solicita el usuario del sistema remotoysucontrasea.Altratarsedelaprimeravezquenosconectamosnosaparecelasiguiente 45
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
pantallaparadecidirsiqueremosquealmacenelaclaveRSAdelaconexinsegura.Leindicaremos quesi.
Ahorayapodemostrabajarcomosiestuviramosenlaconsoladelservidor.
ParadesconectarbastaconejecutarlaordenexitycerrarlaventanadePuTTy.
11.ServiciosdeTerminalServer
Porlogeneral,losserviciosdeterminal(TerminalServer)deWindows2008permitenquevarios usuarios puedan iniciar sesin simultneamente en el servidor. Esta funcionalidad de inicio de sesinremotaqueenUnixeranormaldesdesuaparicin(1970),seincorporaWindowsen1991 paralasversionesNTatravsdelosserviciosdeTerminalServer. Sivariosusuariosseconectandeformaremotaalservidorseestpermitiendolaejecucinde aplicaciones y el control sobre los escritorios en dispositivos fsicamente distantes. Y el administradorpuedetenertambindisponiblesvariassesionesremotasyaccederdesdeellasalos 46
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
dispositivoslocalesyalasunidadesdeotrosequiposWindows. DentrodelosserviciosdeterminalseencuentraRemoteDesktop,queproporcionaunainterfaz grficadeusuarioparaelcontrolremotodelosescritoriosdentrodeunaredderealocal.El servidorejecutalaaplicacinysolosetransmiteentreelclienteyelservidorlainformacinque provienedelosdispositivosratn,tecladoymonitor. Lasprincipalescaractersticassonlassiguientes: Permite la administracin grfica de servidores Windows 2008 desde el cliente de los serviciosdeterminal,yasetratedeunequipoWindowsXP,Windows2000oWindows Vista. Permite la instalacin y ejecucin remota de aplicaciones, as como la realizacin de actualizacionesremotas. Laejecucindesesionesremotasdeadministracinnoafectaalrendimientodelsistema. Haydisponiblesdossesionesvirtualesremotasparalaadministracin,ademsdelaconsola realdelservidor. Lacomunicacinentreelclienteyelservidorsellevaacabomedianteelprotocolode escritorio remoto RDP (Remote Desktop Protocol), que es un protocolo de aplicacin (basadoenTCP/IP)queseutilizaparapresentarloselementosdelainterfazgrficaal cliente. EstosserviciosdeterminalestnintegradosydisponiblesdesdelapropiainstalacindeWindows 2008Server.DebenactivarsedesdelaopcinAgregarfunciones(Adminstradordelservidor). ActivacindeRemoteDesktop:servidor Conelcontrolremotodeescritorio(RemoteDesktop)eladministradorpuedeverloqueestn haciendolosclientesascomocontrolarsutecladoyratn. ElserviciodeterminalRemoteDesktopseinstalapordefectoconWindows2008Server,perono quedaactivado.Paraactivarlohayqueaccederalaspropiedadesdelsistema;paraello,espreciso seguiresteitinerario: Inicio>Paneldecontrol>Sistemaymantenimiento>Permitiraccesoremoto VealapestaaAccesoremotoyactivaPermitirlasconexionesdesdeequipos.Comovers,se puedeespecificarlosusuariosalosquesepermitelaconexin.PulsaAceptar. Lasconexionesrealizadasatravsdelosserviciosdeterminalsellevanacabodeformaencriptada, y es posible modificarlos niveles deencriptacin.Aunquepordefectoseutilizaunnivel alto 47
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
(encriptacinde128bits),notodoslosclientessoportanesteniveldeencriptacin.Esimportante, portanto,dejaractivadalaopcinClientecompatible,queproporcionarlaencriptacinmayorque seacapazdesoportarelcliente.Paraellohabrqueseguirestaruta: Inicio>HerramientasAdministrativas>TerminalServices>ConfiguracindeTerminalServer AccedemosdesdeallaRDPTCPy,pulsandoelbotnderecho,seleccionamoslaspropiedades. Adems del nivel de encriptacin, para la conexin se puede establecer a travs de diferentes pestaaselusodelcontrolremotoparaobservarocontrolarremotamentelasesindeusuario,el adaptador de red utilizado para la conexin, el nmero mximo de conexiones, configurar los tiemposdeesperaylareconexinenelcasodequesepierda,etc. El administrador permite controlar a los usuarios y las sesiones as como enviar mensajes a usuarios,conectarseaotrosservidoresenotrosdominiosenlosqueseconfa,etc. ActivacindeRemoteDesktop:cliente
LosserviciosdeTerminalServerparaelclientesepuedenutilizardediferentesformas. ElprocedimientomshabitualdeconexinalservidoresmediantelaconsolaMMC(Microsoft ManagementConsol)otambinejecutandoelprogramamstsc.exe. EnesteltimocasoesprecisoiraInicioypasaraEjecutar.Luego,seintroducelaordenmstsc.exe ysepulsaenter.NosmuestralaventanadondesenospidequeintroduzcamoselnombreoIPdel servidorremoto. Acontinuacin,pulsamoselbotnConectar.Unavezhechalavalidacindelusuario,seiniciala sesinremota,pudiendoejecutarsetodasaquellasaplicacionesyaccionesparalasqueelusuario alumnotengapermisos.Sielusuarioqueseconectatieneprivilegiosdeadministrador,tendrla oportunidadderealizartareasdeadministracindeformaremota. Enelservidorsedeberbloquearautomticamentelasesindeconsolaactivaenesemomento. ConelserviciodeescritorioremototambinesposibleconectarseaequiposWindowsXPoVista. Enestecaso,soloesposibleabrirunasesinlocaloremotayademselserviciodeberestar activadoyqueelusuariotengaunacontrasea.EnPropiedadesdelSistema,activaremoslapestaa Remotoymarcaremoslaopcincorrespondiente.
48
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
Laherramientardesktop
Otraherramientaparaelcontrolremotoesrdesktop,unclienteOpenSourceparalosserviciosde Terminal Server de Windows. La herramienta rdesktop se comunica de forma nativa con el protocolodeescritorioremoto(RDP)paraofrecerunescritorioalosusuariosdeWindows.
Laaplicacintsclient
EnlapestaaGeneralseindicaladireccinIPonombredelamquinaservidorSSHalaquese quiere conectar,el nombre del usuario, su contrasea y dominio Windows.Al pulsar el botn Conectar,seabreunaventana,quemuestraelescritorioremoto,enlaquesedebeintroducirla 49
SERVICIOSENRED
Serviciodeaccesoycontrolremoto
50