SERVICIOSENRED

Serviciodeaccesoycontrolremoto

1. Queselserviciodeaccesoycontrolremoto? 2. ElservicioSSH 3. Conceptosbsicossobreencriptacin 4. CmofuncionaSSH? 5. QuesunclienteSSH? 6. QuesunservidorSSH? 7. InstalacinyconfiguracindeunservidorVNCenLinuxyunclienteenWindows 8. InstalacinyconfiguracindelservidorSSH(GNU/Linux)conWebmin 9. AccesoremotoconFreeNX(instalacindelservidorFreeNXenUbuntuGNU/Linux) 10. ServidorSSHbajoWindowsServer 11. ServiciosdeterminalServer

1. Qu es el servicio de acceso y control remoto?

Los servicios de acceso y control remotos permiten, mediante la utilizacin de determinadas aplicacionesdesoftware,establecerconexionesconequiposadistanciayadministrarlosdemanera centralizadasinnecesidaddeaccederaellos. Enelcasodequesedispongadeequiposquenotienentecladoopantalla,obiendeservidores apilados en un rack o que no estn fsicamente presentes, es muy importante contar con mecanismosquepermitanadministrarlosremotamentedeformacmoda,rpidaysegura. Lgicamenteestafuncin,queparecetileinofensiva,puedetenerconsecuenciasimpredeciblessi no se lleva a cabo con unas condiciones de seguridad bien definidas. Cualquier agujero de seguridadquepresentendichasherramientaspuedepermitirelaccesodetercerosnodeseadosa informacionesconfidenciales. Enlosaos19601970laadministracinremotasehacaconlaordentelnet.Eransistemasbasados enunpotenteservidoryclientesligerossincapacidaddeproceso.Telnetnosecrepensandoenla seguridad,sinoenquefuerafcildeusar. En la actualidad telnet ya no se utiliza debido a los agujeros de seguridad que presenta. Por ejemplo,latransmisindeinformacinentreelclienteyelservidorserealizaentextoplano(sin cifrar)yconcualquiersnifferesposiblecapturartramasydeellasobtenerelloginylacontrasea del usuario. Adems, permite la conexin como root y no guarda informacin acerca de los intentosfallidosdeconexin. Lasherramientasdeadministracinremotamsutilizadashoyendason: 1.Enmodotexto:telnet,rloginySecureShell(SSH). 2.Enmodogrfico:VNCenentornosUnixGNU/Linux,NXylosserviciosdeTerminalServeren Windows. SSH(SecureShell)esunaherramientaquepermiteestablecerconexionessegurasentreequipos conectadosmedianteunaredinseguracomopuedeser,porejemplo,Internet.Hasidodesarrollado paraestablecerconexionesremotasytransmitirdemaneraseguracualquiertipodedatoscomo archivosycontraseas,ascomolaejecucinderdenesdeadministracinenunsistemaremoto, sesionesdelogin,sesionesgrficas,etctera. 1

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

Sinembargo,suaportacinmsimportanteeselsoporteseguroquedaacualquierprotocoloque funcionesobreTCPyquesebasaenlautilizacindemecanismosdecriptografa,deformaque toda transmisindeinformacinestcifradayelmecanismodeautenticacindelusuario sea transparente. Funciona sobre la mayora de sistemas Unix GNU/Linux, si bien hay versiones tambinparaWindowsyMacOS,yelprotocoloqueutilizaesSSH. OpenSSH (www.openssh.com) desarrollalaversinlibremsimportante.Paralainstalacinse requiereelpaqueteOpenSSL(www.openssl.org),quecontienevariasbibliotecasimprescindibles paraelcifradoenlascomunicacionesatravsdeOpenSSHyque,normalmente,seinstalacomo unadependenciadeestaaplicacin.

2.ElservicioSSH
Comosehacomentadoenelapartadoanterior,estaherramientapermiteestablecerconexiones segurasentremquinasremotas.SufuncionamientosedescribeenelRFC4251. LasprincipalescaractersticasdelservicioSSHsonlassiguientes: Utilizaelpuerto22(TCPyUDP),elprotocoloSSHysigueelmodeloclienteservidor. Permitelaautenticacindelosusuariosmediantecontraseaounsistemadeclaves. PermitesuintegracinconotrossistemasdeautenticacincomoKerberos,PGPoPAM. Estimplementadoparalamayoradesistemasoperativosyplataformas.

2.1.-Ventajas de utilizar SSH AlgunasdelasventajasqueofrecelautilizacindeSSH,comoherramientadeadministracin remota,son: servidor en futuras sesiones. (Por cliente, se entiende la mquina, el equipo o el ordenadordesdedondeselanzalaordenSSHcorrespondiente.) El cliente transmite al servidor la informacin necesaria para su autenticacin (usuarioycontrasea)enformatocifrado. Todoslosdatosqueseenvanyserecibendurantelaconexinsetransfierencifrados. Elclientepuedeejecutaraplicacionesgrficasdesdeelshell(intrpretederdenes)de formasegura(como,porejemplo,elreenvoporX11). Ademsdeestasventajas,conlautilizacindeSSHseevitalosiguiente: Lainterceptacindelacomunicacinentredossistemas porpartedeunamquina tercera que copia la informacin que circula entre ellas y puede introducir modificacionesyreenviarlaalamquinadedestino. 2. Lasuplantacindeunhostoenmascaramiento,esdecir,queunamquinafinjaque eslamquinadedestinodeunmensaje,encuyocasoelclientenosedacuentadeque estsiendoengaadoycontinalatransmisin.
1. Despus de la primera conexin, el cliente puede saber que se conectar al mismo

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

Ambosproblemasseevitanconelcifradodepaquetesmedianteclavesquesolosonconocidaspor elsistemalocalyelremoto. ExistendosversionesdiferentesdeprotocoloSSH.Lasiguientetablamuestralascaractersticas msimportantesdeambas.

Versin SSH SSH1 SSH2
Contiene Algoritmos de encriptacin patentados, algunos caducados y algn agujero de seguridad. Dos claves: una pblica y otra generada de forma aleatoria al solicitar el inicio de sesin. 1. La generacin aleatoria de clave consume mucho tiempo de CPU. 2. Tiene un fallo de seguridad que compromete la clave justo despus de ser generada. RSA Diferencias entre las dos versiones de SSH. Versin ms segura.

Claves que utiliza Inconvenientes

Dos claves, que dependen del algoritmo de encriptacin utilizado. Ninguno, de momento.

Algoritmos soportados de encriptacin

RSA y DSA

Laversin2deSSH(enadelante,SSH2)esmssegura,yaquedisponedemecanismosque impidenlacapturadelosdatosquecirculanporlaredmedianteprogramassniffersylarealizacin de ataques del tipo man in the middle (consistentes en la interceptacin por parte de un programadelasclavesqueintercambianelservidoryelclienteconelfindehacersepasarporuno ante el otro y viceversa). Estos mecanismos tambin impiden el descifrado de las claves de codificacin.

3.Conceptosbsicossobreencriptacin
Lacriptografaesunatcnicautilizadaparaconvertiruntextoclaro(esdecir,untextoqueseleey entiende directamente) en otro, llamado criptograma, cuyo contenido informativo es igual al anteriorperosolopuedeserdecodificadoporpersonasautorizadas. Lacriptografasebasaenalgoritmoscadavezmssofisticadosymsdifcilesderomper.La seguridaddeunatcnicadecifradoresideenlalongituddelaclaveutilizada,yportanto,enel costedeCPUquerequiereparareventarla,esdecir,paraobtenerelmensajeoriginaldescifrado. SSHutilizavariosalgoritmosdeencriptacinyautenticacinparaloscasossiguientes: Establecer la conexin con la mquina remota, para lo que emplea algoritmos de encriptacinasimtrica. Realizar la transferencia de datos, en cuyo caso se utilizan algoritmos de encriptacin simtricaquesonmsrpidos. Latcnicadeencriptacinresuelvelosproblemassiguientes: a)Privacidadoconfidencialidad:nadiequenoseasulegtimodestinatariopuedeaccederala informacin. b)Integridad:lainformacinnopuedeseralterada(sinserdetectadoelcambio)eneltrnsitodel 3

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

emisoraldestinatario. c)Autenticacin:tantoelemisorcomoeldestinatariopuedenconfirmarlaidentidaddelaotra partequeparticipaenlacomunicacin. d)Norechazo:elcreadoroemisordelainformacinnopuedenegarqueeselautor.Existen diversostiposdeencriptacin,talcomoseveracontinuacin. 3.1.Encriptacinsimtricaodeclavecompartida Comoindicaelnombre,setratadeunatcnicabasadaenlautilizacindeunaclaveconocidapor elagenteemisoryporelreceptorodestinatario.Lamismaclavequecifraenelorigendescifraen eldestino. Esmuyeficienteparaelcifradodegrandesvolmenesdeinformacin,yaquelosalgoritmos utilizadossonmuyrpidos,aunquedebetenermsde40bitsparaqueseaunaclavefuerte.La robustezdelaclavesemideporsutamao. Sinembargo,tieneelinconvenientedequetantoelemisorcomoelreceptorhandeconocerla clave,locualimplicaqueestadebeviajarporlared.

ElusuarioAyelusuarioBconocenlaclaveK.Elmensajeoriginal,medianteunalgoritmode encriptacinsimtricoylaclaveK,generaelmensajeK,queestransmitidoalusuarioBquien, trasaplicarlamismaclaveyelalgoritmoinverso,obtieneelmensajeoriginal.

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

EntrelosalgoritmosdecifradosimtricomsutilizadossehallanlosdelafamiliaDESeIDEA. El algoritmo 3DES (Estndar de Encriptacin de Datos) fue creado en 1978 con estas caractersticas: RealizauntriplecifradosobreunaclaveDESdelongitud56bits. Loutilizaprincipalmentelabancaparalagestinyusodetarjetasdecrdito. Ha sidoreventadoennumerosaspruebasdecriptoanlisis,porloquesehaquedado obsoleto. ElalgoritmoIDEA(AlgoritmoInternacionaldeEncriptacindeDatos),poseelascaractersticas siguientes: Trabajaconclavesde128bitsyseutilizaparaelcifradodelcorreoelectrnico(PGP). Essencillodeprogramaryrpido. Demomento,nohasidoroto.

3.2.Encriptacinasimtricaodeclavepblica Lastcnicasdecifradoasimtricosebasanenelusodedosclaves:unapblicayotraprivada. Laclavepblicacifraylaprivadadescifra. Segnestatcnicacadausuariotienedosclaves:laprivadasololaconoceeldueoesdecir,no seenvaporlared,mientrasquelapblicalaconocenlosusuariosenotrasmquinas.Estas claves se generan al mismo tiempo y dan lugar a pares biunvocos, de tal forma que la combinacinpblicaprivadaesnica. Elalgoritmoutilizadoessencillo,peroaltenerhasta1.024bits,elcostedecomputacinesmuy elevado. La legislacin de EE.UU. impone el lmite de 512 bits para la exportacin de software criptogrfico.Deesaforma,suspotentesequiposdeInteligenciapuedendescifrarlosmensajesa basedefuerzabruta. Lautilizacindeestatcnicatienesusprosysuscontras: Ventaja:laclaveprivadanosetransmite.Bastaconquecadausuariotengasuclavedoble pblicaprivada. Desventajas: a)Estatcnicanoutilizaalgoritmoseficientes,yaquenosonrpidosalahoradecifrary descifrar. b) No es fcil disponer deuna garanta de autenticidad de las claves pblicas: quin garantiza que la clave pblica de un usuario sea realmente suya? De ah que se hayan 5

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

desarrolladocertificadosdigitales. Latcnicadeencriptacinasimtricagarantizalaconfidencialidaddelascomunicaciones, ya que nadie que no conozca la clave privada del usuario B puede obtener el mensaje original de A. Solo el destinatario legtimo B podr leer el mensaje. Adems, tambin protege su autenticidad, pues basta con hacer unusodiferente de las claves pblicas y privadasdelosusuariosimplicadosparaasegurarsedequingenerelmensaje. Segnestatcnica,elusuarioAposeedosclaves,unapblicayotraprivada(quesolo conocel).SesuponequeelusuarioAquieretransmitirunmensajeotextosoloalusuario B.ElusuarioAconocelaclavepblicadeBymedianteunalgoritmodeencriptacin asimtricogenerauntextocifradoquetransmite.ElusuarioB,utilizandosuclaveprivaday elalgoritmoinverso,reproduceeltextonativo.

Confidencialidaddelacriptografaasimtrica. ElalgoritmodebegarantizarquenadiequenoconozcaclaveprivadadelusuarioBpuedaobtener el texto o mensaje original. De este modo, se garantiza la confidencialidad, ya que solo el destinatariolegtimo(enesteejemplo,elusuarioB)podrleerelmensaje.

EnelsiguienteejemploelusuarioAcifraelmensajeconsuclaveprivadaobteniendoelmensajeo 6

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

textocifradoqueestransmitidoalusuarioBquien,usandolaclavepblicadelusuarioA,obtieneel texto original. Dado que esa clave es pblica, cualquiera puede obtener el mensaje, pero esto garantizaalusuarioBquelanicapersonaquepudohaberlogeneradoeselusuarioA,yaque solamentelconocela:laveprivadaconquefuecifrado.

Autenticidaddelacriptografaasimtrica Algoritmosdeclavepblica LosalgoritmosdeclavepblicamsconocidossonRSAyDSA. LasprincipalescaractersticasdeRSAson: Eselalgoritmomsutilizadoenelcifradodeclavepblica. Puedeutilizarsetantoparaencriptarcomoparafirmardocumentos. Con512bitssueleserinseguroycon1.024,moderadamenteseguro. Puedeservulnerableantemquinaspotentes. PorloquerespectaaDSA(AlgoritmodeFirmaDigital),secaracterizaporlosiguiente:

1. 2. 3.

Puedeutilizarsetantoparaencriptarcomoparafirmardocumentos. Lafirmaesreversible;laencriptacin,no. PoseeunmayorgradodeseguridadqueRSAyaqueutilizamsparmetros.

Firmadigital Los algoritmos de clave pblica requieren mucho tiempo para cifrar documentos largos, los protocolosdefirmadigitaltrabajansobreunresumen,obtenidoconfuncioneshash.Deestaforma, enlugardefirmareldocumento,sefirmaelresumenobtenido. Lafirmadigitaltienecomoobjetivosautenticaralusuarioemisorycomprobarlaintegridaddel 7

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

mensaje.

4.CmofuncionaSSH?
Lasclavesdeunacorrectaconexinremotasonlassiguientes:

Notransmitirlascontraseasentextoplanoporlared. Procesodeautenticacincongarantas. Ejecucinseguradelasrdenesremotas,comosonlastransferenciasdearchivos.

ElservicioSSHgarantizatodosestospuntosyfuncionasegnelprocesosiguiente:
1. 2.

3. 4.

5.

6. 7. 8.

LamquinaclienteabreunaconexinTCPsobreelpuerto22delservidor. LamquinaclienteyelservidorseponendeacuerdoenlaversindeSSHquevana utilizar.Enestemomentosedeterminaelalgoritmodecifrado(simtrico)autilizarpara latransferenciadedatos. Elservidortienedosclaves(pblicayprivada).Elservidorenvasuclavepblicaal cliente. Elclienterecibelaclavepblicaylacomparaconlaquetienealmacenadaparaverificar siesautntica.Laprimeravez(comonodisponedeestaclavepblica),SSHpidequeel usuariolaconfirme.Enesteenvosepodraproduciruncambioysustituirlaporotra.Se tratadesupuntomsdbil.Dehecho,setratadeuntipodeataquebastantecomn conocidocomomaninthemiddle.Enlasocasionessiguientes,cuandoelclientereciba laclavepblicadelservidor,lacompararconlaqueyatienealmacenada.Sepueden prevenirataquesmaninthemiddlecontraSSHenunaintranetfcilmente.Bastacon publicarunlistadoconlasclavesdelosservidoresdelaintranet,paraquelosusuarios puedanverificarlasantesdeaceptarlas. Elclientegeneraunaclavedesesinaleatoriaycreaunmensajequecontienelaclave aleatoriageneradayelalgoritmoseleccionado,todoelloencriptadohaciendousodela clavepblicadelservidor.Elclienteenvaestepaquetecifradoalservidor. Paraelrestodelasesinremotaseutilizaelalgoritmodecifradosimtricoseleccionado yclavedesesinaleatoria. Llegadosaestepuntoseautenticaelusuarioyaqupuedenusarsevariosmecanismos. Porltimoseinicialasesindeusuario.

El DNI electrnico, adems de identificar al usuario ante terceros, permite la firma electrnica.EsexpedidoporlaDireccinGeneraldelaPolica,queeselnicoorganismo autorizadoparaemitirloscertificadosdigitalesparaelDNIelectrnico. LautilizacindelDNIeesvlidaparatodotipodetramitacintelemtica:solicitaruna beca,presentarlaDeclaracindelaRentaoimpuestos,accederalosdatosdelaSeguridad Social o a informacin personal en bases de datos pblicas, realizar transacciones con 8

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

empresas,etctera. Comosepuedededucir,unadelascaractersticasmsimportantesdeSSHeslaseguridadque ofreceenlaconexin,yaqueenelmomentodeestablecerselaconexin,antesdequeelusuariose autentique,yasehacreadouncanalcifradoseguroporelcualcirculartodalainformacin,y todoeltrficogeneradoenlasesindeusuarioviajarencriptado.

4.1.QuesuntnelSSH?
Ensumayora,losprotocolosqueseempleanenlascomunicacionesestnbasadosendiseosde hacecasi30aos,cuandolaseguridadenredesnoeraunproblema.Comoyasehacomentado, Telnet, FTP, POP3 son protocolos muy comunes pero que descuidan la seguridad y confidencialidaddelosdatosqueenvan.Dequsirveprotegerlosservidores,utilizarunabuena polticadecontraseasyactualizarlasversionesdelasaplicacionesservidoras,siluegocuandoun usuariodePOP3,porejemplo,quiereverucorreoelectrnicodesdesucentrodeestudios,envasu usuarioycontraseaentextoplano(sinencriptar)porlared? Paraevitarlo,haydosposiblessoluciones: Crearoutilizarprotocolosseguros. Modificarlosprotocolosinsegurosdeformaquesecomportencomoprotocolosseguros. Deestassoluciones,lasegundaesmuchomsviable,yaqueaprovechagranpartedeosservidores yclientesexistentesenelmercado.Elobjetivoserconvertirlosprotocolosclsicosenprotocolos seguros.Acontinuacin,veremosqutienequeverelservicioSSHconello. Elprocedimientoconsisteencrearuntnelporelqueviajenlosdatosdemanerasegura.Enlos extremosdedichotnelseestnejecutandoserviciosqueutilizanprotocolosnoseguros,como POP3oFTP.SSHescapazdeasegurarlacomunicacinmediantelacriptografayhaciendousode latcnicadelreenvodepuertos(PortForwarding).SSHtomalosdatosqueelclienteenvaenun extremodeltnelylosreenvaporelcanalsegurocreadoapartirdedichotnel,haciaelotro extremodondeserecogenlosdatosquesonreenviadosalservidor.

PortFordwarding

SSH
Conexinsegura

PortFordwarding

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

Cliente

Creacin de un tnel SSH

Servidor

Elreenvodepuertospuedeserinteresanteparalossiguientespropsitos:

ParaaccederaserviciosTCPinternosdeunaLANcondireccionesprivadas. ParanoenviarlaclaveentextoplanodeFTP,Telnet,Messenger,POP3,IMAPoSMTP. Paraatravesaruncortafuegos(Firewall)dondesoloestpermitidoSSH.

Desdelalineadecomandospodemoscrearlomediante: sshLpuertolocal:servidor:puertoservidor[usuario@]servidor porejemplopodemosrealizaruntnelparaaccederdeformaseguraauncorreoqueutilizaSMTP. sslL10443:localhost:443usuario@smtp.gmail.com

5.QuesunclienteSSH?
ElclienteSSHeslaherramientadesoftwarequepermitealusuario, desdeunamquinaremota, solicitarelestablecimientodeunaconexinseguraconelservidoSSH. LaconexinSSHsepuedellevaracabomedianteherramientasgrficasobiendesdeunaconsola, enmododelneadecomandos. Por ejemplo, la herramienta Webmin ofrece la posibilidad de establecer conexiones SSH. Para utilizarelclienteSSHdeWebminsielnavegadorempleadoesFirefoxylaspruebassehacenconla distribucinUbuntuGNU/Linux,hayquetenerinstaladoelcomplementoparaJavaconsole(JRE). Enlapantallainicial,siseseleccionalacategoraOtrosy,acontinuacinConexinSSH,seabrir unaventanadeconexin. Esposiblequemuestreunmensajedeseguridadrelacionadoconelcertificadodiciendoqueloha emitidounafuentequenoesdeconfianza.Bastarconcontestarquesiconfa. AntesdeabrirlaconexinsepuedenmodificaralgunosparmetrosdelaconexinParaello,habr queiraConfiguracindemdulo. 10

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

ElprocesoodemonioqueseejecutaenelclienteesSSHyseencuentraeneldirectorio/usr/bin.

Modotexto:ssh
Sielaccesoalservidorsehacedesdeunaterminaldetexto,lasintaxiseslasiguiente: ssh[ppuerto][usuario@]host usuarioesellogindeconexindelusuarioyhost,laIPdelamquinaservidorSSHosunombresi setieneconfiguradounservidorDNS.

Modogrfico:PuTTY
Existen diferentes opciones grficas, pueden utilizarse las herramienta FreeNX, VNCViewr, Filezilla,elclientePuTTY... Realizaremos la conexin al servidor SSH instalado en una mquina Ubuntu (servidor1.zubirimanteo.com),desdeunclienteWindowsXPutilizandoelprogramaPuTTY.

Laconfiguracinbsicaquedebemosrealizarparalaconexinesindicarelnombredeldominioo laIPdelservidor.EltipodeconexinqueutilizapordefectoesSSHyelpuertoel22. 11

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

TraspulsarOpeneintroducirelusuarioycontrasearealizamoslaconexin.

5.1.Transferenciaseguradearchivos ParalatransferenciadearchivosenGNU/Linuxexistendiversasopciones. Laordenscp Permiterealizartransferenciassimplesdesdelalneadecomandos.Funcionacomoelcomandocp queseutilizaparacopiarenlocal,perodeformaremotay,adiferenciaelrcp,deformasegura. Conestaordenpuedenhacersecopiassegurasdearchivos,conconexinsegurayencriptada,entre distintasmquinas,ascomodirectorioscompletosconelcarcterasterisco(*). SiguelosmismosesquemasdecomprobacinqueSSH.Sufuncionamientodependerelamanera enquecadausuariohayaconfiguradoSSH;esdecir,sidisponedeclavepropiaonoysilaclave tienefrasedepasoono.

12

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

Sintaxisscp

Descripcin

$scpnombre_usuario@mquina_origen:archivoorigen nombre_usuario@mquina_destino:archivo_destino scparchivo_localnombre_usuario@maquina_remota:archivo_copia scpnombre_usuario@maquina_remota:archivo_remotoarchivo_ copialocal scp/directorio/*nombreusuario @nombre_maquina:/directoriodestino/

Copia el archivo_origen desde la mquina_ origen al archivo_destinoenlamquina_destino. Copiaelarchivo_localalamquinaremota. Copiaarchivo_remotoalamquinalocal. Copiadirectoriolocalalamquinaremota.

Ejemplo
alumnol@pcll:~$scparchivoalumno@pcl2:/home

Laordensftp IntentaemularlaformadeusodeunclienteFTPordinarioparaabrirunasesinsegura;interactiva deestetipo. Lasintaxiseslasiguiente: alumnol@pcll:~$sftpnombre_usuario@nombre_maquina Unavezestablecidalaconexin,puedeutilizarseunaseriedecomandosespecficosenFTP.No obstante,soloestdisponibleenOpenSSH2.5yversionessuperiores. alumnol@pcll$sftpmaquina_remota sftp>help Esteltimocomandopermitevisualizarlalistaderdenesftpdisponibles.Enestaconexinse asumequeelusuarioalumno1seconectacomoalumnolenlamquinaremotay,porlotanto, dichousuariodebeexistirenella.

6.QuesunservidorSSH?
13

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

ElservidorSSHfacilitaelestablecimientodeconexionesremotasquepermitenlatransferencia seguradecualquiertipodedatos:archivos,contraseas,ejecucindeordenesdeadministracinen unsistemaremoto,sesionesdelogin,sesionesgrficas,etc. UnavezhasidodescritalafuncionalidadbsicadeSSHengeneralapartirdeestepuntosevaa tomarcomoherramientabaseOpenSSH,queeslaimplementacinlibremsutilizadadelservicio SSH.LascaractersticasmsimportantesdeOpenSSHson: 1. Proyectodecdigoabierto,disponibleparasudescargadeinternet. 2. Tiene licencia libre que permite su utilizacin para cualquier propsito, incluido ek comercial. Puede consultarse el enlace http://www.openbsb.org/cgi bin/cvsweb/scr/usr.bin/ssh/LICENCE. 3. EscompatibleconlosprotocolosSSH1ySSH2 4. EstadisponibleparaplataformasGNU/LinuxyWindows,AscomoUnix,Mac,Solaris, AIXyotras. 5. Reenvodepuertos.ConsisteenelenvodeconexionesdeTCP/IPaunamquinaremota poruncanalcifradomedianteelmapeadodeunpuertolocalenelclienteenunpuerto remotodelservidor. 6. Reenvoporagente.Consisteenqueelagente(deautenticacin)delclientepuedecontener lasclavesdeautenticacindeRSAoDSA.EnestecasoOpenSSHenvalaconexinal agentedeautenticacinpormediodecualquierconexin.Deestaformanoesnecesario guardar las claves de autenticacin de RSA o DSA en ninguna mquina de la red. (exceptuandolamquinadelusuario). 7. SoporteparaclienteyservidordeSFTPenlosprotocolosSSH1ySSH2.Apartirdela versin2.5.0,OpenSSHincluyesoportecompletoparaSFTP.Laordenqueseusaparael clienteessftp. 8. Compresindedatos.OpenSSHcomprimelosdatosantesdelcifrado,locualmejoralos resultadosenlosenlacesconredeslentas.

6.1.Archivos de configuracin del servidor SSH

LosarchivosdeconfiguracindeOpenSSHestneneldirectorio /etc/ssh. Losmsimportantes son:

14

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

Archivo
sshd_config

Descripcin
Describe la configuracin del servidor SSH. Permite modificar el puerto de escucha, la versin del protocolo, as como el lugar donde se encuentra la clave privada de la mquina y si esta ha sido generada con RSA o DSA. Si se permite la autenticacin de usuarios mediante clave pblica, hay que activar la opcin PubkeyAuthentication e indicar dnde estn guardadas (opcin AuthorizedKeysFile; por lo general se encuentran en ~/.ssh/ authorized_keys). Describe la configuracin del cliente SSH. Es posible que un mismo cliente tenga opciones de conexin diferentes en funcin de la mquina destino. Esto se indica mediante diferentes secciones Host. Clave RSA privada de la mquina Clave RSA pblica de la mquina. Claves pblicas de otras mquinas. Clave DSA privada de la mquina. Clave DSA pblica de la mquina.

ssh_config

ssh_host_rsa_key ssh_host_rsa_key.pub known_hosts ssh_host_dsa_key ssh_host_rsa_key.pub

Algunas directivas, especialmente interesantes incluidas en el archivo de configuracin sshd_config: PermitRootLoginno:indicaqueelusuarioadministradorrootnopuedeconectarsealamquina remotacomotal. RSAAuthenticationyes:indicaqueestpermitidalaautenticacinporclaveRSA. PubkeyAuthenticationyes:informadequeestpermitidalaautenticacinporclavepblica. RhostsAuthenticationno:indicaquenosepermiteelmtododeautenticacinporrhost,esdecir, nosehabilitalaposibilidaddegenerarunarchivo.rhosteneldirectoriohomedelusuarioenla mquinaremota.Enestearchivoseespecificanusuariosymquinasdesdelasquesepuedeacceder alamquinaremotasincontrasea. HostbasedAuthenticationno: informadequenoseutilizaelmtododeautenticacinporhost, sinoporusuario. XI1Forwardingyes:avisadequesepermite,alosclientesqueseconecten,ejecutaraplicaciones deXWindowytransmitirlainformacingrficasobrelaconexinsegura. MaxAuthTries nn: establece el nmero mximo de intentos de conexin. Es muy importante establecerunvalorrazonableyaqueseevitaranlosataquesbasadosenlafuerzabruta. 6.2.Autenticacindeusuarios 15

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

Existen varios mtodos deautenticacindeusuarios.A continuacin,seexplican dos mtodos mutuamente excluyentes, es decir, el servidor y el cliente deben utilizar el mismo, por lo que automticamentesedescartaelotro. Autenticacinporcontrasea

SSHpermiteautenticaraunusuarioutilizandosucontrasea.Paraello,cadavezqueelusuario quieraestablecerunaconexin,selepideunacontraseaqueseenvaalservidor.Estecomprueba queelusuarioexisteyquelaclaveintroducidaescorrecta.Lavalidacinutilizadaenelservidorse basarenelarchivo/etc/shadow,elprocedimientotpicoparalossistemasUnixobasadosenl. Estemtodo,aunquetieneelinconvenientederequeriralusuariosucontraseacadavezquequiera establecerunasesin,porlomenosnorealizaelenvodelloginylacontraseaentextoplano. Autenticacinporclavepblica

Lasegundaalternativadeautenticacinutilizaunesquemadeclavepblica/privadageneradaspor elusuario.Tambinseconocecomoclaveasimtricayseaplicaalusuario.Enestecasoserecurre aloselementossiguientes: 1. Una clave pblica, que se copia a todos los servidores a los que el usuario quiere conectarse. 2. Unaclaveprivada quesoloposeeelusuario.Paramayorseguridad,estcifradaconuna frasedepaso. Ambasclavesposeenunacaractersticaimportante:untextocifradoconlaclavepblicasolopuede descifrarsemediantelaclaveprivadacorrespondiente,mientrasqueuntextocifradoconlaclave privadasolopuededescifrarsemediantesuclavepblicaasociada. Cmoseaplicaestapropiedadalprocesodeautenticacindelusuario? 1. Unavezestablecidalaconexin,elservidorgeneraunnmeroaleatorioqueseconocecon elnombrededesafo(challenge),cifradoconlaclavepblicadelusuariomedianteel algoritmoRSAoDSA.Estetextocifradoseenvaalusuario. 2. Elusuariodebedescifrarloconlaclaveprivadacorrespondienteydevolverlarespuesta cifradaalservidor.Deestaforma,demuestraqueelusuarioesquiendiceser. 3. Elservidordescifraeltextoderespuestaconlaclavepblicadelusuario. 4. Elservidorcomparaeltextoresultanteconeltextooriginal.Sicoincidenelservidoracepta alusuariocomocorrectamenteautenticado. 16

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

Todoelprocesoestransparenteparaelusuario,quiensolotendrqueteclearlafrasedepaso cuandoelprogramalapida.Adems,sepuedeutilizarunagentedeautenticacinparaevitartener queteclearlafrasedepasoencadaconexin.

6.3.Elagentedeautenticacinsshagent Elagentedeautenticacinpermitesimplificarelprocesodeconexinaunamquinaremotaen casodequeseutiliceautenticacinporclavepblica. ElagentesshagentactacomoalmacndelasclavesprivadasylassuministraalclienteSSHcada vezqueestelasnecesita. Enlaprcticaestosignificaquenicamentesetendrqueintroducirlapalabraofrasedepasouna solavez.Estoesmuytilsisenecesitalaconexinavariasmquinasremotasdurantelasesinde trabajo. Laformadelanzarelagente,siseestutilizandoshobash,eslasiguiente: usuariol@pcl:~$eval`sshagent` Agentpid6194 Laordeneval(eval[argl[arg2]...])expandesusargumentossiguiendolasnormasdeexpansinde lashell,separndolosporespacioseintentaejecutarlacadenaqueresultacomosifueraunaorden. Como se ha comentado, el agente acta como almacn de las claves privadas. Inicialmente el depsitodeclavesdelagenteestvaco.ParaaadirnuestraclaveprivadaRSAaestedepsitose utilizaelcomandosshadd:
usuario1@pcl:~$sshadd.ssh/id_rsa Enterpassphrasefor.ssh/id_rsa: Identityadded:.ssh/id_rsa usuario1@pcl:sshusuario1 @servidor1.zubirimanteo.com

17

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

.........................
usuario1@servidor1:~$

Apartirdeestemomento,elagentedisponeenmemoriadelaclaveprivadadescifradayyanopide nifrasedepasonicontrasea. TodoslosclientesdeSSHquesearranquendeahoraenadelantesolicitarnestaclavealagente,sin queseanecesarianuestraintervencin,siemprequelashellsealamisma(shobash).

Consideracionesdeseguridadsobreelagente En general, en la medida que se incrementa la facilidad de uso de un servicio tiene como consecuenciaunadisminucinensuseguridad.Enestecasoocurrelomismo.Elusodelagentede autenticacin,aunquesimplificaelprocesodeconexin,tienesusinconvenientes. Siporejemplosedejaelterminaldesatendido,cualquieraquepasepordelantepuedeconectarsea unamquinaremotahacindosepasarporelusuarioconectadodesdeeseterminal.Noselepedir queintroduzcafrasedepaso,yaqueelagenteseencargardesuministrarla. Portanto,elusodelagentesoloesrecomendableencasosconcretosquejustifiquensuutilizacin. Sinormalmenteelusuariosolonecesitaabrirdosotressesionesremotas,probablementesepueda prescindirdelagente. Sidetodasformasseutilizaelagente,hayqueasegurarsedequeelterminalquedabloqueadoantes deabandonarelpuestodetrabajo,aunqueseaporpocotiempo.Tampocohayquedejarelagente ejecutndosedeundaparaotro.Espreferiblequecadavezseinicieunanuevasesin.
portante
Ssh-agent es un proceso (demonio) cuya finalidad es ayudar al usuario con las claves. Es decir, el usuario introduce una vez la contrasea y ssh-agent se encarga de transmitirla. Cada vez que se arranca el servidor ssh-agent se crea un archivo en /tmp con el PID del proceso. Es importante limpiar peridicamente este directorio /tmp porque puede ocurrir que coincida el PID del proceso ssh- agent actual con el de hace unos das y dara un error.

7.Instalacin y configuracin de un servidor VNC en Linux y un cliente en

18

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

Windows
InstalaremosunservidorVNCenunservidorLinuxyunclienteVNCenWindows. ComenzaremosinstalandoenlamquinaUbuntucuyaIPes192.168.1.2elpaqueteVncserver.Para elloutilizaremoselgestorSynapticytrasbuscarelpaqueteloinstalaremos.

19

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

20

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

21

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

Tambinpodramoshacerlodesdelalineadecomandosmediante #aptgetinstallvnc4server LaconfiguracinlaharemosdesdeelentornogrficoSistema>Preferencia>EscritorioRemoto ActivaremosPermitiraotrosusuariosvermiescritorioyRequerircontrasea.Introduciremosla contrasea queposteriormentesolicitarparalaconexinyparafinalizardesactivaremos Pedir confirmacin.

22

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

Ahora cambiamos al pc Windows e instalamos el cliente VNC que podemos bajar desde http://www.realvnc.com.Comenzamoslainstalacinpulsando siguienteenlasopcionesquenos muestrapordefecto.

SeleccionamosnicamentelaopcinVNCViewer YalfinalizarlainstalacinejecutamoslaaplicacinmedianteInicio>Programas>REALVNC >VNCVIEWR>RunVNCVIEWR

IntroducimoslaIPdelservidorylacontraseaquehemosdefinidoenelservidor

23

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

PulsamosOKylogramosasaccederdesdeWindowsalservidorLinux. 8.InstalacinyconfiguracindelservidorSSH(GNU/Linux)conWebmin Para la instalacin del servidor OpenSSH recurriremos a Synaptic. El paquete a instalar es OpenSSHserver

AccedemosaWebmindesdelaURL https://localhost:10000 .Pararealizarlaconfiguracindel servidornecesitamosinstalarelmduloestndard ssh.wbm.gz quepodemosdescargardesde la pginawww.webmin.com.

24

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

Trsdescargarelmduloloinstalaremosaccediendoa Webmin>ConfiguracindeWebmin >Mdulosdewebmin Localizamoselficherodescargadoypulsamosinstalarmdulo

25

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

26

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

Lasiguientepantallanosindicaquelainstalacinseharealizadocorrectamente.

Acontinuacinvamosalasopcionesdeconfiguracindelmdulo

27

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

En la opcin de menu Webmin>Servidores>Servidor SSH>Autenticacin podemos marcar opcionescomoporejemplopermitirlaautenticacinmediantecontrasea,eltipodealgoritmode clavepblicapermitida,sicontieneonoclavespblicasdeotrosusuarios,... El archivo de claves pblicas autorizadas es ~/.ssh/authorized_keys y, como su path indica se encuentraeneldirectoriohomedelusuario. Espreferiblesiempretenerdesactivadalaopcindearchivos.rhosts.EnrealidadelservicioSSH apareciparasolucionarlosproblemasdeseguridaddeTelnetyloscomandosr(rcp,rsh,etc):

En la opcin de menu Wemin>Servidores>Servidor SSH>En Red se pueden establecer 28

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

distintascaractersticasdered,talescomolasdireccionesIPoequiposalosqueseatender,desde quepuertosehar,siseactivaelreenvodepaquetesTCP,cualsereltiempodedemoraenla conexin,etc.

DesdeServidorSSH>ControldeAccesosepuedeconcederodenegarelaccesoalosusuarios.

PodemosseleccionaraquellosusuariosalosquevamosapermitirconexionesSSH.

29

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

Iniciodesesinconautenticacinporcontraseadesdelalineadecomandos TraslaconfiguracincomprobaremoselfuncionamientodeunaconexinSSHconautenticacin por contrasea. Realizaremos la conexin a la mquina remota servidor1.zubirimanteo.com accediendocomo usuario1 queeselusuarioalquehemosdadopermisodeaccesoaconexiones remotasSSH. Laprimeravezquerealizamoslaconexindebemosresponderyesalmensajequenospideaceptar laclavepblicadelservidor.Estaseaadealarchivo~/.ssh/known_hosts. root@amaia:~#sshusuario1@servidor1.zubirimanteo.com Theauthenticityofhost'servidor1.zubirimanteo.com(192.168.1.2)'can'tbeestablished. RSAkeyfingerprintiscf:ec:45:b5:f4:7d:43:6d:43:dc:34:01:fb:59:b2:1f. Areyousureyouwanttocontinueconnecting(yes/no)?yes Warning:Permanentlyadded'servidor1.zubirimanteo.com,192.168.1.2'(RSA)tothelistofknown hosts. usuario1@servidor1.zubirimanteo.com'spassword: Linuxservidor12.6.2428generic#1SMPFriJun1812:02:15UTC2010i686 TheprogramsincludedwiththeUbuntusystemarefreesoftware; theexactdistributiontermsforeachprogramaredescribedinthe individualfilesin/usr/share/doc/*/copyright. UbuntucomeswithABSOLUTELYNOWARRANTY,totheextentpermittedby applicablelaw. ToaccessofficialUbuntudocumentation,pleasevisit: http://help.ubuntu.com/ usuario1@servidor1:~$

30

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

Laconexinsecierratecleandoexit usuario1@servidor1:~$exit logout Connectiontoservidor1.zubirimanteo.comclosed. root@amaia:~#

Paralas conexionesremotassiguientestieneencuentalaclavepblicaaceptadaenlaprimera conexin,siserecibeunaclavepblicadiferentealadeknown_hostsapareceunmensajedeaviso ylaconexinaborta. root@amaia:~#sshusuario1@servidor1.zubirimanteo.com usuario1@servidor1.zubirimanteo.com'spassword: Linuxservidor12.6.2428generic#1SMPFriJun1812:02:15UTC2010i686 TheprogramsincludedwiththeUbuntusystemarefreesoftware; theexactdistributiontermsforeachprogramaredescribedinthe individualfilesin/usr/share/doc/*/copyright. UbuntucomeswithABSOLUTELYNOWARRANTY,totheextentpermittedby applicablelaw. ToaccessofficialUbuntudocumentation,pleasevisit: http://help.ubuntu.com/ Lastlogin:TueJul2718:34:142010fromamaia.local usuario1@servidor1:~$ Iniciodesesinconautenticacinporclavepblica Vamos a realizar una conexin como usuario1 a la mquina remota servidor1 del dominio zubirimanteo.com.Loharemosdesdelamquinapc1yconelusuariousuario. Comenzaremosgenerandoenlamquinaclientelasclavespblica/privada: usuario@pc1:~$sshkeygentrsa Generatingpublic/privatersakeypair. 31

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

Enterfileinwhichtosavethekey(/home/usuario/.ssh/id_rsa): Enterpassphrase(emptyfornopassphrase): Entersamepassphraseagain: Youridentificationhasbeensavedin/home/usuario/.ssh/id_rsa. Yourpublickeyhasbeensavedin/home/usuario/.ssh/id_rsa.pub. Thekeyfingerprintis: d8:2d:81:16:df:cf:ff:df:29:98:ab:9b:15:bf:36:3cusuario@pc1 Thekey'srandomartimageis: +[RSA2048]+ |.| |+.| |oo.| |.ooo| |.S..o| |.o.| |.+..| |ooE..o| |+o.o.+.=| ++ usuario@pc1:~$ Comprobaremoslageneracindelosarchivos usuario@pc1:~$lsa.ssh/ ...id_rsaid_rsa.pubknown_hosts Acontinuacinpropagaremoslaclavepblica Deberemoscopiarlaclavepblicaaldirectoriohomedelusuariousuario1enelservidor1 usuario@pc1:~$scp./.ssh/id_rsa.pubusuario1@servidor1.zubirimanteo.com:~/.ssh usuario1@servidor1.zubirimanteo.com'spassword: id_rsa.pub100%3930.4KB/s00:00 Establecemosdenuevolaconexinparahacerlosltimoscambios usuario@pc1:~$sshusuario1@servidor1.zubirimanteo.com usuario1@servidor1.zubirimanteo.com'spassword: Linuxservidor12.6.2428generic#1SMPFriJun1812:02:15UTC2010i686 32

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

Nossituamoseneldirectorio .ssh (elpuntodelcomienzonosindicaquesetratadeunacarpeta oculta)delusuariousuario1aadimoselidentificadorRSApblicoalasclavesautorizadas usuario1@servidor1:~$cd.ssh usuario1@servidor1:~/.ssh$catid_rsa.pub>>authorized_keys Visualizamoselresultado usuario1@servidor1:~/.ssh$lsl rwrr1usuario1usuario13932010072813:21authorized_keys rwrr1usuario1usuario13932010072813:15id_rsa.pub

Esimportantemodificarlospermisosdelacarpeta~/.ssh/ydelarchivo~/.ssh/authorized_keys.No sedebenasignarpermisosdelecturanideescrituraparaelgrupodelusuariousuario1,niparael restodelosusuarios.Portantomodificamoslospermisosdelacarpeta.ssh usuario1@servidor1:$chmod700.ssh oloqueesequivalente usuario1@servidor1:$chmodu+rwxgorwx.ssh ytambindelficheroauthorized_keys usuario1@servidor1:~/.ssh$chmodgorwxauthorized_keys oloqueesequivalente usuario1@servidor1:~/.ssh$chmod700authorized_keys ycerramoslaconexin usuario1@servidor1:~/.ssh$exit logout Connectiontoservidor1.zubirimanteo.comclosed.

33

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

Conexin Ahoraelusuariousuarioiniciaunasesinenelservidorservidor1conousuariousuario1 usuario@pc1:~$sshusuario1@servidor1.zubirimanteo.com Solicitaunallavedepasoytrasintroducirlaseestablecelaconexin. Silaautenticacinfalla,elservidorintentarhacerunaautenticacinporcontraseayselapedir alcliente,

9.AccesoremotoconFreeNX
EstaaplicacinpermiteaccederaunequipoGNU/Linuxdeformaremota.UtilizaelprotocoloNX, desarrollado por la empresa italiana NoMachine que permite la ejecucin de sesiones grficas remotas (X11) mediante conexiones que no requieren gran ancho de banda. Esta tecnologa comprime(ZLIB)todoeltrficoenelservidorgrficoXWindowylotransmite,haciendousodel protocoloSSL,atravsdeunaconexinseguraSSH.Esdecir,cifraeltrficoentrelamquina remotaylamquinalocal.AdemsNXactacomocachacelerandoasfuturosaccesosidnticos. EssimilarenfuncionamientoalasherramientasbasadasenVNC,peroutilizandounatecnologa diferenteyaqueVNCnotransmiteinformacincifrada. De FreeeNX existen versiones libres y propietarias con las misma funcionalidad. La nica diferenciaentreellasradicaenlanodisponibilidadseasistentesnidesoporte.

ServidorFreeNXenGNU/Linux
LainstalacindelservidorFreeNXenUbuntuGNU/Linuxrequiereladescargaeinstalacindetres paquetes: clienteFreeNX,elnodo yelservidorFreeNXpropiamente.Ademseneseordenpor problemasdedependencias.

34

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

La descarga de los paquetes libres (NX Free Edition) se puede realizar desde la pagina http://www.momachine.comylaherrmamientagdebiseencargadecomprobarlasdependenciasas comodeinstalarlos. Elprocesoservidorsellamanxserverysupuertodeescuchadeberserelmismoqueseutiliza paraSSH(generalmenteel22). Podemoscomprobarsielservidorseestaejecutando: root@servidor1:/usr/NX/bin#./nxserverstatus NX>900Connectingtoserver... NX>900Warning:Permanentlyadded'127.0.0.1'(RSA)tothelistofknownhosts. NX>110NXServerisrunning. NX>999Bye.

ClienteNXenGNU/Linux DesdelamismaURLdescargamoseinstalamosenlamquinaclienteelclienteNX

35

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

LainstalacindelclienteFreeNXcreaunanuevaentradaenelmen Aplicaciones>Internet >NXCliente for Linux, que a su vez contiene el cliente propiamente, una herramienta de configuracinNXCoonectionWizard,yeladministradordesesionesclienteNX. Cada usuario dispondr de un directorio .nx en el que guarda los datos de su sesin y su configuracinpersonalizada. Laprimeravezqueelusuarioabraunasesinremotairalaopcindemen NXConnection Wizard

le asignamos un nombre a la sesin remota (servidor zubirimanteo), indicamos el nombre del servidorsobreelqueseestablecelasesin(servidor1.zubirimanteo.com)yelpuerto(22).Sila conexinremotasehaceatravsdeinternethayqueindicareltipodeconexinutilizada.

36

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

Acontinuacinhayqueindicareltipodeconexin(Unix),elescritorioutilizadoporelservidor (GNOME), eltamaodelaventanaremota/(Availablearea),ysobretodonoactivarlacasilla Desactivacindelaencriptacindeltrfico,yaqueseestaraperdiendounafuncionalidadmuy importantedeFreeNX. Asignados los parmetros iniciales, se muestra la interfaz de la configuracin avanzada de la conexinremota.Enellasepuedenajustarotrosparmetrosrelacionadosconlared,lagestindela cach,etctera. Ahorapodemosabrirunasesinremotaenelservidorparaellohayqueseguir Aplicaciones >Internet>NXClientforLinux>NXclientforLinux. Nosmuestralaventanadeconexindondeindicaremoselnombreylacontraseadelusuario.Tras pulsarlogin,nosconectamosalservidorservidor1comousuario1desdenuestramquinacliente.

ClienteNXenWindows
DesdeunequipoconWindowssepuedeestablecerunasesinremotacontraunservidorFreeNXen GNU/Linux.ParaellohayquedescargareinstalarelclienteNXparaWindowsdelapginaoficial deNoMachine(www.nomachine.com).

37

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

38

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

39

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

40

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

Tras la descarga e instalacin accedemos a Inicio>NX Client for Windows> NX Connection Wizard e introducimos los parmetros para la posterior conexinalservidorLinux. AlejecutarNXClientforWindows e introducir la contrasea del usuariousuario1seabrelaventanadeconexinalservidor.

Altratarsedelaprimeravez,pideconfirmacinsobrelaautenticidaddelhost,inicialasesiny muestralasiguientepantalla. 41

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

SehainiciadolaconexinynosencontramosejecutandounasesinenelservidorLinux.

Podemos realizar un control de las sesiones mediante Inicio>NX Client for Windows>NX SessionAdministrator

42

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

10.ServidorSSHbajoWindowsServer
ExistenvariasherramientasSSHparaWindowselmercado.Muchaspropietariasyalgunalibre. DentrodelaopcinlibretenemosfreeSSHdyaqueelniveldecomplejidaddeOpenSSHpara WindowsServernolohacerecomendable.Puedeserporejemplounasolucinalosproblemasde seguridaddeTelnet. LasprincipalescaractersticasdefreeSSHdsonlassiguientes: PermitelautilizacindeSSHsobrelasinterfacesderedqueasignemos. Soporta varios mtodos de autenticacin, incluyendo autenticacin integrada en Active Directory(NTLM). Permiteestablecertnelesseguros. Selecionamquinas/redesalasqueselespermiteodeniegalaconexin. Llevaunregistrodetodaslasoperacionesrealizadasypermitecontrolartodaslassesiones abiertas. InstalaremosfreeSSHdconlosvalorespordefecto.

43

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

Antesdeejecutarcomprobaremosqueexistelacuentadelusuariousuario1yladeladministrador. Alaadirlosusuariosquepodrnconectarsealservidorhaydiferentesmtodosdeautorizacin.Si seleccionamos NT authentication, el usuario se podr conectar con su nombre/contrasea de Windows. La opcin pasword stored as SHA1 hash lo que hace es crear un nuevo par login/contraseadeusuariovlidosoloparaestaconexinSSH.

AccedemosalcortafuegosdeWindowsServerparaaadirunanuevaregla.Inicio>Herramientas administrativas>FirewalldeWindows.MedianteestaaccinaadimosunaexcepcinparaSSH enelpuerto22demodoquesepermitanlasconexionesdesdetodoslosmbitos.

44

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

PorltimoselanzaelservidorfreeSSHd,quequedareflejadoeneliconodelabandejadelsistema.

Ahoraprocedemosalaconexinanuestroservidor,cuyaIPes192.168.1.2desdeunamquina WindowsconelclientePuTTy.Loharemosconelusuariodelsistemausuario1.

Tras indicar los parmetros de conexin, pulsamos Open y nos solicita el usuario del sistema remotoysucontrasea.Altratarsedelaprimeravezquenosconectamosnosaparecelasiguiente 45

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

pantallaparadecidirsiqueremosquealmacenelaclaveRSAdelaconexinsegura.Leindicaremos quesi.

Ahorayapodemostrabajarcomosiestuviramosenlaconsoladelservidor.

ParadesconectarbastaconejecutarlaordenexitycerrarlaventanadePuTTy.

11.ServiciosdeTerminalServer
Porlogeneral,losserviciosdeterminal(TerminalServer)deWindows2008permitenquevarios usuarios puedan iniciar sesin simultneamente en el servidor. Esta funcionalidad de inicio de sesinremotaqueenUnixeranormaldesdesuaparicin(1970),seincorporaWindowsen1991 paralasversionesNTatravsdelosserviciosdeTerminalServer. Sivariosusuariosseconectandeformaremotaalservidorseestpermitiendolaejecucinde aplicaciones y el control sobre los escritorios en dispositivos fsicamente distantes. Y el administradorpuedetenertambindisponiblesvariassesionesremotasyaccederdesdeellasalos 46

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

dispositivoslocalesyalasunidadesdeotrosequiposWindows. DentrodelosserviciosdeterminalseencuentraRemoteDesktop,queproporcionaunainterfaz grficadeusuarioparaelcontrolremotodelosescritoriosdentrodeunaredderealocal.El servidorejecutalaaplicacinysolosetransmiteentreelclienteyelservidorlainformacinque provienedelosdispositivosratn,tecladoymonitor. Lasprincipalescaractersticassonlassiguientes: Permite la administracin grfica de servidores Windows 2008 desde el cliente de los serviciosdeterminal,yasetratedeunequipoWindowsXP,Windows2000oWindows Vista. Permite la instalacin y ejecucin remota de aplicaciones, as como la realizacin de actualizacionesremotas. Laejecucindesesionesremotasdeadministracinnoafectaalrendimientodelsistema. Haydisponiblesdossesionesvirtualesremotasparalaadministracin,ademsdelaconsola realdelservidor. Lacomunicacinentreelclienteyelservidorsellevaacabomedianteelprotocolode escritorio remoto RDP (Remote Desktop Protocol), que es un protocolo de aplicacin (basadoenTCP/IP)queseutilizaparapresentarloselementosdelainterfazgrficaal cliente. EstosserviciosdeterminalestnintegradosydisponiblesdesdelapropiainstalacindeWindows 2008Server.DebenactivarsedesdelaopcinAgregarfunciones(Adminstradordelservidor). ActivacindeRemoteDesktop:servidor Conelcontrolremotodeescritorio(RemoteDesktop)eladministradorpuedeverloqueestn haciendolosclientesascomocontrolarsutecladoyratn. ElserviciodeterminalRemoteDesktopseinstalapordefectoconWindows2008Server,perono quedaactivado.Paraactivarlohayqueaccederalaspropiedadesdelsistema;paraello,espreciso seguiresteitinerario: Inicio>Paneldecontrol>Sistemaymantenimiento>Permitiraccesoremoto VealapestaaAccesoremotoyactivaPermitirlasconexionesdesdeequipos.Comovers,se puedeespecificarlosusuariosalosquesepermitelaconexin.PulsaAceptar. Lasconexionesrealizadasatravsdelosserviciosdeterminalsellevanacabodeformaencriptada, y es posible modificarlos niveles deencriptacin.Aunquepordefectoseutilizaunnivel alto 47

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

(encriptacinde128bits),notodoslosclientessoportanesteniveldeencriptacin.Esimportante, portanto,dejaractivadalaopcinClientecompatible,queproporcionarlaencriptacinmayorque seacapazdesoportarelcliente.Paraellohabrqueseguirestaruta: Inicio>HerramientasAdministrativas>TerminalServices>ConfiguracindeTerminalServer AccedemosdesdeallaRDPTCPy,pulsandoelbotnderecho,seleccionamoslaspropiedades. Adems del nivel de encriptacin, para la conexin se puede establecer a travs de diferentes pestaaselusodelcontrolremotoparaobservarocontrolarremotamentelasesindeusuario,el adaptador de red utilizado para la conexin, el nmero mximo de conexiones, configurar los tiemposdeesperaylareconexinenelcasodequesepierda,etc. El administrador permite controlar a los usuarios y las sesiones as como enviar mensajes a usuarios,conectarseaotrosservidoresenotrosdominiosenlosqueseconfa,etc. ActivacindeRemoteDesktop:cliente

LosserviciosdeTerminalServerparaelclientesepuedenutilizardediferentesformas. ElprocedimientomshabitualdeconexinalservidoresmediantelaconsolaMMC(Microsoft ManagementConsol)otambinejecutandoelprogramamstsc.exe. EnesteltimocasoesprecisoiraInicioypasaraEjecutar.Luego,seintroducelaordenmstsc.exe ysepulsaenter.NosmuestralaventanadondesenospidequeintroduzcamoselnombreoIPdel servidorremoto. Acontinuacin,pulsamoselbotnConectar.Unavezhechalavalidacindelusuario,seiniciala sesinremota,pudiendoejecutarsetodasaquellasaplicacionesyaccionesparalasqueelusuario alumnotengapermisos.Sielusuarioqueseconectatieneprivilegiosdeadministrador,tendrla oportunidadderealizartareasdeadministracindeformaremota. Enelservidorsedeberbloquearautomticamentelasesindeconsolaactivaenesemomento. ConelserviciodeescritorioremototambinesposibleconectarseaequiposWindowsXPoVista. Enestecaso,soloesposibleabrirunasesinlocaloremotayademselserviciodeberestar activadoyqueelusuariotengaunacontrasea.EnPropiedadesdelSistema,activaremoslapestaa Remotoymarcaremoslaopcincorrespondiente.

48

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

Laherramientardesktop

Otraherramientaparaelcontrolremotoesrdesktop,unclienteOpenSourceparalosserviciosde Terminal Server de Windows. La herramienta rdesktop se comunica de forma nativa con el protocolodeescritorioremoto(RDP)paraofrecerunescritorioalosusuariosdeWindows.

Laaplicacintsclient

DisponibleparaWindowsyGNU/Linux,actacomointerfazgrficaderdesktop.Elaccesoselleva acabodesdeelmendeUbuntusiguiendoesteitinerario: Aplicaciones>Internet>ClientedeTerminalServer Desdetsclientesposiblellevaracaboconexionesremotasconcualquieradelosprotocolosvistos hastaahora,comoRDP,VNCyXDMCP.Permiteconfigurarlaconexineneltemadetamaode lapantalla,profundidaddecolor,utilizacindelsonidodelequipolocalodelremoto,ejecucin remotadeaplicacioneseincluyeopcionesparamejorarelrendimientodelsistema.

EnlapestaaGeneralseindicaladireccinIPonombredelamquinaservidorSSHalaquese quiere conectar,el nombre del usuario, su contrasea y dominio Windows.Al pulsar el botn Conectar,seabreunaventana,quemuestraelescritorioremoto,enlaquesedebeintroducirla 49

SERVICIOSENRED

Serviciodeaccesoycontrolremoto

contraseadelusuarioparainiciarlasesindeWindows. Siestaconexinseestableceamenudosepuedeguardarlaconfiguracindadapulsandoelbotn Guardarcomo.Segeneraunperfildeconexinalquehabrqueasignarunnombre.Laopcin Conexinrpidapermiterecuperarunperfilpreviamentedefinido. EnlapestaaPantallaseseleccionaeltamaodelaventanaquemostrarelescritorioremotoyla profundidaddecolor. EnRecursoslocalesseindicasielsonidosereproducirenelcliente,enelservidor,obiennose reproducir.Tambinseindicaladisposicindeltecladoutilizadoysisequiereasociardeforma remotaeldiscodurolocal.

50