Apuntes sobre servicios de acceso remoto

Terminal Remoto (SIN ENTIRNO GRÁFICO)

Telnet

Es un servicio muy antiguo en el que el cliente envía en texto plano (sin cifrar) los comandos
que quiere ejecutar en el equipo al que se conectan. Telnet utiliza el puerto 23.

SSH

Es un protocolo que realiza las funciones de Telnet, pero cifrando la información que
intercambian cliente y servidor (es más seguro). SSH utiliza el puerto 22.

Cómo funciona SSH

1. El cliente abre una conexión por el puerto 22 con el servidor y negocia el tipo de cifrado
simétrico que utilizarán más adelante.
2. El servidor envía la clave pública al cliente. El cliente más adelante puede guardar esa clave
pública y comparar con la que le enviará el servidor en próximas conexiones.
3. El cliente envía al servidor la clave simétrica que van a usar los dos durante esa conexión
cifrada con la clave pública del servidor, por lo que solo el servidor podrá descifrarla con su
clave secreta.
4. A partir de aquí, tanto cliente como servidor, cifran y descifran la información con la clave
simétrica.

SERVICIOS DE ESCRITORIO REMOTO (CON ENTORNO GRÁFICO)

Protocolo RDP

Es un protocolo de Microsoft y que utiliza sesiones gráficas independientes del usuario que
está conectado directamente al equipo remoto y a otros usuarios remotos. En los Sistema
Operativos cliente (típicamente Windows 10) sólo se permite una conexión simultánea –en
local o en remoto- pero en los Sistemas Operativos Servidor, se permiten distintas conexiones,
incluso con un mismo usuario, pero pagando las licencias que se vayan a utilizar.

Ventajas e Inconvenientes

Este protocolo no es de código abierto, y por tanto no se puede configurar libremente y hay
que descargarse un cliente compatible con Microsoft, pero utiliza mucho menos ancho de
bandas que otros softwares como VNC.

Protocolo VNC

Es un protocolo de código abierto, lo que permite que se pueda utilizar en implementaciones

distintas y configurarse de distintas maneras, aunque esto puede generar algún tipo de
incompatibilidad entre sí, por lo que es interesante comprobar el servicio antes de utilizarlo.
En este protocolo se comparte la misma sesión, aunque muchos programas que utilizan VNC
permiten un modo de vista remota para que el cliente no pueda tomar el control remoto del
servidor.

Como es un protocolo orientado al envío de píxeles (no de comandos como RPC) su

interpretación requiere menos carga de procesamiento, lo que es especialmente interesante
para dispositivos móviles.

RDS (servicios de escritorio remoto)

Se trata de una estrategia empresarial en la que los empleados/usuarios trabajan con unos
dispositivos bien del propio usuario, bien ofrecidos por la empresa, pero que se conectan a un
servidor donde tienen los recursos necesarios para desarrollar su trabajo.

Junto con RDS, VDI (Infreastructura de escritorio virtual) ofrece una solución similar –y de
hecho, algunas veces se usan indistintamente- aunque a cada usuario se le ofrece un entorno
virtual independiente, en vez de una sesión independiente del mismo Sistema Operativo en el
Servidor.

Ventajas e Inconvenientes

El mantenimiento tanto de los programas como del hardware de la empresa se simplifica.

Facilita que cada empleado trabaje con sus propios dispositivos sin que los administradores
tengan que aprender como trabaja cada uno de ellos.

Facilita la unificación de las versiones de los programas y herramientas que se ofrecen a los
empleados.

Facilita la seguridad tanto física de la información cómo a nivel de parches antivirus, etc…

Potencialmente podría reducir el coste de hardware ya que la empresa no tendría que

proporcionar dispositivos a sus empleados o, en todo caso proporcionarles dispositivos más
simples. En todo caso, hay que contar con el gasto de las licencias del sistema de escritorio
remoto que no son gratuitas.

Redes Privadas Virtuales (VPN)

Una VPN se encarga de dar acceso a un dispositivo desde el exterior de una red local
atravesando una red insegura que suele ser Internet a la red local cifrando la información al
atravesar esa red insegura.

Requerimientos básicos a tener en cuenta

- Autenticación del usuario: el usuario inicial debe proporcionar un mecanismo para

demostrar que es un usuario válido para usar el servicio.
Los métodos más usuales son CHAP o MS-CHAP, donde no se envía la contraseña, pero
no se cifra la información y EAP (Protocolo de autenticación extensible) que cifra ese
mismo mecanismo de autenticación.
- Cifrado de datos: es el mecanismo por el cual se realiza una trasformación del mensaje
original para ocultar la información, que deberá deshacerse el otro extremo para
volver al mensaje original. Generalmente utilizaremos claves simétricas para el cifrado
de la comunicación porque es más rápido y consume menos recurso.
- Administración de direcciones: el servidor que se encargue de recibir las VPN debe
asegurarse de que sus clientes obtengan una IP de la red local que no sea utilizada por
 nadie más. Para ello, puede administrar su propio rango de IPs o puede interactuar
con el servidor DHCP de la red local.

Tipos

- De acceso remoto o nivel 2: el cliente debe marcar para establecer la conexión como
antiguamente se utilizaban las conexiones a través de un módem. Una vez establecida
la VPN, se comporta como si el cliente tuviera una nueva tarjeta de red virtual.
o PPTP

Utiliza una conexión de las que se utilizaban en las conexiones telefónicas, pero le
agrega un nivel de cifrado débil.

Ventajas:

 Consume pocos recursos.

 Esta implementada en la mayoría de los dispositivos.
o L2TP/IPSEC

Añade a PPTP un mecanismo extra de seguridad, a parte de la autenticación, que suele

ser una clave compartida.

Para el cifrado L2TP se asocia a un protocolo de cifrado llamado IPSEC en modo túnel,
que le da una fortaleza mayor que PPTP.
o
- Punto a Punto o nivel 3: en este tipo de VPN, un equipo de la red (normalmente el
router) establece el túnel con el otro extremo de la otra red local de tal manera que
los usuarios finales de ambas redes locales se comunican directamente sin tener que
establecer ninguna conexión y el tráfico entre ellas es cifrado por los dos router
cuando atraviesa internet.

- OVER LAN o cifrado dentro de la red local: también se puede establecer

comunicaciones cifradas dentro de la propia red local, generalmente cuando se
establece una conexión con un servidor al que se le quiere dotar de confidencialidad.
Las soluciones más habituales son el uso de SSL, o SSH o implementando IPSEC.

IPSEC

Es un protocolo de seguridad ampliamente usado tanto en la red local, como en el acceso a

internet que permite múltiples configuraciones.

Modos de funcionamiento

- Modo transporte: el cifrado y la autenticación se realizan entre los extremos finales de

la comunicación. Se cifra el contenido del paquete IP no los campos de las direcciones

- Modo túnel: el envío y la recepción por parte de el emisor y receptor finales se realiza
en texto plano, pero al atravesar internet esos paquetes IP originales, son cifrados y
enviados en nuevos paquetes IP entre los dispositivos que han abierto el túnel en
internet, de tal manera que aunque alguien interceptara esos paquetes, no puede
acceder, ni siquiera al paquete original.