Tema 3

) fr
J Serviciode occesoy controlremoto
O l. ¿Quées el serviciode occeso

y controlremoto?
Losserviciosde occesoy controlremotospermiten,mediontelo utilizociónde determ
nodosoplicocionesde tóft*ot", estobleceiconexionesco.nequiposo distoncioy odmi
En 'e l CD del libr o di s p o n e sd e l nistrorlos de monerocentrolizodosin necesidodde occedero ellos.
documento SMR SFR 03- Histo En el coso de que se dispongode equiposque,no tienenteclodoo pontollo,o bien de
ria.pdfque contieneuno reseño servidoresopilodosen un rock o que no esténfísicomente presenfes, es muy importont
históricodel protocoloSSH y sus contorcon meconismos que permitonodministrorlos remotomente de formo cómodo,rópi
RFCsosociodos.
do y seguro.
Algunosde losconceptos utilizo- Lógicomente estofunción,que poreceútil e inofensivo,puedetenerconsecuencios im
dos estóndefinidosen el gloso-
prédeciblessi no se llevo o .obo con unoscondicionesde seguridodb¡en definidos
en el CD.
rio queencontrorós
J n i c h o sh e r r o m i e n t opsu e d e p e r m i t i re
C u o l q u i e ro g u i e r od e s e g u r i d o dq u e p r e s e n t e d
,g
occesode telcerosno deieodoso informociones confidencioles.

remotose hocíocon lo orden tel-net. Eron
En los oños l9ó0-1970 lo odministroción
sistemosbosodosen un potenteservidory clientesligerossin copocidodde proceso
Telnetno se creó pensondoen lo seguridod,sino en que fuerofócil de usor.
Enlo octuolidodtel-net yo no se utilizodebidoo losoguierosde seguridodque present
Poreiemplo,lo trqnsmisión de informociónentreel clientey el servidorse reolizoen texto
plono (sincifror)y con cuolquiersnifferes posiblecopturortromosy de ellosobtenerel login
y lo controseño del usuorio.'Ademós, permitelo conexióncomo rooty no guordo informo
ción ocercode los intentosfollidosde conexión.
Losherromientos remotomós utilizodoshoy en dío son:
de odministroción
t. En modo texto:telnet,rloginy SecureShell(SSH).
2. En modo grófico:VNC en entornosUnix GNU/L¡nux,NX y los serviciosde Termin
Serveren Windows.
SSH (SecureShell)es uno herromiento que permiteestoblecer conexionessegurosentr
equiposconectodosmedionteuno red insegurqcomo puedeser,por eiemplo,Interne
conexionesremotosy tronsmitir
Ho sido desorrollodoporo estoblecer de monerosegur
cuolquiertipo de dotoscomo orchivosy controseños,osí como lo eiecuciónde órdene
de odminisiroción en un sistemoremoto,sesionesde login, sesionesgróficos,etcétero
Sin emborgo,su oportociónmós importontees el soporteseguroque do o cuolquie
protocoloque funcionesobreTCPy que se boso en lo utilizociónde meconismos de
criptogrofío,de formoque todo tronsmisión de informociónestécifrodoy el meconism
de ouienticoción del usuorioseo tronsporente. Funcionosobre lo moyoríode sistemo
U n i x G N U / L ¡ n u x ,s i b i e n h o y v e r s i o n etso m b i é np o r o W i n d o w sy M o c O S , y e l p r o t o
c o l o q u e u t i l i z oe s S S H .
OpenSSH(vnvnw.openssh.com) desorrollolo versiónl¡bre mós importonte.Poro lo insto
lociónse requiereel poqueteOpenSSL(www.openssl.orgl, qr" contienevoriosbibl¡ot
cos imprescindibles poro el cifrodoen los comunicociones o trovésde OpenSSHy que
d e e s t oo p l i c o c i ó n .
n o r m o l m e n t es ,e i n s t o l oc o m o u n o d e p e n d e n c i o
6l Acrividqdes
x
l . ¿ Q u i é nc r e ól o o r d e nt e l n e t , c u ó n d ol o h i z oy p o r q u é ?
2, ¿Quéson los órdenesr, como lo orden rlogin, rsh, rcp y poro qué sirven?
¿Quélesdiferenciodel servicioSSH?
3. ¿Cómooveriguoríosel puertode escuchodel servicioSSHen GNU/Linux?¿Y
en Windows?
4. Averiguoqué diferenciosbósicosexistenentrelos sistemosde outenticociónKer-
beros,PGPy PAM.
'r
,''
' \I
fr
Serviciode occesoy controlremoto J
55H
2. Elserv¡cio
.I.I I l.
con SSHI'
SSH2no es comPotible
de utilizorSSH
2.1.Ventoios
de odminis-
SSH,como herromiento
de losventoiosque ofrecelo utilizociónde
El clienteSSHse holloinstqlqdo
en lo moyoríode losdistribucio-
nesGNU/Linux.
grofe5.2, Póg Bó).

l¡mósde estosventoios, con lo utilizoción de SSHseevitolo siguiente:
lo interceptoción de lq comunicqción entredos sistemqspor portede uno móquino
q-uá.ir.rr" Lnr" modif¡co-
y'pu"h" introducir
brceroqu" .opiolá ¡nforro.iai - -l^ l^.+i^^ "ilo,
.¡o."t y'r""nuiorloo lo móquinode destino'
de un hosto enmoscoromiento, es decir,,qygunomóquinofinioque
lo suplontoción
es lo móquino ¿" ¿árti.o¿" un mensoie, en tuyá.9oto tl¡"nteno sedo cuentode
'-'^-r^ "l
q u g e s "t o s l g n o o e ngqflquu y
engoñodo continúo
y L U- lo tronsmisión'
"-'
. r. r_ _t_-.^- ^..^ .^l^ .^^
medionteclovesque solo son
s problemosse áviton con el cifrqdo de poquetes
idos por el sistemolocol y el remoto'
Lo siguientetoblo muestrolos coroc-
n dos versionesdiferentesde protocolossH.
de ombos'
os mósimPortontes
Alqoritmos de encriptoción olgunos

potentodos' Versiónmósseguro'
;;"d;;;¡"s y olgúnoguierode seguridod'
Doscloves,que dependendel olgoritmo
Doscloves:uno públicoy otro.generodode formo utilizodo'
de encriptoción
que utilizo oleotorioql solicitorel iniciode sesión'
'l
. Logenerociónoleotoriode cloveconsumemucho
N i nguno,de mome nt o.
rtes ,. +i#:filf,:'r" sesuridod lo
quecompromete
cloveiustodespuésde sergenerodo'
RSAy DSA(verepígrofe3'2, póg' 8l )'
de encriptoción
soportodos RSA(verepígrofe3'2' póg' B1)
entrelos dosversionesde SSH'

3.1. Díferencios
JJn (en
deSSH
rsión¿2 oe odelonte, SSH2) esmósseguro'
'L' ve yq q'",91:ff*:T:::il:?:
)rslon [er| (ruttrL¡rrrs'
\''1-"
' i"'tá¿ t"d¡oni"
po¡ progromos sniffers
ilpiJen lo .optrto de losdotosquecirculSn
reolizoción '
'o:Hde;;q*;Jlió;L'o,n (cf!fltt:,'::.il]:.:^:?::?g:
in the'middte'
t iiL:'-'ervido11"li : I:
i:",; ;?üffi JJr"''I el,olroyviceverso)'
;:f¡n: de hocerse 1;;:
i; : *'^'.:: Estosmeconismos tomblen
el posorpor uno o.nte
n'"iá"rlifrodo de losclovesde cod¡f¡coción.
f3 Serviciode occesoy controlremoto
O fócil
O 20 min Dificultod:
Duroción:
Conexiónseguroq un servidor
SSHGNU/Linux
o trovés del
Cür" (llovel.Númerocod¡f¡codo Obietivo: estobleceruno conexión seguro con,el servidor del oulo
y e n cri pt odoen un or c h i v oq u e aSH y creor un occesod¡reJtoo un directoriodel servidor.
ór;d"i;
riru" poto encriPtorY desencriP- previo-
Utilidodes:en el ordenodordel profesordebe estorinstolodoy configurodo
tor los textostronsmitidosy reci-
b ¡d o s.
menteel servidorSSH.
Desorrollo:
Noutilus. Novegodor de qrchi-
vos oficioldel entornode escrito- l. ClienteUbuntuGNU/Linux
ri o GNO M E . SSH'
Ve o lugores,seleccionoCon ecforconel servidory, en 77pode servicio,morco
Romper un sistemo. Conseguir
Aiustolos porómetrossiguientes:
un método próctico Poro desci-
fror lo clove de un sistemocriP- o Servidor:lP o nombredel equipo del profesor(servidorSSH).
togrófico. o puerfo:númeroutilizodoporo lo conexióncon el servidor(por defecto22).
o Corpeto;nombredel directoriool q,uese vo o occederen el servidor.El direc-
torio debe estorpreviomente creodo p9r el odministrodor y si se,quiere.que
los olumnotpu"ion deior en'é1,
orchivos deberó tenerpermisos de escrituro.
En el eiemplo se ho .t"bdo /olumnos (root:root,rwxr-xrwx).
Poro descorgorel clientePuTTY
dirígeteo lo pógino web \nPr// o Nombre de usuorio;usuoriocon el que se vo o estoblecerlo conexión.
* * i " . ch i o r ' k . gr e e n e n d . o r g . Activo lo cosilloMorcodor y osigno el nom-
u k f - s g t o t h om / p u t t y / d o w n bre Coso-procfico-l .
lood.html. Xpo de senricio: SSfl
_-l Pulsoen Conecfar.Lo Figuro3.1 muestrolo
gervidor: Frrlosloors4 ventonqde conexión.
|nfoma€ión opional:
Brerto: lzz------_l -.-l lntrodrJzca fa cofirageña

Carpeta: t/alrmttos i i .
fpntraseña: il
PuTWes un clientede SSH Poro l{ünbl€degsuario: f;lrm*l-----__l
O Olvidarcsrtraseñairrnc<f aammE
W indowsd e 3 2 b i ts
p l o to for m os f;l Alldirnarcador
i-r korür ¡a contrss.llg ha¡ts ¿allr & l¡ s€6ión
mu y se nc illode ut iliz o rY ti e n e üornbr€ del ma!f,adoc r_,!Écdür Pa¡as¡emFE
licencioMlT.
L o d o c um ent oc ióno fi c i o l d e l
I lol¡ryu¿aI I
f6c.''*'-l f c'P'.l
proyectose hollo disponibleen
Fig.3.1. Conexióncon el servidor. Fig.3.2.Controseño.
httó:/ /rhe.eo rth. Ii / -sgtotho m /
puttyl0.58/htmldoc/.
$ carnetapersonal
!J rscrltorio
l' Harcadores
! equipo
- soportede 83,06¡8
- Soportede ¿t0,0GiB
- Soportede 3O,06iB
I neo
$ conectarcon el servidor...
!l erncararchivos...
recientes
@ Documentos
Fig.3.3. Menú Lugores. /olumnosen el equipo 192.1ó8.100'254.

Fig.3.4. Accesodirectool directorio (Continúo)
iir¡*'Élwt*t$-
n
J
t p
C o s op r ó c t i c o
Si es lo primerovez que se estobleceesto conexión, Aunquese ho seleccionodo el tipo de servicioSSH -y

m o s t r o r óu n m e n s o i eq u e i n d i c o q u e s e d e s c o n o c el o se utilizoel protocolocorrespondiente- observoque, en
, d e n t i d o dd e l e q u i p or e m o t o .H o z c l i c e n l n i c i o rs e s i ó n el enlocedirecto,oporecesffp.
de todos formos.
2. Noutilus
A c o n t i n u o c i ó ns,e t e p e d i r ól o c o n t r o s e ñ d oe l u s u o r i o ,
q u e p o d r ó sm o n t e n edr e u n o s e s i ó no o t r o ,t o l c o m o s e T o m b i é ns e p u e d ec o m p r o b o rl o c o n e x i ó nm e d i o n t ee l
v e e n l o F i g u r o3 . 2 . n o v e g o d o rd e o r c h i v o sN o u t i l u s ,m u c h om ó s c ó m o d o
de utiiizorporo otrostoreosbósicos,como por eiemplo
P o r oc o m p r o b o rq u e t o d o h o i d o b i e n ,o c c e d ed e n u e - l o c o p i o d e o r c h i v o sd e s d eo h o c i oe l s e r v i d o r .
v o o L u g o r e sE. n ' e l m e n úo P o r e c e r óe l n o m b r ed e l o
c o n e x i ó nt,o l c o m o m u e s t r ol o F i g u r o3 . 3 . A b r e N o u t i l u s .E n l o b o r r o d e d i r e c c i o n e s( U R Ld) e b e
estoroctivodolo opción editobleLugor.Despuésescri-
A continuoción, vuelveo Lugores,seleccionoMorcodo- Como el usuo-
be ssh://nombre-usuorio@lP-servidor.
r e sy c o m p r u e b oq u e e x i s t ee l m o r c o d o rl l o m o d oC o s o
rio olumnoI occedeol directorio/olumno.sen el equipo
proctico-1 . s e r v i d o rh, o b r ó q u e i n d i c o r l od e
lo formo siguiente:ssh://olum
fchvo Editar Yer !r Marcadores Solapas AyuOa no I @servidor/olumnos.
ü v * O q ó r
¡-
[,:
r}{ 3. ClienteWindows
A¡TAS Subir Recargar CarpetaPersonal Equipo Buscar
Poro estoblecerlo conexióncon
tL._' " Fñ-,r?lryi;v,9
Lugar: e l s e r v i d o rS S HG N U / L ¡ n u xd e s -
L¡/gEres v a d e W i n d o w s , s e u t i l i z o r óc o m o
j a umnol
clienteSSH lo herromientogrófi-
I €scritorio
'
ProyectoA.txt co PuTTY.
- S r s t e mdae a r . . . I
Eiecutopufty.exe.Lo interfozque
il Red
- Soporte de 83...
m u e s t r ol o F i g u r o 3 . ó P e r m i t e
- Soportede 40... c o n f i g u r oer l c l i e n t eS S H .E n e s t e
- soportede 30.., coso,se estoblecelo conexióno
-l; Soported... o :l l o m ó q u i n o 1 9 2 . 1ó 8 . 1 0 0 . 2 5 4
I elemento c o m o e l u s u o r i oo l u m n o .
r c 3.5" Accesodirectool directorio/olumnosdesdeNouti/us.
The servar'shostkey is nol cached h the regishy.You

harreno g,raantee thal the se¡ver is tlt compder ¡nu
Basicoptions sess{rn
fotyouPuTTY thlnk lt is.
The server's¡m2 key finge0rintb:
youwanttoconnect
thedestination
SpeciÍy to s*r-rsa20,18ee:51:d7:33:12:5d:P:98:6c:29:9sfa:71:[Xl:d2:eB
HostNameforlP a#ressl Pst lf rq¡ t¡r¡stthis hod, tritYes to add the key to
-'---l-__*_-il PuTTYs cache and cdry on comting.
lf yo,¡ want to cmy on connecting iust once, withortr
i"t'-.i-*t**t*i----_ a*lu the key to the cache,hit No.
Connection
$pe: lf yo.¡ & not kust ttis lrcst, hit Cancel to abandon the
Onudn OgsH OSed¿l
OHaw OTelnet cr¡rretion.
-*
Load, save ar delete a stoled session
f r,__l t -l f tr*""t"] f Ay"d.
I
S_avgdSession
' ---*-i
Closewindowon exit:
O ¡lw¿ys O Never O Or*ym chan exit
Fiq. 3.ó. Acceso ol servidor SSH GNU/¿inux desde un cliente Windows XP.
77
fr
J Servicio
de occeso
y controlremoto
a 3. Conceptos
bósicossobreencriptoción
Lo criptogrofíoes uno técnicoutilizodoporo convertirun textocloro (esdecir,un texto
que se lee y entiendedirectomente) en otro, llomodocriptogromo,cuyo contenidoin-
Clove privodo. En criptogrofío tormotivoes iguol ol onteriorpero solo puedeser decod¡iico-dopor personosoutorizo
osimétrico,uno de los dos cloves dos.
generodosporo cifrqr lq outenti- Lo criptogrofío,
se b,osoen olgoritmoscodo vez mós sofisticodos
y mós difícilesde rom-
coción de usuorios.Es lo clove
per. Lo seguridodde uno técnicode cifrodoresideen lo longitudde lo clove utilizodo
que no se tronsmitepor lo red.
Solo es conocidopor el usuqrio.
y,portonto, en el costede CPU que requiereporo <reventori-orr,decir,poro obten"i
el mensoieoriginoldescifrodo. "s
Clove público. En criptogrofío
osimétrico,uno de los dos cloves S S H u t i l i z o v q r i o s o l g o r i t m o sd e e n c r i p t o c i ó ny o u t e n t i c o c i ó np o r o l o s c o s o s s i -
generodospqro cifror lo outenti- guientes:
coción de usuorios.Es lo clqve . Estoblecerlo conexióncon lo móquinoremoto,poro lo que
que se tronsmitepor lo red. empleo olgoritmosde
encriptociónosimétrico.
Criptoonólisis.Portede lo cripto-
. Reolizorlo tronsferencio
de dofos,en cuyo coso se utilizonolgoritmosde encripto
grofío que se ocupo de descifror
los mensqiesen clqve. ción simétricoque son mós rópidos.
Lo técnicode encriptociónresuelvelos problemossiguientes:
ql Privocidodo confidenciolidod:
nodie que no seo su legítimodestinotoriopuedeocce-
der o lo informoción.
bl Integridoii lo informociónno puede ser olterodo (sinser detectodoel combio)en el
trónsitodel emisorol destinotorio.
c) Autenticqción:tonto el emisorcomo el destinotoriopuedenconfirmorlo identidodde
lo otro porteque porticipoen lo comunicoción.
dl No rechqzo:el creodor o emisorde lo informociónno puede negor que es el outor.
Existendiversostiposde encriptoción,
tol como se veró o continuoción.
3. | . Encriptociónsimétr¡coo de clovecompqrtidq
Como indico el nombre,se troto de uno técnicobosodoen lo utilizociónde uno clove
conocidopor.elo.genteemisory por el receptoro destinotorio.
Lo mismocloveqr".ifto
en el origendescifroen el destino.
Esmuy eficientePoroel cifrodode grondes,votúmenesde informoción,yo que los olgo-
ritmosutilizodosson muy rópidos,ounquedebe tenermósde 40 bitspóto que seo uno
clovefuerte.Lo robustezde'loclovese'midepor su tomoño.
Sin emborgo,tiene el inconveniente de que tonto el emisorcomo el receptorhon de
'
conocerlo clove,lo cuol implicoque esto'debevioior por lo red.
Acfividqdes
5. Averiguoqué otros olgoritmosde encriptociónsimétricose utilizonoctuol-

mente.
ó. ¿Enqué consisteel cifrodo en bloques?¿Qué técnicocriptogróficqlo u¡ilizo?
7. Buscoinformociónsobrelo móquinoEnigmo.
¿Quiénlo invenfóy cuóndo?
8. ¿Quésignificonlos siglosPGP?¿Poroqué sirve?
9. ¿Cuóles el protocolode comunicoción
seguromós importonte?
10. ¿Quéte sugiereel término<seguridod>?
¿cómo lo definiríos?
Serviciode occesoy controlremoto d-*
Criptogrofíosimétricq
Mensoie-H
Mensoie
UsuErioA
ffi
w
love K
w
Clove K
Criptogrofío simétrico.
h Figuro3.7 el usuorioA y el usuorioB conocenlo clove K. El mensojeoriginol,

Jionteun olgoritmode encriptociónsimétricoy lo clove K, genero el mensoieK, que
tronsmitidool usuorioB quien, tros oplicor lo mismoclove y el olgoritmoinverso, El obietivo de lq criptogrofío es
el mensoieoriginol. buscorsistemosde encriptoción
en los que:
losolgoritmos
de cifrodosimétrico
mósutilizodos
se hollonlosde lo fomilioDESe
I. El precio poro <<reventor>>lo
encriptociónseo móscoro que
oritmo 3DES(Doto EncryptionStondord,Estóndorde Encriptociónde Dotos)fue el volor de lq informoción.
en 1978 con estoscorocterísticos:
2. El tiempo necesorioporo <<re-
Fue desorrollodopor IBM y odoptodo por los oficinosgubernomentoles
de EE.UU. ventor> lo encriptoción seo
poro lo protecciónde dotos desde 1977. mós lorgo que el tiempo de
Reolizoun triplecifrodosobreunocloveDESde longitud5ó bits. vido de lo informoción.
[o utilizoprincipolmentelo boncoporo lo gestióny usode torietosde crédito.

Ho sido<<reventodo> en numerosospruebosde criptoonólisis,porlo que se ho que-
dodo obsoleto.
olgoritmoIDEA(lnternotionolDoto EncryptionAlgorithm,Algoritmo lnternocionolde
criptociónde Dotos),estoblecidoen 1992, poseelos corocterísticos
siguientes:
Esde origeneuropeo,creodoen lo Escuelo PolitécnicoFederolde Zúrich.
Troboiocon clovesde l28 bitsy se utilizoporo el cifrododel correoelectrónico
ÍPGP).
de progromor
Essencillo y rópido.
De momento, no ho sidoroto.
3.2. Encriptoción
osimétrico
o de clovepúblico
técnicosde cifrodo osimétricose boson en el uso de dos cloves:uno públicoy otro
o. Lo clove público cifro y lo.privodo descifro.
ún esto técnicocodo usuoriotiene dos cloves:lo privodo solo lo conoce el dueño
decir, no se envío por lo red-, mientrosque lo público lo conocenlos usuoriosen
móquinos.Estosclovesse generonol mismotiempoy don lugor o poresbiunívo-
, de tol formo que lo combinociónpúblico-privodo es único.
olgoritmoutilizodoes sencillo,pero ol tener hosto 1.O24 b¡ts,el costede computo-
es muy elevodo.
,7
,-)
J de occeso
Servicio remoto
y control
de softwore
lo exportoción
n e E E . U U i.m p o n ee l l í m ¡ t ed e 5 . | 2 b i t s p o r g
L o l e g i s l o c i ód
E criptoqrófico.De eso formo, ,u, potentesequipos
de inteligencio pueden los
descifror
menso-ies o bosede fuerzobruto'
nosn o funciónresumenhoce
rencio o unofuncióno método Lo utilizociónde estotécnicotienesusProsy suscontros:
'c cenerorclovesque rePresen- su clove
. ventoio:lo cloveprivodo no se tronsmite.Bostocon que codo usuoriotengo
oe monerounívocoo un docu-
nro registro,orchivo,etcétero. doble-público-Privodo'
. Desventoios:
o/ Estotécnicono utilizoolgoritmoseficientes, yo que no son rópidoso lo horo de cifror

y descifror.
b ) N o e s f ó c i ld i s p o n e d . re u n o , g o r o n t ídoe o u t e n t i c i d odde l o s c l o v e s p u b l i c o s¿:q u i é n
De ohí que se
qorontizoq;;'l; crove púbricode un usuorioseo reolmentesuyo?
Xoyondesorrollodocertificodos digitoles'
de los comunicocio-
Lo técnicode encriptociónosimétricogorontizolo confidenciolidod
usuorioB puede obtenerel
nes, yo que nodie que ¡g .o,.á=.o É-.iáv,e prñodo del
podró leer el mensoie'Ademós,
mensoieorigtnolJ";. solo J"rt¡noJoiioI"gitimoB
"l uso diferentede los cloves
tombiénprot"gl;;;;ú.¡J"J, fr"r bosroion ho."r un
públicosy priuádosde lo, urrlr[r'*pr¡.odor poro osegurorsede quién generó el
mensoie.
uno públicoy otro privodo
Segúnestotécnico,el usuorioA poseedos cloves(Fig'3'B),
u n m e n s o i eo t e x t o
( q r " "r o t o . o n . l " á r l . S e s u p o n eq u e e r u s u o r i oA , q u i e r e n s m i t i r
t r o
B y m e d i o n t eu n o l g o r i t m od e
s o l oo l u s u o r i oB . E l u s u o r i oA . á n t . " l o c l o v ep ú b l i c od e
cifrodt que,trons*it". El usuorio B, utilizondo
encriptociónosimétricogen"r;;;i."to
notivo'
,u .táu" privodo y el olg"oritmoinverso,reproduceel texto
Criptogrofíoqs¡métricqI
rtf-]
t t _ |
lll :-
Confidenciolidqd I
ilt
l l l
t l
t -
inseguro
Conolde comunicqción
-+ r*;:H,'"i:.
l:l^ ':--
n o ti v o [l=---------
lll
-l lp:,':T:,j;
encri ptoci
1
1\ I
usuorioA I \ UsuorioB
ñ
U suori oA
@r U suori oB
U suori oC /^l
t
lft¡d
\
Cl ovepúbl i co c r o v ep r i v o d o O."
ü;;;i;;
deB deB
Directoriode clqvesPúblicos
osimétrico.
de lo criptogrofío
Fig.3.8. Confidenciolidod
u s u o r i oB
r u e n o d i eq u e n o c o n o z c ol o c l o v ep r i v o d od e l
E l o l g o r i t m od e b e g o r o n t i z o q
se gorontizo lo confidencioli-
puedoobtenerel táxtoo ,',"nrolá,.iigir"i.,-D;estemodo,
e'i usuorioB) podró leer el
dod, yo que solo el desrinotoriá-l;g''i;" (en esteeiempio,
mensoie.
\ /
?\.
Serviciode occesoy controlremoto \,
con su cloveprivodo{F¡g.9.?),
eiemploel usuorioA cifroel mensoie
el siguiente
en¡eñdo o texto
el mensoie cifrodoque es tronsmitido usondolo
ol usuorioB q,uien,
públicodel usuorioA, obtieneel textooriginol.Dodo que eso clovees pÚblico, lP spoofing.Técnicoque permite
uiero puede obtenerel mensoie,pero esto goro ntizo ol usuorioB que lo Único qus un otqcontesuplontelo iden-
él conocelo
o que pudohoberlogenerodoes el usuorióA, yo que solomente ti dod de unq móquino con lo
conquefuecifrodo.
>rivodo que se tiene confionzo (poro
l o cuol se combi osu dir ecciónlP
Criptogrofío ll
os¡métricq por lo del otoconte)y tiene osí
occesoo otros sistemosporo los
'rl- que no estobooutorizodo.
Aurenricid"
-[
lll
-
inseguro
Conolde comunicoción
Texto Texto
notivo notivo
UsuorioB É
ffip f ,t
.\
"Fl
:t
Clovepúblico 6r¡
deA
Directoriode clovespúblicos
3.9. Autenticídodde lo críptogrofíoosimétrico.
de clovepúblico
de clovepúblicomósconocidos
olgoritmos sonRSAy DSA.ElolgoritmoRSA(Rivest-
rirÁd"lron) fuecreodoen 1977.Susprincipoles sonlossiguientes:
corocterísticos
¡ Loscreodoresde los olgoritmos
o Esel olgoritmomós utilizodoen el cifrodode clove público.
públicoofrecieron,en
de clove,|00
o Estuvoboio potenteen EE.UU.hostoel oño 2000. 1977, dólores o quien
consiguierodecodificorun texto
o Puedeutilizorsetontoporo encriptorcomo poro firmordocumentos. cifrodocon RSA.Segúnellosse
o Solo puedeusorseel olgoritmode 5.|2 bitsdentrode EE.UU. tordoríq 40 trillonesde oños.
En 1994, y trosocho mesesde
seguro.
o Con 5l 2 bitssueleser inseguroy con L024, moderodomente troboio, se logró descifrorlo.
o Puedeser vulnerobleonte móquinospotentes. . El DNI electrónico,odemósde
identificorol usuorio onte ter-
Por lo que respectoo DSA (DigitolSignotureAlgorithm,Algoritmode Firmo Digitol), ceros, permitelo firmo electró
se corocterizopor lo siguiente: ni co.
l. Puedeutilizorsetonto poro encriptorcomo poro firmordocumentos.
lo encriptoción,no.
2. Lo firmo es reversible;
3. Poseeun moyorgrodo de seguridodque RSAyo que utilizomós porómetros.
Firmo digitol
Aunquese veró con mós detolleen lo Unidod4 o lo horo de trotorel servicioHTTP,de
momentobostocon soberque debido o que los olgoritmosde clove público.requieren
muchotiempo poro cifror do.rr"ntos lorgos,los protocolosde firmo digitol troboion
sobre un r"rrren, obtenidocon funcioneJhosh. De esto formo, en lugor de firmor el
documento,se firmo el resumenobtenido.
[o firmodigitoltienecomo obietivosoutenticorol usuorioemisory comproborlo integri-
dod del mensoie.
3 Serviciode occesoy controlremoto
funcionoSSH?
a 4. ¿Cómo
Losclovesde uno correctoconexiónremotoson los siguientes:
en textoplono por lo red.
. No tronsmitirlos controseños
con gorontíos'
. Procesode outenticoción
de orchivos'
o Eiecuciónsegurode los órdenesremotos,como son los tronsferencios
GNU/Linux).
gróficosX'l 1 seguros(entornos
. Sesiones
procesosiguiente:
El servicioSSH gorontizotodos estospuntosy funcionosegúnel
del servidor'
l. Lo móquinoclienteobre uno conexiónTCPsobreel puerto22
de SSHque,von
Z. Lo móquinoclientey el servidorse ponende ocuerdoen lo versión
d"t"rrino el olgoritmode cifrodo o utilizor
(simétrico)
o utilizor.En estemomento,"
poro lo tronsferenciode dotos.
su clove público
3. El servidortiene dos cloves(públicoy privodo).El servidorenvío
ol cliente.
poro
4 . E l c l i e n t er e c i b el o c l o v e p Ú b l i c oy l o c o m P o r oc o n , l oq u e t i e n eo l m o c e n o d o
(iomo no dispone. de esto.clove pÚblico),
verificorsi es outéntico.Lo prim,eiovez
SIH ói¡"q;; ,rror¡o lo confirme.En esteenvío.sápodrí,oPr.dr:iiun combio
de un tipo
"l
y r u r i ¡ t u ¡ r l o ' p t . o t r oS. e t r o t o d e s u p u n t om ó s d é b i l . D e h e c h o ,s e t r o t o
común conocido como mon in the middle. En los ocosiones
il;i;;;e-bostonte
siguienrer,.uáüo-"i de.lservidor,
.l¡"nrerecibolo clovepúblico.
'preven,ir lo..TTl1li
..'" lt qr; t;ri"."-"lrá."nodo. Sepueden otoqr:t,tln middle
]l_tf"
un listodocon los cloves
controSSH en uno intronetfócilmente.Bostocon publicor
ontesde
de los servidoresde lo ¡ntronet,poro que los usuoriospuedonverificorlos
oceptorlos.
qY? t?ntiene lo
5. El clientegenero uno clove de sesiónoleotorioy cr,eo.un,t"ltoi"
cloveol"otoriá ó"n"ioJo y olgoritmoselecciohodo, todo ello encriptodohocien-
"l
p¡L¡J"-¿eli"ru¡dor. El clienteenvío este poquetecifrodo ol
do uso d" i;;É;"
servidor.
simétricoseleccio-
ó. poro el restode lo sesiónremotose utilizoel olgoritmode cifrodo
nodo y clovede sesiónoleotorio.
vorios meconis-
T. Llegodoso este punto se outenticoel usuorio,y oqyí pueden usorse
;;"t; olgrnor de'loscuolesveremosmós odelonte ó.3).
(epígrofe
8 . P o rú l t i m os e i n i c i ol o s e s i ó nd e u s u o r i o '
. El DNI electrónico,odemósde identificorol usuorioonte.terceros, permite.Io f]ryo
por lo Dirección Generol de lo qye
Policío, el.Únicoorgo-
ái".tr¿ni.o. Esá^óLi¡i. Ps
nismooutor¡iádo'poro emitirlos digitoles
certificodos poro el DNI electrónico.
solicitor
Lo utilizocióndel DNle es vólido poro todo tipo de tromitocióntelemótico:
presentorlo o".ioio.l¿n ¿" lo Rentbo los
occed".t,9.
impuestos, dotos de
uno beco,
reolizo
i"'3dr.';áJj-il¿i;l ; ; iî;;;;ion p"i'onolen bosesde dotospúblicos,
etcétero'
con emPresos,
tronsdcciones
Comose puedededucir,unode loscorocterísticos mósimportontesde SSHes lo s99u
;ü.ji;"t;il;";lá ion"*ión, yo que en el momento éleestoblecerselo conexión
;" ño .üo¿o un conolcifrodo.seguropor el
#t:: J;=o;Ll urror¡or" ouiJ.í¡.íü,'ñ
;;;l .;;.1ü"r¿-, i;j; iá infoirocióh,y íodo el tróficosenerodoen lo sesiónde usuorÍo
vioioróencriptodo.
Servicio de occeso y control remoto 3
e 4.1. ¿Quéesun túnelSSH?
estónbosodosen
En su moyorío,los protocolosque se empleonen los comunicociones
¡'á." cosi 30 on"i, .rondo lo seguridoden redes no ero un problemo'
;i;;;";i"
pero que descui- TúnelSSH.Meconismomedionte
Como Vo se .or*to, ielnet, FTP,POP3 son póto.olos muy comunes
quésirveprotegerlos el cuol se hobilitoun Puertoen el
d"]'ü i"g*¡ááj f .á.rü"n.¡ot¡i"d J" losdotosqueenvíol ¿,?" de los ordenodor y uno conexión en-
versiones
y_octudlizor'los
I*¡J"i"!, ,t¡li^í ;;; ü;^;páiiti.o de controseños. ver criptodo o uno segundomóqui-
oolicocion"r r"ru¡d"ror,ri tu"gocuondoun usuqriodé POP3,por eiemplo,.quiere no. Todoslos dotos que voyon q
envíosu usuorioy controseño en
;;;;;;; ái".ir¿n¡codlsde sü centrode estudios, ese puerto esPecífico Posorón
tsxtoplono(sinencriptor) por lo red? por lo conexiónsegurool segun-
do ordenodor,el cuol o su vez
Poro evitorlo,hoy dos posiblessoluciones:
puede reenviorloso otro tercer
e Creor o utilizorprotocolosseguros. ordenodor(o o sí mismo).
protocolos \----.**.* . ----*'l
Modificorlos protocolosinsegurosde formo que se comporfencomo
seguros.
gl9n,porte de
I estossoluciones,Io segundoes muchomósvioblg.,yg que oProvecho
;;ñ;, en el mercodo.El ob¡eiivoseróconvertirlos proto-
I .iÉ.tes exisrenres
>sclósico, proto.oiorseguros. u"i"tot quétienequever el ser-
A continuoción, El sistemoX Window fue deso-
i
¡ o S S Hc o n"n rrotlodoen los ochentoPor
ello. "not Instituteof
el MIT (Mossochusetts f
procedimiento consisteen creor un túnelpor el que vioiel lor dotosde monerosegu- Technology). Consisteen uno in- i
protocolos
. En los e"tremos-j;;¡.Á; ion"l se estóneiecutondoserviciosque utilizon lerloz giaii.o cliente/servidor I
pop3 o FTp.SSHes copoz de oseguror lo comunicoción medionte lo poro el sistemoUnix.
r s€guros,como ,
puertos SSH
(PortForwording,/.
;;¿;"i', y to.i"nao uto de lo récnicodel reenvíJde Xl I c-reodoPermite
pot,"L conol ' El protocolo
L¡l lv | rvvrvr I
JVI / i
los dotos que el clienteenvío en un extremodel túnel,Vlo,t reenvío lo lnt"tocción grófico en red en-
los dotos :
,.;;r;;¿o o'portir de d¡chotúnel,hocio el otro extremodonde se recogen tre un usuori oy un o o m ós m ó- l
son reenviodosol servidor. q u i n o s .E l n ú m e r oI I i n d i c o l o :
versiónde que se troto.
1ta*-*.--J
,r
PortFordwqrding
PortFordwording
Conexióninseguro
¡;ttirfl#sflw
Cliente Servidor
3.I O. Creociónde un fÚnelSSH.
ío de puertospuede ser interesontePoro los siguientespropósitos:

occedero serviciosTCPinternosde uno LAN con direccionesprivodos.
IMAP
fo no envior lo clove en texto plono de FTP,Telnet,Messenger,POP3'
SMTP.
otrovesorun cortofuegos(Firewoll)donde solo estópermitidossH.
disponerde serviciosX o trovésde uno red inseguro.
el
rofe 5.3 muestrouno oplicociónprócticodel uso de los túneles.En concreto
ó por TCPllP.
83n
t'
rr
O 5. ¿Quées un cl¡enteSSH?
E l c l i e n t eS S H e s l o h e r r o m i e n t od e s o f t w o r eq u e p e r m i t eo l u s u o r i o ,d e s d e u n o m ó -
t oe ' u n o c o n e x i ó ns e g u r oc o n e l s e r v i d o
q u i n o r e m o t o ,s o l ¡ c i t o er l e s t o b l e c i m i e n d
L o 'd e s c r ipc ióndet ol l o d od e l o SSH.
orden ssh y otros relocionodos
Lo conexiónSSH se puede llevoro cobo medionteherromientos gróficoso bien desde
con el servicioSSH estóndispo-
nibles en el orchivo SMR-SFR- u n o c o n s o l o e, n m o d o d e l í n e od e c o m o n d o s .
03 -Ordenes-SSH.pdf.
P o r e i e m p l o ,l o h e r r o m i e n t o W e b m i n o f r e c el o p o s i b ¡ l i d o dd e e s t o b l e c ecr o n e x i o
n e s S S H . ' P o r ou t i l i z o re l c l i e n t eS S H d e W e b m i ns i e l n o v e g o d o re m p l e o d oe s F i r e
f o x y l o s p r u e b o ss e h o c e nc o n l o d ¡ s t r ¡ b u c i óU n b u n t uG N U / L ¡ n u x ,h o y q u e t e n e
i n s t o l o d oe l c o m p l e m e n t po o r o J o v o - c o n s o l(eJ R E )E. n l o p o n t o l l oi n i c i o l ,s i s e s e l e c
c i o n o l o c o t e g oi í o O t r o . sy , o c o n t i n u o c i ó nC o n e x i ó nS S H , s e o b r i r ó u n o v e n t o n o
de conexión.
Es posibleque muestreun mensoiede seguridodrelocionodocon el certificododicien

do'que lo ho emitidouno fuenteque no es de confionzo.Bostorócon contestorque se
confío.
Antesde obrir lo conexiónse pueden modificorolgunosporómetrosde lo conexión

Poro ello, hobró que ir o Configurociónde módulo.
Configurac¡ón
Parael móduloConexiónSSH
Dlóqulna a lc que conectar Automática o 192.168.100.254

Pusrto al quc concctar 22
Use proxy to connect to other hosts? i Y e s e N o
Tlpo de conexlón i Telnet o Shellseguro(recomendado)
üedld¡ de applet o g0x24 caracteres ,: Dinámico (: custom size
Ancho x ¡lto peruonallzado - - l
lladida da Tlpo de letra en puntoa o Pordefecto ' ', I

ftlodo Ventana licparada ,.,:5f 6 ¡o
üProb¡r tclnct o ¡srvldor SSH?
f,
Applet SSH a uear o Versión Nueva (551-lI y 2)
," VersiónAntigua (5ólo SSH1)
l,-s.!-ul|*|
SSH.
de lo conexión
Fig.3.ll. Configuroción
El procesoo demonioque se eiecutoen el clientees SSHy se encuentroen el dírectori

/-t-ter
v v L
/l¡i
¡ J L L L .
n
/ I
Dentrode los opcionesgróficos,tombiénpuedenutilizorselo herromientoFreeNX(se

veró en profundidoden el epígrofeTl o el clientePuTTY.
Si el occesool servidorse hoce desdeuno terminolde texto,lo sintoxises lo siguiente
s s h I u s u a r i o @ ]h o s t
U s u o r i oe s e l l o g i nd e c o n e x i ó nd e l u s u o r i oy h o s t ,l o l P d e l o m ó q u i n os e r v i d o rS S Ho
su nombresi se tieneconfigurodoun servidorDNS.
,-r
Servlcinoe ctccesoycontrai relrlir:' ü
segurode qrchivos
5.1. Trqnsferencio
i oe o r c h i v o se n G N U / L ¡ n u xe x i s t e nd i v e r s o so p c i o n e s .
: o t r o n s f e r e n cd A c t i v i do d e s
Loorden scp I l . A v e r i g u oq u é e s e l I n d i -
rectPortForwording.
- t e r e o l i z o rt r o n s f e r e n c i os si m p l e sd e s d el o l í n e od e c o m o n d o s F . u n c i o n oc o m o e l 12. H o z u n o l i s t od e c l i e n t e s
o n d o c p q u e s e u t i l i z oP o r o c o p i o r e n l o c o l ,p e r o de formo remoto y, o diferencio
SSHporo Windows de
' : r ? , d e f o r m os e g u r o .
l i b r ed i s t r i b u c i ó n .
c - e s t oo r d e n p u e d e nh o c e r s ec o p i o ss e g u r o sd e o r c h i v o s c, o n c o n e x i ó n , s e g u ryo r3. ¡ E x i s t ep o r o W i n d o w s
. c - c t o d o , e n t r ed ¡ s t i n t o sm ó q u i n o s o , s í c ó t o d i r e c t o r i o sc o m p l e t o sc o n e l c o r ó c t e r
á l g r n o o r d e n s i m i l o ro
sco(*). s c p ? ¿ C ó m os e l l o m oy
se comprobociéq
c - e l o s m i s m o se s q u e m o d n u e S S H .S u f u n c i o n o m i e n tdoe p e n d e r ó c ó m of u n c i o n o ?
S S H ;e s d e c i r ,s i d i s p o n ed e c l o v e
) o m o n e r oe n q u e ' c o d ou s u o r i ol ^ r o y coo n f i g u r o d o
c c o o n o y s i l o c l o v et i e n ef r o s ed e p o s oo n o .
j ..,-: nombre_usuario@máquina
:: - t.n: archivo_origen C o p i o e l o r c h i v o - o r i g e nd e s d e l o m ó q u i n o -
o r i g e n o l o r c h i v o - d e s t i n oe n l o m ó q u i n o -
a -. - --? destino.
Jr- rrcrrr^ri n6mácrrri na
- -- f l o : a r c h i v o destino
1...
6:; archivo_locaI nombre-usuar:-o@

Copio el orchivo-locol o lo móquino remoto.
n.¡ ¡: i na_remot a : archivo_coP ia
$ :! :ombre_usuario@maquina-
i:- r:a:archivo remoto archivo C o p i o o r c h i v o - r e m o t oo l o m ó q u i n o l o c o l .
- - - - : l n ¡ . a l
s:! /directorio/* nombre_usuario@ C o p i o d i r e c t o r i ol o c o l c o p i o d o o l o m ó q u i n o

-; - ^* + . -,- F
Ig m
t l l qaYc
u r fr rlql i n a . '
/A ira¡fnri^
vLL deStinO/ fgmOtO.
/
rc c 3 I Sinfoxis de lo orden scp.
*':
.,.r,it,, "'.¡ti-]tllt.:r''
,,,,,.,,, .iry
lumno1@pcl-1: -$ scp archivo p c t 2 z- SSHFS(secureShellFile System)

patln/ archivo- es un sistemode orchivos de
lumnol@Pc11: -$ scp pcL2 z /path/archivo-remoLo
GNU/Linux que sirve poro mon-
ocal tor sistemosde orchivosremotos
Iumnol@Pc11: -$ scp a rc h i v o a l u m n o @ P cl 2 z- en nuestroequipo. De esto formo
el usuoriofinol puede interoctuor
con orchivosremotosestondoen
un servidorSSH,y viéndolos como
C Loorden s f tp en
si estuvieron su equipolocol.
l ¡ . e n t oe m u l o rl o f o r m od e u s od e u n c l i e n t eF T Po r d i n o r i op o r o o b r i r u n o s e s i ó ns e g u r o
G rteroctivode estetipo.
ss lo siguiente:
L c s i n t o x ie
¿ - ,-:no1@pc11r -$ sf tp nombre_usuario@ nombre_maquina
L^c vez estoblecido u n o s e r i ed e c o m o n d o se s p e c í f i c o s
l o c o n e x i ó n ,p u e d eu t i l i z o r s e
e - F T PN. o o b s t o n t es, o l o e s t ód i s p o n i b l e
e n O p e n S S H2 . 5 y v e r s i o n e ss u p e r i o r e s .
sf tp maqui-na-remota
á - -^::.no1@pc11$
-,p>he1p
s:
Es.eúltimocomondopermitevisuolizorlo listode órdenesftp disponibles.E.nestoco-

. e x i ó n s e o s u m eq u e e l u s u o r i oo l u m n o l s e c o n e c t oc o m o o l u m n oI e n l o m ó q u i n o - r e -
- c t o y , p o r l o t o n t o ,d ¡ c h ou s u o r i od e b e e x i s t i re n e l l o .
85
fr
ffi 5.2. ReenvíoXl I

Unode losfunciones de SSHes estoblecer uno líneode órdenesseguro,ounquetom-
b¡énse puedenobrirsesiones X por un conol SSH.
Xl l. VersiónI I del protocoloX Cuondoseeiecutoun progromoX Windowdesdeunoshellsegûlo, el clientey el servi-
utilizodoen el Sistemode vento- dor SSH.r"án un nu"uoánol segurodentrode lo conexión SSHoctuol.Losdotosdel
nqs X Window System.X mues- progromo X Windowseenvíon9 io móquinoclienteo trovésde dichoconolcomosi se
tro lo informocióngrófico y se r"oi¡tot" unoconexiónol servidorX o trovésde un terminollocol.
eiecutoen lo móquinolocol. Los
oplicocionesse puedeneiecutor o 3.12 muestroel esquemode esteprocesoque constode los posossi-
Lo Figur
de formo remotq desde otros guientes:
móquinos. conexióncon el servidorremotousondossh (conolcifrodol.
l. Estoblecer
2. Porotro lodo,desdelo móquinolocolse eiecutoxterm,que es el terminolvirtuol
utilizodoen el sistemo gróficoX Window.
3, Xterm secomunicodirectomente con el servidorX queestócorriendoen lo móquino
(comunicoción sincifrorl.
Móquinolocol Móquino remolq
Lo opción -X de lo orden ssh

octivo el reenvío,con lo que no
es necesorioponer el porómetro
Fo rw ar dX ll y es en e l c l i e n te .
Lo opción -x desoctivoel reen-
vío.
$ ssh -x lusuario@]host
Fig.3.12. SesiónX sin SSH.
A portirde ohoro,todolo quesetecleoen lo ventonode xterm (controseños incluidos

setronsmite en textoplono'porlo red,sinoprovechor losventoios SSH.
de utilizor
Seríopreferible quese pudiero utilizorel mismoconglseguroqueseestoblece
'reenvío conSSH
poro ios clientes'X.El (forwording) de Xl 1 es un meconismo que permitelo
del conolSSH-comosi SSHenrutose
Lt¡l¡zoción el tróf¡coXl l-. Elesquemo de funcio
nomiento es el quese muestro en lo Figuro3.13.
Móquinolocol Móquino remoio
Poroquepuedoreolizorse el reen-
vío Xl 1, el servidordebe tener
octivodo lo direciivo Xl I Ford-
wording en el orchivo de confi-
guroción /etc/ssh/sshd-config. X conSSH.
Fig.3.13.Sesión
De todos modos,sueleestorocti-
vodo por defecto.
En estesegundocoso se procedede estemodo:
El clientedebe tener octivodo lo
directivoForwordXl1 en el orchi- cifrodo).El servidorde SSH
l. Conectorol servidorremotousondossh (comunicoción
vo de configuroción /e¡c/ssh/ de X en lo móquino
creo un pseudoservidor remoto.
ssh-config.
2. Desdelo sesiónen lo móquinoremoto,se eiecutoxterm.
\
Serviciode occesoy controlremoto 3
de X. Al hollorseen lo móquinoremoto,se
Xtermse comunicocon el pseudoservidor
produceuno comunicociónno cifrodo pero que no violo por lo red.
de X se comunicocon el clientede SSHo trovésdel conol cifrodo.
El pseudoservidor
El clientede SSH tronsmitelos dotos de xterm ol servidorX reol (comunicoción
sin
cifror,pero es locol o móquino).
nuestro
orden que hoy que lonzor poro estoblecerlo terminolxtermen lo móquinoremoto

b S S He s :
$ ssh -n u s u a ri o @ m a q u i n a r emota xterm &
estoscircunstoncioslo oplicocióneiecutodoconsumiróCPU de lo móquinoremoto

vidor SSH)y en lo móquinolocol (clienteSSH)solo servirólo pontollo.
2 p
Cosopróctico
gróficosremoüos
Sesiones O fócil
Duroción:O l0 min Dificultqd:
cn GNU/[inux
Obietivo:conocercómo se puedeneiecutorde formo segurooplicocionesgróficos
X remotosutilizondoSSHentremóquinosGNU/L|nux.
tlrilidodes:en el ordenodordel profesordebe estorinstolodoy configurodoprevio-
menteel servidorSSH.
Desorrollo:
l. Activoción del reenvío en el servidor 55H
Editoel orchivo/etc/ssh/sshd-conf (equiporemotoservidorSSH)y octivo:
Xl-lForwarding yes
2. Activoción del reenvío en el cliente SSHy eiecuciónremotq de lo oplicoción
Editoel orchivo/etc/ssh/ssh-conf(equipolocol clienteSSH)y octivo:
ForwardXll yes
A c o n t i n u o c i ó no, r r o n c oe l s e r v i d o rX e n e l e q u i p o l o c o l s i n o t e e n c u e n t r o s
en un entornogrófico.
Abre uno xtermen el equipoclienteSSHy eiecuto:
$ ssh -1 alumno 792.168.100.254.
Yo en lo móquinoremoto,tecleo$ xeyes &.
En lo móquinolocol,donde se elecutoel clienteSSH,veróscómo se eiecutolo
oplicociónxeyesen el servidorSSH,tol como muestrolo Figuro3.14.
to the extent permitted by

ilO HARRASITY,
Ubuntu comes¡lith ABS0LUTELY
appticable law.
To accessofficial Ubuntudocumentation,please visit:

http: //help. ubuntu. com/ Actividades
0 packagescan be updated. 14.¿Quées uno xterm?
0 updates are security updates.
1 5 .¿Un usuoriopodrío con-
lusrlbinlXll/xauth: . Xauthority
creating neu authori.ty file /home/alumno/ uno
figurorgróficomente
alunn@servidor:*$ xeyes &
tU 11667 impresoroconectodoo
alunrno€servidor,-$[ uno móquino remoto?
¿Cómo?
87
rr
)
ff{
rix 5.3. Reenvíopor TCP/IP
Esteprocedimiento se boso en lo osignociónde un puertolocol del clienteo un puerto

remotodel servidor.De este modo, lo informocióncuyo destinoes un puertode io mó-
. El númerode puerto se puede quino_locolse-puedeenvior o otro puertode uno móquinoremoto.Si el reenvíopor
co l cu l or s um ondo 10 0 0 0 o l TCP/lP se configuroporo escuchorpor puertosinferioreso 1024, es precisoo.."d"t
puerto ofic¡ol del servicio. Si, como root.
por eiemploes el 143, seró en-
toncesel I 0]43. Cuondose utilizo.estotécnico,el servidorSSHse convierteen un túnelencriptodoporo
el clienteSSH. El usuorioton solo ho de tener uno cuentoen el sistemorémoto.Esto
¡ Lo técnico del reenvío solo
técnicotombiénse conocecomo umopeodode puertos>>.
p u e d e s er ut iliz odoco n o p l i -
cocionesTCP,es decir, orien- El reenvíoporTCP/IP (o reenvíode puertos)puede usorseporo oquellosprotocolosque
todos o conexión. Con servi- no tienen.:opgrt9-nolivo
poro comunicociones cifrodosy outenticodos,como por eiem-
cios como DHCP,NFS, TFTP, plo POP,IMAP,FTP(cuondono se puedo utilizorel clientesftp),etcétero.Los'servicios
etcétero, este sistemo no fun- bosodosen estosprotocolospueden hocersemós segurorredionte estostúnelesSSH.
ciono yo que el protocoloUDP
no estóorientodoo conexión. Lo sintoxisporo creor un túnelde reenvíolocol por TCP/IPes lo siguiente:
ssh -L puerto_local : maquina_local- : puerto_remot.o nombre usua-
rioOmaquina_remot a
Dondelo opción-Lindico que se troto de un reenvíolocol.
El profocglol{A_P {qr" se estudioróen lo Unidod ó) es un buen eiemploo lo horo de
probo,rel túnelSSH.Losclientesde correo envíonconstontemente ei login y lo controse
Mopeor puerlos. Esto operoción ño del usuoriool servidorde correo poro sondeorsi se hon recib¡doñueios mensoies.
es si mi l o ro uno r edir ecc i ó nd e Todo esto informociónvio.ioen texto plgno, por lo que puede ser copturodoy onoliro-
puertos.El términomapeorequi- do, y el usuorioperderíolo confidenciolidod d" su correo.
vole o dirigir.
Tenemos, el .siguienteeiemplo:.el usuorio olumnol quiere comprobor su correo en
el servidor (remoto)moil.servidor.oulomedionteel uso de IMAP o trovésde uno co
nexiónseguro.Poroello reenviorósuspeticionesIMAP desdeel puerto lOl43 locol o
.|43
trovésde lo conexiónSSH ol puerto de lo móquino remoto:
$ s s h - L 1 , 0 1 4 3: l o c a l h o s t . : 1 , 4 3 a l - u m n o 1 @ m a .i ls e r v i d o r . a u l - a
Estoordenfuncionoró soloen el
cosode que en el servidorremo-
to estéeiecutóndose un servidor
SSHy el serviciool quese quiere
occeder. lndicoquecuolquier pe-
t i c i ó ne n v i o d oo l p u e r t o1 0 . | 4 3
en el sistemolocolseródirigido
de formosegurool servidormoil.
servidor.oulo o trovésdel puerto
143.
Tombiénse puedecreorel túnel,
ounquelo propiomóquinoremoto
no tengoel servidorSSHeiecutón-
dose,siempreque se tengo uno
móquino intermedio,yo seo el pro- Fig.3.15. Redirección
del puertot 43 |MAP.
pio corfofuegos u otro móquino
detrósdel DMZ (zono.desmilitorizodo) con el puerto 22/tcp obierto. En estecoso hoy
¿El reenvío de puertos tresmóquinosimplicodos:el origeny dos destinos,uno de ellos,el que tieneel servidor
Y
tuncrono con puertos SSHoctivo,hoce de intermediorio. Sin emborgo,lo comunicociónsblo seríoseguroen
menoresde 1024? el primertromo,es decir,hostolo móquinointármedio.
¿Cómo osignoríosun S i e l o d m i n i s t r o d odre l s i s t e m on o q u i e r ed e i o r o c t i v ol o p o s i b i l ¡ d o dd e u t i l i z o re l r e e n -

t i e m p od e v i d o o l t ú n e l d9 puertostiene gu9, en el servidorSSH,deshobilitárlo opción AllowTcpForwor-
Yb
creodo? ding (escribiendono) locolizodo en el orchivo /etc/ssh/sshd_confígy reinicior el
servicioSSH.
''\
"t'-
{n
Serviciode occesoy controlremoto

2
r.J
6. ¿Quées un servidorSSH?
servidorSSHfocilitoel estoblecimientode conexionesremotosque permitenlo trons-
sión segurode cuolquier tipo de dotos: eiecuciónde órdenes
orchivos,controseños,
odministrociónen un sistemoremoto,sesionesde login, sesionesgróficos,etcétero. Si eres un usuorio sudo, poro
vez ho sido descritolo funcionol¡dodbós¡code SSH en generol,o portir de este troboiorcon el odministrodorde
) se vo o tomorcomo herromientoboseOpenSSH,QUees lo implementoción libre orchivosNoutiluscomo odminis-
trodor, debes obrir uno terminol
utilizododel servicioSSH.
y eiecutor:
de OpenSSHson:
mós importontes
corocterísticos
$ sudo nauti l us
Proyectode Código Abierto, disponibleporo su descorgode Internet. Ahorq podrós copior y pegor
Tienelicenciolibre que permitesu utilizociónporo cuolquierpropósito,incluidoel orchivos en directorios en los
co mercio |. Puedeconsultorsee n el e nIoce http://www.openbsd.org/cgi-bin/cvsweb/ que no teníos permisos como
src/ usnbin/ ssh/ LICENCE. usuori ounormol rr .
Escompotiblecon los protocolosSSHI y SSH2.

Estódisponibleporo plotoformosGNU/Linuxy Windows, osí como Unix, Moc, So-
loris,AIX y otros.
Reenvíopor puertos.Consisteen el envíode conexionesde TCP/IPo uno móquino
remotopor un conolcifrodomedionteel mopeodode un puertolocolen el clienteen
un puertoremotodel servidor.
Reenvíopor ogente.Consisteen que el ogente(de outenticoción)
del clientepuede
contenerlos clovesde outenticociónde RSA o DSA. En ese coso OpenSSHenvío
lo conexiónol ogentede outenticociónpor medio de cuolquierconexión.De esto
de RSAo DSAen ninguno
formono es necesorioguordorlos clovesde outenticoción
móquinode lo red (exceptuondolo móquino del usuorio).
Soporteporo clientey servidorde SFTPen los protocolosSSHl y SSH2.A portirde
lo versión2.5.0, OpenSSHincluyesoportecompletoporo SFTP. Lo orden que se uso
poro el clientees sftp.
Compresiónde dotos.OpenSSHcomprimelos dotosontesdel cifrodo,lo cuol meio-
ro los resultodosen los enlocescon redeslentos.
del servidorSSH(GNu/tinuxfconWebmin
ó.| . Instoloción
quepermite
mindisponede un móduloespecífico losconexiones
odministror SSH.
móduloes estóndor, y estódisponible
se llomowebmin-sshd en lo
directomente
b of¡c¡olde Webmin. Lo instoloción del módulo de
Webmin requierepreviomentelo
instolocióny configurociónse reolizo en el siguienteCoso próctico. del servidorOpenSSH.
insfqloción
Webminol instqlorsu móduloce
rrespondiente lo único que hoce
es fqcilitorlo configurocióngrófi-
cq del serviciosshd.
Instolqcióny configuroción Duroción:O l5
Duroción: 15 min Dificultod:O fócil
min Dificultod: fócil
del módulo SSHde Webmin
Obietivo:reolizorlo instolocióndel servidorSSH utilizondolo herromientoweb de

o d m i n i s t r o c i óW
n ebmin.
Considerocionesprevios
el servidorOpenSSHcon Synoptic.
hober instolodopreviomente
Esimprescindible
(Contínúo)
C o s o p r ó c t i c o3 (Contínuación)
En el CD del libro existeuno

copio del móduloestóndorde
i.,t .:'r;:
Webmin ,c-;,'-.J pOrO Od- erdfrc EüE hqe gsrúgl¡-nitu Ay!¿da
ministror
SSH. C
hcargar H¿rrbfu
E
lc achnliaiqres
$
no¡*e*Oes
n¡xr!¡..h nif¡ó
a
eEf,ü
¡do E hq.Eh \ftrs¡manstal* Uftimaversirh Dtscripd'ón

A¡lnrnsilraclül del s¡¡tem¿ 0 opreerurixoúc-rnoúle r.3.2-3 ¡rixd)BC database
Aün¡nrsiraoül de{ s¡steme fl opnser-rnn[rpe-rmoü.úe r.3.2-3 X¡IL-RFC sr.pport for
Acüunsfaqül de{ ss¡e$¿ fl operccr-xmp-.mod.de t.3.2-3 XHPPgatüay moü.üe
Aünrnstróqor¡ dd ststem¿ n opensqrtoois f I {}üir¡rtru2 A prtaue ffenegraph
BrUrotecds E': orrrs¡p{o( r.2.1-7.5 Op€nSLPdoc¡¡nentation
8¡ U iote<¿s I rnr.út¡versel E l opercp 1.5.2{tüsüu1 Operüadeqoqp'sSGt¡tL
EiUiot€cas twiversel D'r) aenssl¡tiactl¡st o.4.1 list of defadt Hacklisted
B¡bl¡ote<as - Arügrrc E' ) oresl¡-Uack¡¡st€xtFa O.¡l.l list of rn¡¡defa¡Jt
B.Uiote(as -Arñ$[türw I':] omrcst¡dier* t5.lpl-s|üfir¡f f:afpl-5|.ünml secueshdld¡ert art
B¡iliotec¿s - Des¿rollo O I oprssr¡ssw
&Uiotr(as - Oes.{rollo tml I.; orrcg ----*-loctet tayer (S
&Urotec¿s - Desafiotlo tcrr fl') omrns¡tld!¡$
E[iürc
Gerrc¡a E.) ofrcsl-ttadd¡st*rüd ¡r¡defar¡t
Cierrcl¡ {rnr.Sbverse¡ ? '
!¡cctt! sltll ¡anvcr, an n
Qerrcba {u¡wversei
Cornw'üca€ion OhcrErcaÉLr¿ a prraüa
C¡rnuicaoon (sr¡¡Jbrcrsel Tlüsis tIE plraüe verson of (
¡ Prof¡€dides
Comüú(il¡on tr€rftr¡(ttd! üE s€c¡re shElilpotocd as s¡r
@rnü*ca€iüt goup" Hd(rr€comenüüG pua irctalacion )
twive¡set
@neo_e [uws.gaiücprair$lacion ) t
a
Fig.3.l ó. /nsfo/ocióndel poqueteOpenSSHserver.
Desorrollo:
l. Instoloción
del móduloSSH
Accedeol servicioWebmindesdelo URLhrps://locolhosft10000.
A co.ntinuoción,
.veo Webmin,posoo Configuraciónde Webminy, de ollí, o
Módulosde Webmin.Locolizoel móduloestó;dor(sshd.wbm.gz)
eí lo pógino
www.webmin.com y descórgolo.
¡:_r.:ri¡,: ertñ] li ¡etE|pf,o€rnaftc n|e, ü?rilCn aFFy tO
_ Fht wturta*
Ha escotjdoabir
Hssm.rbr.gr
el cual es ut arctirraür6aip
de lüplfdounload.weünri ncorn
¿(¡* dcócrir lmcr F¡rrlbü ron rcb rrclJrc?
Abdrcgn C€storde ardúvadores (predetermirndal

O Qnnbrad*w
Hacere aem¡É{icamer*ega lc urlivc onro éstede dpra en¿¿gante.
5¡ü¡P sle SSll senrer so¡ rer¡rote A[ operatirg

lll5ll S¡trcr s¡ - ...jrr¡aj:.. l--
5€€1re !oq![6. qfs|tffi$
s€ttJs 55t br¡fEts tf) ef¡cryDt
i:-,,: -r. jB-,r- r: An er(eEt
SlSLTuml¡ sery¡ces Rke popS ¡nd r--l f,AP''',ng
ur**b6
Fig' 3.17. Descorgadel módulode odministroción

del servidorssH.
(Continúo)
90
/
\
lC,ontínuociónJ Coso próctico 3
locolizoel módulodescorgodo
Después, e instólolo.
1c ce de ModulO
Módulos
deWebmin
Hl Clone Delete Export
-.r5rnodulos
delVebminpeden serañadidos bas lasinstalación
mediante
el formul¿no
dela derecha.
LosMódulossedisfibuyentípicamente enarchivos
r!¡. cadaunode loscualespt¡edecontener
uno0 másmodulos. Losmotulospje0entambiénserinsbladosdesdearchrvos
RPl,lsi tu sistemaoperaüvo
ossomrta.
hstall fron Desde ¡rcl*Yo locel lrturn/elvinrtxritonorsshd.wbm.E

Drrde rrclúvo r cer¡rr ?eTtt::
oesdedi¡eccirhuRt frp o Hh i
c; l,ttidulo e¡ti¡rd¡r dc
www,webmin.com
llrídulo exbrm dc¡de
tgnorar dcpederia¡ de nxidulo sn h - si i No
lcstelaclür
(¡?rt acc€ssto i? Permitiraccesosriloa los usuariosy grupos: mo1
Pemitiracceso
a todoslosusuarios
Webrn¡n
lnsta¡arU¡étldo
Fiq.3.18. Locolízoción
e instolocióndel móduloservidorSSH.
Si to d o ho f unc iono d o c o rre c to m e n te ,We b mi n devol veró el si gui ente mensoi e:
l n d i c ed e M ó d u l o
lnstalarMódulo
móduloshansidoinstalados
Lossiguientes y añadidos
conectamente a su listade controlde acceso:
Servidor SSHen /usr/share/b/ebmin/sshd

{788kB) bajola categoriaServidores
¡ a modulesform I Regresar
Regresar a configuración
de webmin
Fiq. 3.19. Módulo Webmín SSH insfo/odo.
del módulo
2. Opcionesde configuroción
En Servidores,
selecciono
ServidorSSH.Lo Figuro3.20 muestrolos opciones
de configuroc¡ón.
.c9rnrelvrra Ayuda.- EuscerDo(umentos

J Weün¡n Configuración
de S e r v i d o rS S H
J tttem¡ Modul0 Op€nSsH-5 I
J s€flidorc'
Le(turc de correo de
Usuaflos
SeryrdorSs'H
f,r¡
ttr n
at
/^\,
t l l
t--J
SeryrdorWeb Apache Autentrca(o¡ En Red Control de A(ceso
w
Seryrdorde Dñ5 SIND
v 5mpd -1 t)
JftS
J REd
=
'"t r u
,
Opciooesde M¿qu¡naCl¡ente Configuracion
de Clavede SSH Host SSHKeys €d¡t Confg Files
j Htúwafe
J Cjusts
Aplia camtig Pilise este mto¡ pára aolr(af ia ronfiquracro¡ en (\¡60 mediante el envio {re la s€ña15|6HUP al Drtreso 55Hd en ele(uflon
J
'*-arca: puls€estebotonparatErarers€ryrdoi55Heneltruoon Unavezqw€gteparado.nrñgunus€¡ooodraatc€dervraSSH,
Fardr Scrvitbr
F.A a5 !O'f¡ Or€! er'5re¡lft F¡maKe'an ¿(trva1
iiq. 3"2CI.Opcionesde configurocióndel servidorSSH.
Actividodes
18. ¿Cómopodríosconocerlo versiónde SSH instolodoen un serv¡dorGNU/

Linux?
F -_.-...-.
\
l ^/r
del servidorssH
de configuroción
6.2.Archivos
Losm
Losorchivosde configurociónde OpenSSHestónen el directorio/erc/ssh/.
son:
importontes
'proceso
El o demonio servidor
ín c iuidoen O penS SHs e l l o m o
sshdy se encuentroen el directo- sshd-config Describelo configuroción del servidorssH. Permitemodificor
rio /usr/sbin/. J" lo versiónde1protocolo,osícomoel lugo
"fIr"rt" "r.u".ho,
lo cloveprivodode lo móquinoy si estoho
dondese encuentro
sidogenerodocon RSAo DSA.Si se permitelo outenticoción
de usluoriosmedionteclovepúblico,hoy que octivorlo opción
PubkevAuthenticotion e indicordóndeestónguordodos(opció
nuitoí¡r"dKeysFile; en -/.ssh/
por lo generolse encuentron
outhorized-keys).
ssh-config Describelo configurocióndel clienteSSH.Esposibleque un

*itr" clienteterigoopcionesde conexióndiferentesen funció
Ettose indicomediontediferentes
de lo móquinode-stino.
secciones Host.
Enel CD del olumnoestódisPo- ssh-host-rso-key CloveRSAprivodode lo móquino.

nible el orchivo SMR-SER*O3- C l oveR S Apúbl i code l o móqui no'
ssh-host-rso-key.pub
Descr ipcio n-a rchivo s-conf*ssh.
pdf que contienelo descriPción known-hosts de otrosmóqui nos.
C l ovespúbl i cos
d e los or c hiv osde c o n fi g u ro c i ó n
del serviciocon sus PrinciPoles ssh-host-dso-key CloveDSAprivodode lo móquino.
opcionesde configuroción.
ssh-host-dso-key.pub C l oveD S Apúbl i code l o móqui no.
de configuroción
Toblo3.3. Archivos SSH'
delservicio
Desdelo herromiento Webmin se puedened¡torlos dos orch¡vosde,configurociónbr
muestroel contenidodel orchivo ss
.or. Lo opción Editororchivosde'configuroción
config:
l n d i c ed e
Mó d u l o Edit ConfigFiles
Editconñsfile: @ |-ggii-l
* pac-fagege"ne.rated- f ite
igu r"a-t-i-on
"Eo-nf
# See tñe- -sshd(8)manpage- for detaits
# t{hat -IPs a-ndP-rot-o-cols we listen

Por-t 22
t0
# use these op-tions to r.estrict which interfaces/pl'o-toc-otssshd wi"tt bind
#Liste-nAddre,ss ::
# L i s t e n A d d r e s se . e . 0 . 0
Prot-oc-ol2
# HostKeys for- pr9-to-co-L vers"ion 2
Codo vez que se introducen HostKey./ etc / ssh/ ssh-host-rsa-Key
modificocionesen los orchivos HostKey / etc/ ssh/ssh-host-dsa-key
d e c onf igur oc ió nd e l s e rv i c i o #Privilege- Separatio-nis turned on for
SSH se debe pulsor el botón U*se,Pr"i-v-it egeSep-ar at i o-n ye-s
Solvorporo guordor loscombios
# Lifetime and size of ePhemeral
y, o c ont inuoci ó n ,s e l e c c i o n o r rat-ionInte t'va-l 36e0
KeyRege-ne
Aplicor los combios. ServerKeyBits 768
Estoocción equivoleo relonzor
# Logging
e l s er v ic iom edio n tel o o rd e n :
I Regresara índice del modulo

start Istop Ireload Istatus.
Fig.3.21. Edicióndel orchivosshd-config.
'r,,
;2-
" \ 'L.
(
rr
Servicio de occeso y control remoto \,
os directivosincluidosen el orchivo de configurociónsshd-configson especiol-

interesontes:
o lo El símbolo<-> identificoel direc-
no: indico que el usuorioodministrodorroot no puedeconectorse
torio homedel usuorio.El símbo-
ino remotocomo tol. lo se consiguecon lo combino-
por clqve RSA.
yes: indico que estó permitidolo outenticoción ción de teclqs:Alt GR + teclo ñ,
o tombiéncon Alt +126 (teclodo
por clovepúblico.
yes: informode que estópermitidolo outenticoción numéri co).
no: indico que no se permiteel métodode outenticociónpor rhost,
ootsAuthenticotion Si un qrchivo comienzo por el
decir,no se hob¡l¡tolo posibilidodde generorun orchivo.rhosten el directoriohome símbol o< .> i denti f icoun or chivo
usuorioen lo móquinoremoto.En esteorchivose especificonusuoriosy móquinos ocultoque solo se puedevisuqli-
zor con lo orden ls -o.
e losquese puedeoccedero lo móquinoremotosincontroseño.
no: informode que no se utilizoel métodode outenticoción
sedAuthenticotion
host,sino por usuorio.
lForwording yes: oviso de que se permite,o los clientesque se conecten,eiecutor
dé X Window y tronsmitirlo informocióngrófico sobrelo conexiónseguro.
licociones
tuthTriesnn: estobleceel númeromóximo de intentosde conexión.Es muy impor-
estoblecerun volor rozonobleyo que se evitoríonlos otoquesbosodosen lo fuerzo
de usuorios
ó.3.Autenticoción
sienvorios métodosde outenticociónde usuorios.A continuoción,se explicondos
s mutuomente es decir,el servidory el clientedeben utilizorel mis-
excluyentes,
se descortoel otro.
, por lo que outomóticomente
Auüenticociónpor controseño . El DNI Digitol fue un proyecto
de lo policío nocionolque se
SSHpermiteoutenticoro un usuorioutilizondosu controseño. Poroello,codo vez que
desorrollóíntegromenteen los
el usüorioquieroestobleceruno conexión,se le pide uno controseñoq.uese envíool instolocionesque lo policío
servidor.Esiecomprueboque el usuorioexistey que lo clove introducidoes correcto. tiene en El Escoriol.Este fue,
Lo volidociónutilizodoen el servidorse bosoró en el orchivo/e¡c/shodow, el proce- pues,el primercentrode expe
dimientotípicoporo los sistemosUnix o bosodosen é1. dic¡ónuofic¡oludel DNI Digitol.
Lo primeropersonoque se hizo
Estemétodo,ounquetieneel inconveniente de requerirol usuoriosu controseño codo
ofic¡olmenteesteDNI fue el d¡-
por
vez que quieroesiobleceruno sesión, lo menosno reolizoel envío del login y lo rector técnico del proyecto.
controseñoen texto plono.
. Lo pqlobro o frose de poso es
por clovepúblico
Autenticqción uno codenq de coroctereso
polobros utilizodos poro qu-
Lo segundoolternotivode outenticoción utilizoun esquemode clovepúblico/privodo
tenticqro un usuorio.Lospolo-
geneiodos por el usuorio.Tombiénse conoce como clqve osimétricoy se oplico ol bros de poso suelentenermós
usuorio.En estecoso se recurreo los elementos siguientes: longitud que los controseños
l. Uno clovepúblico,que se copio o todos los servidoreso los que el usuorioquiere yq que normolmenteson froses
conectorse. en vez de uno polobroy odmi-
ten espociosy tobulodores.
2. Uno clove privodo que solo poseeel usuorio.Poro moyor seguridod,estó cifrodo
Si se olvido lo frose de poso
con uno frosede poso.
no hoy formo de recuperorlo.
Ambos cloves poseen uno corocterísticoimportonte:un texto cifrodo con lo clove Se utilizo poro proteger lo
públicosolo puededescifrorsemediontelo clove privodo correspondiente, mientros clove privodo. Poro ello, se
qr" ,n texto'cifrodocon lo clove privodo solo puede descifrorsemediontesu clove cifro con un olgoritmosimétri-
p ú b l i c oo s o c i o d o . co el orchivo que contiene
dicho cloveprivodo,y lo clove
¿Cómose oplico estopropiedodol procesode outenticoción del usuorio?
que se utilizo poro cifror el
l. Uno vez estoblecidolo conexión,el servidorgenero un númerooleotorioque se orchivo se genero o portir de
conocecon el nombrede udesofío>(chollenge), cifrodo con lo clove públicodel lo frose de poso.
usuoriomedionteel olgoritmoRSAo DSA. Estetextocifrodo se envío ol usuorio.
)
3 Servicio de occeso y control remoto
-2. El usuoriodebe descifrorlocon lo cloveprivodocorrespondiente y devolverlo resp

t" .ifrodo ol servidor.De eso formo, dámuestro que el usuorioes quiendice ser.
3. El servidordescifroel textode respuesto con lo clove públicodel usuorio.

4. Elservidorcomporoel textoresultonte con el textooriginol.Si coincidenel ser
ocepto ol usuoriocomo correctomente outenticodo.
Todoel procesoes tronsporentepor.oel usuorio,quien solo tendróque tecleorlo fr
d" poro cuondoel progromolo'pido.,Ademós, se puedeutilizorun ogentede ou
ticoción poro evitoi tenérque tecleorlo frosede poso en codo conexión.
6.4. AutenticociónSSHPor contrqseñq

Loconfiguroción d e l o o u t e n t i c o c i ó dn e u s u o r i op o r c o n t r o s e ñ oe s t ód i s p o n i b l ee n J o
o p c i ó nd e m e n ú :
Wembin > Servidores> ServidorSSH > Autenticoción
de usuorios.Losopciones
de outenticoción
Desdeollí se estoblecenlos procedimientos
de configurociónse muestronen lo Figuro3.22.
Autenticación
lFcrn¡itir autenticacion mediante O si '-. No

cqrtraseña?
¿"crrrrito logins con claves de acceso ,-' 5i O tr¡o
v¡cías?
¿r¡rrmlto logins r rcot? Tipode olgoritmode
clovepúblicopermitido.
f Fcrnrito autsntkación RSA? CI s¡ '.-. ¡ro
Afor DSA (SS¡l 2l aulfre'nüc¡tion? O si i- ñto
llcviso los permisoÉ de archivos clave? CI si l1 No Contienelo frosedel dío
¿Hu€stro /etc/rotd en el login? ,li si O No que oporecedespuésde
¿¡gnoro archiYos knorn-hosts de t-] si 0 no lo conexióndel usuorio.
usuerios?
Archivo de r¡ensa¡Gs d€ Pra{ogin CI trtinguno :- "i
Contieneclovespúblicos
i - i f
de otrosequipos.
Archivo de clevn¡ er¡torizadas dr Q por defecto (-/.ssh/authorized_keys) File under home
usuarios
Contienesistemos
llgnono archivos . rhosts? O s¡ ,l-: No remotosy usuorios
conf¡obles.
Salvar
t Regresar a índice del rnodulo

-.*.-.
desdeWebmin.
de lo outenticoción
F i g 3 22. Configuroción
El orchivo de clovespúblicosoutorizodoses -/.ssh/outhorized-keysy, como su poth

indico,se encuentroen el directoriohomedel usuorio.
Es preferiblesiempretener desoctivodo.lo opción de orchivos .rhosts.En reolidod el
,"ru¡.¡o SSH opoüc¡ó poro solucionorlos problemosde seguridodde Telnety los co-
mondos<<r>> (rcp, rsh, etcétero).
Activondolos opcionescorrespondientes se puede_configurorlo outenticociónpor clove
público desdeW"br¡n. El Coso próctico4lpóS 9ó) muestroel procedimientooctuon-
do directomentesobre los orchivosde configuroción.
Serviciode occesoy controlremoto 3'.f
ó.5. OHosopcionesdel móduloSSHde Webmin
de configurociónde Webminmuestrootrosopcionesde configuroción del
SSH.Si, desde ServidorSSH, se posoo En Red, se obriró uno ventonodonde
pr¡edenestoblecer de red, tolescomo los direcciones
diversoscorocterísticos lP o
ipos o los que se otenderó,desde qué puertose horó, si se octivoel de
reenvío
s TCP,cuólseróel tiempode demoroen lo conexión,etcétero.
en los llomodosidentificon
bxtos incluidos en el orchivode configu-
su equivolente
icn sshd-config.
de Módulo
En Red
en dlr:ccloncs 0 Todas l¡s direcciones ü' Introtftrcitto
ü Defecto
en puanto a) Defecto{221 C
prüocolc ü vldeSSll t v2deSSül
¡l cl cllcnt¡ ec h¡ caÍdo? c si ,:r lrb
.6pr¡.r prre lo¡ln '-' Porsiempre CI I scgrundoe
l12O
rucnYloTCFI S| f No
co¡rcxlons r FüGil6 rucnvlds? :,si3ib
3.23. Opcionesde configuraciónporo lo red.
55H > Controlde Acceso

sde ServidorSSHtombiénse puedeoccedero Controlde Acceso,unoopcióndesde
quese puedeconcedero denegorel posoo losusuorios.
Controlde Acceso 19. ¿Sepodríonmontorsis-

temosde orchivosremo-
tos con SSHen GNU/
Linux?¿Yen Windows?
.3.24. Opcionespora el controlde occeso.
puedenseleccionor o losque se permitenlosconexiones

oquellosusuorios SSH.
Todos los Usuarios

b.,.g_IIú* alumnogenerico...,
alumnol alumnol,,.
avahi Avahi mDNS daemon,,,
avahi-
:.;_._- Avahi autoip daemon,,.
autotpo
backup backup
bin
bind
daemon daemon
elvira I q"*"';] | u*eñl
Fig.3.25. Usuariospermitidos.
) r{|
J S e . v ; c i od e o c c e s oy c o n t r o lr e m o l o
Poro evitorque todos los usuoriosde lo móquinoesténoccesiblespor SSH, hoy qure

editorcomo root el orchivo/ eLc/ ssh/ sshd_conf , oñodir lo líneoAl lowusers y, o
E nl o s i g u i e n tUeR Lh o yd i s p o n i - continuoción,los usuoriosque puedonconectorseremotomente vío SSH:
bleuncliente SSHporoWindows
$ sudo gedi t / eLc/ ssh/ s shd conf
m u ys e n c i l l o :
B o s t o r óc o n o ñ o d i r l o l í n e o :
http:/ /www. ehu.es/scwreo II/
d o cum e n t o s / s s h / S S H S er ec u Al-lowUsers al-umno1 al-umno2 al-umno3
Shell€lient-3. 2.0.exe
Poroque los combiossurtonefectohobró que reiniciorel servidor:
$ sudo / etc / init . d/ssh restart
Servidor 55H > Opciones vorios
De elloslos móssignificotivos son lo que octivoel reenvíoX y lo que permiteseleccionor
el sistemode log que se utilizoró.
Servidor 55H > Opciones de móquino cliente
Estoblece opcionesporo uno, vorioso todos los clientesSSH:puertosde reenvíolocol
y remoto,compresióndel trófico,númerode intentosde conexión,protocolosSSH o
probor, etcétero.
Servidor 55H > Configurocíón de clove de SSH
Permiteestobleceruno configurociónde SSH por defectoporo los nuevosusuoriosque
se voyon creondoen el sistemo.Poreiemplo,se podríoestoblecerque los nuevosusucF
rios no tengonque empleorssh-keygen ontesde usorSSH,si se permiteutilizorlo con-
troseñocomo frosede poso, el tipo de clove, etcétero.
f,) Actividodes
x 6.6. Utilizoción
bósicode SSH
20. ¿Cómoexplicosel conte-
El demonioservidorde OpenSSHes /vsr/sbin/sshd.Por lo generol,se octivoduronie
nido del orchivoknown_
el procesoinit.
hostsen el clienteSSH?
El clientede OpenSSHes /usr/bin/ssh. Lo ordensshpermiteiniciorsesiones
y eiecutor
2 1 . ¿ l d e n t i f i c oesn q u é s i s t e -
comondosde formo seguroen móquinosremotos.Lo utilizociónbósicodel clientees:
mo de numerociónestó
r e p r e s e n t o d ol o h u e l l o ssh Inombre_usuario@] maquina_remota
de lo clove? S i e l n o m b r ed e l u s u o r i oe n e l s e r v i d o cr o i n c i d ec o n e l n o m b r ed e l u s u o r i oe n e l c l i e n t e
22. ¿Cuóles el contenidodel se puedeomitir.
orchivoid_rso?¿Dónde Ofro modo hob¡tuolde utilizorsshes el siguiente:
s eo l m o c e n o ?
ssh -1 usuario maquina_remota
23. ¿Quéposoríosi por equi-
vococión borrósemosel Cuondo se utilizo lo versión I del protocoloSSH oporecen los orchivosssh_host_key
orchivoknown hosts? (cloveprivodo RSA)y ssh-hosf-key.pub (clovepúblico RSA)en el directoriooculto.Por
esto rozón, es preferibleusor lo versión2.
C o s o p r ó c t i c o4
Iniciode sesiónSSHcon oulenticociónpor conlroseño Duroción:C 20 min Dificultod:O fócil
Obietivo:elemplificoruno conexióncon outenticoción

por Desqrrollo:
controseñodel usuorioolumnol o lo móquinoremotoser-
vidor.ou/oSER.com como olumno. I. Considerociones
previos
Utilidodes:en el ordenodordel profesordebe estorinstolo- Antes de empezor,tendrósque osegurortede que se
do y configurodopreviomente el servidorOpenSSH. c u m p l e nl o s r e q u i s i t os i g u i e n t e s :
(Continúo)
(
Servicio de occeso y control remoto 3
4 p
Cosopróctico
E n e l o u l o e x i s t ed e f i n i d oe l d o m i n i o :o u l o S E R . c o m . 2. Conexión remoto ssh por primero vez
E n e l e q u i p op c 11 e x i s t ee l u s u o r i oo l u m n o l. E l u s u o r i o o l u m n o l i n i c i o u n o s e s i ó ns s h c o m o o l u m n o
en el servi dor:
existe el usuorio
En el servidorservidor.oulosER.com
olumno. alumnol@pc11$ ssh alumno@servidor.aul'a
S E R .c o m
B o rchi vo / eI c / s s h/ s s h d -c o n fi g d e l s e rv i d o r.o u l oS E R .com Lo pri mero vez que i ni ci es sesi ónverós el m ensoie:
dab€ contener estos líneos:
?::t 22 The authenticity of host iservidor.
?rctocol- 2 aul-aser. com (I92.168 .100 .254) i canit be
establ ished.
L:stKey / etc/ ssh/ ssh_host_rsa_key
RSA key fingerprint is ee:51:d7:93: 12z5
?:bkeyAuthentication yes
d : 9 2 : 9 8 : 6 c 2 2 9: 9 e : f a : 7 1 : 0 9 : d 2 : e 8 .
?asswordAuthentication yes A re you sure you w ant to conti nue
-i - l Fo r war ding yes connecting (yes /no) ? yes
Warning: Permanently added iservidor.
aulaser. comi (RSA) to the list of known
Donde:
hosts.
Lo primerolíneo indico el puertode escuchodel servi- al-umno@servidor. aulaser. comis password :
dorSSH. xxxxxxxx
L o s e g u n d oi n d i c o q u e s e e s t ó u t i l i z o n d ol o v e r s i ó n2 0 packages can be updated.
de SSH.
'u,paates
Lo terceroindico cuól es el orchivoque contienelos clo-
á are security updates .
vesprivodos.
alumno@servidor r -$
por
Locuortoindicoque estópermitidolo outenticoción
c l o v ep ú b l i c o . Lo respuestoyes implico oceptor lo clove público del
L o q u i n t oi n d i c oq u e s e h o b ¡ l ¡ t ol o o u t e n t i c o c i ónno r m o lservidory se oñode ol orchivo-/.ssh/known-hosts.
o o r s i f o l l o nl o s d e m ó s . - C u o n d oe l u s u o r i oc i e r r ol o c o n e x i ó n :
Lo sextoindico que se permite,o los clientesque se co- alumno@servidor : -$ exit
necten,eiecutoroplicocionesde X Window y tronsmitir
lo informocióngróficosobrelo conexiónseguro. I ogout
Connect.ion to servidor. aul-aSER.com closed.
El orchivo/etc/ssh/ssh-configdel equipo pc1 1 contiene: 3. Conexionesremotos siguientes

Host * Lo próximovez que el usuorioolumnol desdepcl I se
conectecomo usuorioolumnoen el servidor:
Port 22
Protocol 2 s s h a l u m n o @ s e r v i d o r . a u l - a S E Rc. o m
StrictHostKeyChecking ask al-umno@servidor . aul aser . comi.s pas sword :
XXXXXX
PubkeyAuthent icat ion yes
0 packages can be updated.
PasswordAuthentication yes
0 updates are security updates.
IdentityFile -/ .ssh/id rsa
L a s t l o g i n : W e dA u g 5 2 0 : 0 5 : 5 5 2 0 0 9 f r o m
ForwardXll yes pc11.l-ocal
0 packages can be updated.
Donde: 0 updates are security updates.
alumno@servidor : -$
Lo primerolíneo indico que el clienteSSH puede occe-
der o cuolquiem r ó q u i n or e m o t o . Si en uno nuevoconexiónol servidor.ouloSER.com se
Lo sextolíneoindicoque el occesose reolizoróutilizon- recibeuno clovepúblicodiferenteo lo de known-hosts
do lo clove privodo. oporeceun mensoiede ovisoy lo conexiónoborto.
97
. Én Ubuntulo instolqcióndel 55H con ü 20 min

Duroción:
softwore necesqriodel DNI , oubnficociónpor clovePúblico
electrónicorequierelos Poque
cs Debionopenscdnie-l.4.5- Obietivo: mostror cómo se desorrollo uno conexión, con outenticociónpor clove
pftüli-o, del usuorio olumnol o lo móquino remoto servídor.ouloSER.com como
I -i 3 8ó-Ubuntu-lntrePid-lbex.
d"b y lo libreríocriptogrófico usuorioolumno.
openscpkcsl l.
Desorrollo:
. En lo URLhttp://www.dnielec
lronko.es/tiénesdisponibleel l. Considerocionesprevios
softworeof¡c¡ole informqción Antesde inicior lo próctico,es precisoosegurorsede que se cumplenlos requi-
relocionodo con el DNle. sitossiguientes:
. En el oulo existedef¡nidoel dominio:ouloSER.com.
o En el equipo pcl I existeel usuorioolumnol '
existeel usuorio olumno.
. En ef servidorservidor.oulosER.com
2. Crenerociónde cloves
En el clientepc1 se generonlos clovespúblico/privodo:
alumnol-@pc1-1 : -$ssh-keygen -t rsa
Generating public/private rsa key pair '
Enter f ile in which to save the key (/home/ alumnol-/ -ssh/
id_rsa) : INTRO
Enter passphrase (empty for no passphrase) : YYYYYYYYYY
Enter same passphrase again: YYYYYYYYYY
your identif icat.ion has been saved in /home/ alumnol/
. ssh/ id_rsa .
Your public key has been saved in /home/alumnol- / .ssh/
id_rsa . pub .
The key fingerPrint is:
e f : 6 8 : 1 3 z 4 ! z 2 c z 4 3: 9 c : b l - : 7 b : 5 d : 8 c : 4 1 , : 3 b 1 . 4z74 a z4 L a l u m n o l - @
Pc1-1
The keyis randomart image is:
a l u m n o l @ p c 1 1 :- $
Lo orden ssh-keygen genero y odministroclovesporo SSH. Genero.un.por
de clovespúblicoy priuüo RSAcon longitud2048.bits. Preguntodónde olmo-
cenorlos¡ÉNffn -'poth por defectoly piá" u.nopolobro de poso poro lo clove
público (dosveces|que es lo que protegerólo clove privodo.
3. Propogociónde lo clovepúblico
Ahoro debescopior lo clove públicool directoriohomedel usuorioolumnoI en
el servidor, orchivo -/.ish/outhorized-keys. En generoldeberós.copiorlo
"n "i móquinoso los que se quieroconectorel usuorioolumnol:
en todosoquellos
Compruebolo generociónde los orchivosindicodosen el poso 2:
a l u m n o l @ p c l 1 :- $ l s - a . s s h /
id_rsa id-rsa.Pub known-hosts
(Continúo)
'''{
(ContínuaciónJ Cosopróctico5 p
Se copio el orchivo con lo clove público ol directorio -rl.ssh del usuorio olumnto: o Poro lo octivoción del ogente
sshcgent hoy que editqr el
a l - u m n o 1 @ p c 1 1r - $ s c p . / . ssh/id rsa.pub alumno@servidor. orchivo /etc/ ssh/ssh_configy
aulaser . com: -/ . ssh comproborlo líneo:
a l -u mno@s er v idor . a u l -a s e r. c o m i s p a s s w o rd : X X X X X X
ForwardAgent yes
i d _ rsa . pub 100? 394 0.4IKB/s 00:00 o Este proceso funcionoró si en
Estoblecede nuevo lo conexión poro hocer los últimos combios: los permisos de lo corpeto
-/.ssh/ y el orchivo */.ssh/
alumnol@pc11: -$ ssh al_umno@servidor. aulaser. com outhorized_keys del usuoriono
a l -u mn o@s er v idor . a u l -a s e r. c o m i s p a s s w ord : X X X X X X se osignon permisosde lecturo
Linux servidor 2.6.28-l-1-generíc #42-ubunt.u sMp Fri Apr y escriturqporo el grupo del
17 01:57:59 UTC 2009 i686 usuorioy el restode usuorios.
Situodo en el directorio .ssh del usuorio olumno se oñode el identificodor RSA

p ú b l i co o los c lov es o u to ri z o d o s :
alumno@servidor , - / . ssh$ cat id_rsa. pub >>authorized keys

alumno@servidor | - / . sshg ls -1
-r\^/-r--r-- 1 a l _ u m n oa l u m n o 3 9 4 2 0 0 9 - 0 8 - 0 6 0 g : 5 g
-r\^r-r--r-- r alumno al-umno 394 2009-09-06 0g:56 id rsa.
pub
a l u mn o @s er v idor - / . s s h $ c h mo d g o -rw x authori zed_keys
-
a l u mn o @s er v idor t / . s s h $ e x i t
logout connect ion to servidor. aul-aser. com crosed..
alumnol@pc11 t -$
Conexión
Ah o ro e l us uor io olum n o l i n i c i o u n o n u e v o s e s i ó n como usuori o ol umno en el
servidor:
al -u mn o1@pc 11, - $ ssh a l u mn o @ s e rv i d .o r. aul aser. com
Solic¡to lo frose
dg poro en lo ventono mostrodo en lo Figuro 3.26, y cuondo el
usuorio olumnol lo introduce se estoblece lo conexión.
0 p a ck ages c an b e u p d a te d .
0 updates are security updates. Acfividodcs'p
Last login: Thu Aug 6 0B:56:44 2OOg from pcll.local
24. ¿CvolquierservidorSSH
0 p a ckages c an b e u p d a te d . oceptoríolo outenticoción
0 updates are security updates. con clovespúblicos?
al -u mn o@s er v idor , -$
25. ¿Dóndecopio el usuoriolo
Si lo outenticoción clovepúblicoque le ho ge
follo, el servidor lntroduzcr l¡ oontra¡cñr para dcrbloqucar nerodo ssh_keygen?¿En
f¡
intentoróhoceruno ü,,U
h clerr prlvrde qué orchivolo guordo?
outenticociónpor Unaafllcaclónguieveaccedera la claveplvada
controseñoy se lo ealumrpl@pcll¡,pe¡oestábloqt¡eada 26. ¿Podemos combior lo fro-
pediró ol cliente. se con lo que uno clove
.aaooaoororool privodo fue encriptodo?
ü Desbloqrcarestacl¿ve pnvadaar¡tomáticamer*esl inlciarsesion.
27. ¿Sobríqs indicorqué ven-
tojos tiene el sistemode
l-Dr".s"fFGrt'l outenticociónpor clove
público?
) -t
,' 6.7. Elogentede ouüenticoción

ssh-ogent
El ogentede outenticociónpermitesimplificorel procesode.conexióno uno móquino
por clove público.
remotoen coso de que se utiliceoutenticoción
El ogentessh-ogent ol clien-
octúocomo olmocénde los clovesprivodosy los suministro
te SSH codo vez que estelos necesito.
En lo prócticoestosignificoque únicomente se tendróque introducirlo polobro o frose
de poso uno solo vez. Estoes muy útil si se necesitolo conexióno vorios móquinosre
motosdurontelo sesiónde troboio.
Lo formo de lonzorel ogente,si se estóutilizondosh o bosh,es lo siguiente:
'ssh-agent -
a l u m n o l @ p c 1 1, - $ e v a l
Agent pid 6L94
siguiendolos normosde
Lo ordenevat (evol[orgl [org2] ...])expondesusorgumentos
exponsiónde lo shelf, sepolóndolospor espociose intentoeiecutorlo codeno que
resultocomo si fuerouno orden.
Como se ho comentodo,el ogenteoctúocomo olmocénde los clovesprivodos.Iniciol-
menteel depósitode clovesdel ogenteestóvocío. Poro oñodir nuestroclove privodo
RSAo estedepósitose utilizoel comondossh-add:
a l u m n o l @ p c 1 1 :- $ s s h - a d d . s s h / i d _ r s a
Enter passphrase for . ssh/id_rsa:
Identity added: . ssh/id_rsa
a l u m n o @ p c 1 1: - $ s s h a l u m n o @ s e r v i d o r . a u l - a S E Rc. o m
al-umno@servidor r -$
A portirde estemomento,el ogentedisponeen memoriode lo cloveprivododescifrodo
y yo no pide ni frosede poso ni controseño.
Todoslos clientesde SSHque se orronquende ohoro en odelontesolicitorónestoclove
siempreque lo shell seo lo
ol ogente,sin que seo necesorionuestrointervención,
( s h
mismo o bosh).
de seguridodsobreel ogente
Considerociones
. Sshcgentes un proceso(demo En generol,en lo medido que se incrementolo focilidodde uso de un serviciotiene
nio) cuyo f¡nql¡dodes oyudor como consecuencio uno disminuciónen su seguridod.En estecoso ocurrelo mismo.El
ol usuoriocon los cloves. Es ounquesimplificoel procesode conexión,tiene sus
uso del ogentede outenticoción,
decir, el usuoriointroduceuno inconvenientes.
vez lo contrqseñqy sshcgent
se encorgode tronsmitirlo. Si por eiemplose deio el terminoldesotend¡do,cuolquieroque posepor delontepuede
conectorseo uno móquinoremotohociéndoseposor por el usuorioconectododesde
. Codo vez que se orronco el
ese terminol.No se le pediró que introduzcofrosede poso, yo que el ogentese encor-
servidor ssh-ogentse creo un goró de suministrorlo.
orchivoen /tmp con el PIDdel
Proceso. Portonto, el uso del ogentesolo es recomendobleen cososconcretosque iustifiquensu
r Es importontelimpior periódi- utilizoción.Si normolmente el usuoriosolo necesitoobrir dos o tressesionesremotos
comente este directorio /tmp proboblemente se puedo prescindirdel ogente.
porquepuedeocurrirque coin-
cido el PID del proceso ssh- Si de todos formosse utilizoel ogente,hoy que osegurorsede que el terminolquedo
ogent octuol con el de hoce bloqueodoontesde obondonorel puestode troboio, ounque seo por poco tiempo.
unosdíos y dorío un error. Tompocohoy que deior el ogenteeiecutóndose de un dío poro otro. Es preferibleque
codo vez se inicieuno nuevosesión.
remotocon FreeNX
C 7. Acceso
rstooplicoción permite.occeder o gn equipoGNU/Linuxde formoremoto.Utilizolo
.ecnoloqío itolionoNoMochine (http://
NX r[r.1".á;;-J;;;rrolto¿o'porlo empreso
de sesiones gróficosremotos (xl l) . S i hoy un ogenteeiecut óndo-
;;:;ilo.iri"X.á,;71, o;" permitelo eiecución comp'-
queno requieren grqnoncho de bondo. Estotecnologío s€, tonto scP como sf tP
¡edionteconexiones
t"i" g"rafi.oX W¡1{o* y lo tronsmite,
en el se'rvidor hociendouso i ntentorónusorl o.
""]/r¡gj "itr¿ft.t segu.ro.sSH-Es decir,cifroel tróficoentre
,"1 [;tJ.olá sét. o t.u¿r de uno.on""*ión E n coso controri o,om bos Pe-
como coché ocelerondo osí
: móquino ,."rotl y lo .aquino locol.Ademói Nx octúo di rón l o frose de p oso de lo
j-,turos cl ovepri vodoo bi en lo cont r o-
o c c e s o si d é n t i c o s .
Vino, seño GN U /Li nux, según co-
l s s i m i l o re n f u n c i o n o l i d ood l o s h e r r o m i e n t obso s o d o se n V N C . ( s e r v i d o r , V N C rrespondo.
R e o I V N C , . U l t r o V N e
C t,c é t e r o ) , P e u
r t
o i l i z o n d ou n o
: i e n t eS S HV i r ; ; r ; o " - G N O M E , . S i se qui ere hocer lo inst olo-
;;;1"éi; difere"nte yo que VNC no tronsmite lo informoción cifrodo'
c i ó n d e s d et e r m i n o l h, oYque
.,luchod s e l o sc l i e n t e sb o s o d o se n N X s o n m u l t i p l o t o f o r mcoo, n v e r s i o n eps o r g m u c h o s e i e c u t o rl o s s i g u i e n t e só.r d e -
P o r oW i n d o w s s o l o
: s t r i b u c i o n eGsN U / L i n u x ,W i n d o * r , s o l o r i s ,M o c o s , e t c é t e r o . nes,uno vez se hoYondescor -
sn el epígrofe7.3'
. t ; ¿ i ; p o n i b l e e l c l i e n t eN X q u e p r o b o r e m o e godo l os poquetes :
f u n c i o n o l i d o dL.o Ú n i c o $ sudo aP ti tude uPdat e
l e F r e e N Xe x i s t e nv e r s i o n elsi b r e sy p r o p i e t o r i ocso n l o m i s m o
r e r e n c i o n o d i s p o n i b ¡ l i d odde o s i s i e n t ensi s o p o r t e .
: e n t r ee l l o sr o d i c oe n l o $ sudo dP kg -r
n x c l i e n t - 3 . 3 ' 0- 6 _ l 3 8 6.
deb
en GNU/Linux
7.l.ServidorFreeNX $ sudo dP kg -a
n x n o d e _ 3. 3 . 0 - 1 7 - i 3 8 6 .
l o d e s c o r g oe i n s i o - deb
- : i n s t o l o c i ódne l s e r v i d o rF r e e N Xe n U b u n t uG N U / L i n u xr e q u i e r e
propiomente'
: c i ó n d e t r e s p o q u e t e sc: l i e n t eF r e e N X ,e l n o d o y e l s e r v i d o rF r e e N X $ sudo dPkg
- r-
: C e m ó se n e s eo r d e n p o r p r o b l e m o d
s e d e p e n d e n c i o s . nxserver_3 .3 .0-22-
rSUb . OeO
d e s d el o p ó g i n o
_ : d e s c o r g od e l o s p o q u e t e sl i b r e s( N X . F . r eEed i t i o ns) e p u e d er e o l i z o r
gdebise
comfy'loherromiento de
encorgo El poquetenxnodees necesorio
.: .i;i dul"proyJi;ffit7*.nomochine.
yo que eiecutonxogentsi se
, r r p r o b o r t o i d e p e n d " n c i ooss í c o m od e i n s t o l o r l o s .
utilizoX Window, nxdesktoPsi
se empleoRDPY nxserversi se
uti l i zoV N C .
tta escogidoabrir
nxserver-3. 3.O' 2 2-i 3E6. deb
el cual es un: Paquetede software
161.l'81"
de: http:/164.34.
¿Qué debería hacer Firefox con este archivo?
r Abrir con Instalador de paquetes GDebi (predetermínada)

ZLIBes uno bi bl i ot ecode com -
Guardararchivo
presi ón de dotos mult iplot of or -
adelante' ,1995
Hacer esto automaticamentepara los archlvoscomo éste de ahora en mo creodo en y de sof r
w o r e l i b r e . U t i l i z oe l m i s m oo l -
gori tmo de compre siónque lo
.*u AcePtar o r d e ng z i p .
ilcancelar
Descorgo del Poquefe de nxserver'
Srol
! crocesoservidorse llomo nxserver y su puertode escuchodeberó s e re l m i s m oq u e
:: E n e l C D t i e n e sd i s p o n i b l .el T
-:. el servidor: chivo
s o l oq u e d oc o m p r o b o rq u e s e e s t óe i e c u t o n d o con lo resolución de un
' - - i r a @ s e r v r d " o ,r - / - n x / c o n f i g $ p s a u x l g r e p n x s e r v e r coso prócticosobreoccesoremo-
O :O 0 n x s e r v e r -c / to utilizondolo herromiento VNC.
..27II4 O - O 1 . B 2 0 2 8 0 t 8 6 ' 7 2? Ss 19:06
'NX - - 1ogín
. ..r /br,n/nxserver
l0l
3 Serviciode occeso y control remoto
7.2.Cliente
NX en GNU/Linux
c A c t i v i do d e s
28. ¿Cuólesson losorchivos

de configurocióndel ser-
Lo instolocióndel clienteFreeNXcreo uno nuevoentrodoen el menúAplicociones>
Internet> NX Clientfor Linux,QUeo su vez contieneel clientepropiomente,uno herro'
m i e n t od e c o n f i g u r o c i óN
NX (NX SessionAd ministrotor)
n X ConnectioW
.
n i z o r d , y e l o d m i n i s t r o d odre s e s i o n ecsl i e n t e
vidor FreeNXy el cliente C o d o u s u o r i od i s p o n d r ód e u n d i r e c t o r i o. n x e n e l q u e g u o r d ol o s d o t o sd e s u s e s i ó n

NX? y su configurociónpersonolizodo.
29. ¿Poroqué sirvenlos pro- L o p r i m e r o v e zq u e e l u s u o r i oo b r o u n o s e s i ó nr e m o t os e e i e c u t o r ól o s i g u i e n t e
orden:
gromosq , u es ee i e c u t o n -wízard
/usr/xX /bin/nxclient
en el servidorNX, nxo-
gent y nxproxy? O lo opciónde menúNX ConnectionWizord.
Sesslon
Insert name of tne ¡esslon. Your conllguretlon

settlngswlll be savedwth thls name.
t\EIMAtrHlNE
SesslonlAutaSER
Insert server'sname and port where you want to
connect.
Host ffie*tF_
Selecttype of your lnternet connectlon.
MODEM ISDN ADSL WAN I-A},¡
< E a c rl l u-xt'l g a n c eIl
Fig. 3.28. Asistenteporo lo configurociónde lo conexiónNX.
E n e s t ep r o c e s oh o y q u e o s i g n o ru n n o m b r eo l o sesiónremoto(AuloSER), indicorel
n o m b r ed e l h o s ts o b r ee l q u e s e e s t o b l e c ed i c h o sesión(servidor)
y puerto(22lr.Si
lo conexiónremotose hoce o trovésde Internethoy que indicorel "l tipo de conexión
utilizodo.
flesKop Contlguratloncompletecl
UslngNX Cllentyou can run RDP,VNCand X Congratulatlons,connectlonto 'servldof rvlllbe

clesktops,clependlngon what the serv|ceprovlder saved as 'Ar¡lasER'.You may further conllgure
¡\EMAHINE has made avallabte. r\[IMA&IINE your sesslonby runnlngthe Advanced
-l Conllguratlonrllalog,
ffiJIGNoME settinsEI -l%
Selectslze of your remote desktop.
'r,r,fffil H,lffil
Authorlzatloncredentlalsare alwaysencrypted at
\ F Createshortcut on desktop
the tlme connectlonls establlshed.To enhance t7 Snowthe AdvencedConñgurefloncilatog
performance,you cán dlsablethe encrypuonof the
clat¿tralt'lc. ñá'-
{-*:,-
l- D¡saOleencryptlonof elltramc
T*'*,-"
. g a c r1 t i l " " ' l C ¿ n c Ie l r;ffii

< Eack I lL_....ElniF.ll*.i1Gancel I
I
Fig. 3.29. Dofosde la configurociónde lo conexiónNX.

(
Servicio de occeso y control remoto \,
u t i l i z o d op o r e l
c o n t i n u o c i ó nh,o y q u e i n d i c o re l t ¡ p od e c o n e x i ó n( U n i x ) e, l e s c r i t o r i o
rvidor FreeNX(GNOME),el tomoñode lo ventonoremoto (Avoiloble oreo) y, sobre
, no octivor lo cosillo de Desoctivociónde lo encriptoción del frófico, yo que se
í o p e r d i e n d ou n o f u n c i o n o l ¡ d om d uyimportontd ee FreeNX.
nodoslos porómetrosinicioles,se muestrolo interfozde lo configurociónovonzodo
w fheAdvonced Configurofiondiolog) de lo conexión remoto. En ello se pueden
storotrosporómetrosrelocionodos con lo red, lo gestiónde lo coché,etcétero.
hEMAEHINT
{
I ser,rtces I enuronment
Gieneral i#.y.3.T1?.gl
r Network
I
I f otsable encrl4rtlon of all traftlc
f Dlsable ZLIB stream compresslon
f- Connect through a HTTP prory 5ettlngs,..
l- Dl¡able deferred screen updates

Cache¡
In memory | tG Mb-- .3 on dtsk lG4 Mb :l
Removeall cache nresI
eerete | ¡ave ll ql. I cancerI
füg. 3.30. Configurociónovonzado de lo conexiónNX.
El usuorioyo puedeobrir uno sesiónremotoen el servidordel Aulo SER.Poroello debe

seguir esteitinerorio:
Aplicociones> lnfernef> NX Client for Linux> NX Client for Linux
Lo Figuro3.3,l muestrolo ventonode conexióndel clienteNX. Desdelo opción de
menú NX SessionAdmínistrotor de lo sesión
se puede comproborel estoblecimiento
remotoosí como octuorsobreello (Session).
Et 5.6shn yirtr Aboüt ]\|ÍSlV|Ar':N-llNt

($€rÉr{}
Ceathri Date lFid iStetus
NffMAEHINT
Pesstrord l***'***'r'r
Sesslon Sen
lAr.rta :l
Fig.3.31. Conexiónol servidor55H. f- Loglnás a gu€st us€r
I L"rt"-l gose I
,Fr
)
J Servicio de occeso y control remoto
/
Lo Fiquro3.32 muestro en el clientelo ventonode conexión del usuorioolumnolol

comousuoriootiÁno. Es todos
decir, los qcciones y visuoli'
reolizodos
""r'J.'ilij; desdesuequipoen estosesiónse eiecutondo
estorón en el servi'
;;;5r"ü;i;lr;;;t
dor boioel usuorioolumno.
Escriforio
3.32. EsCriforio
Fig. 3.32. remofo olumnol
usuorioalumno
de!usuorto
remofodel t en to móquina
en lo :servidor'
nt(J.(futttu
eiecutodo en
Se pueden comprobor olgunos porómetros de lo conexión viendo lo orden
el propio servidor FreeNX:
nx
21-L65O.O 0.2 6268 2472 ? S 19: 06 O:O0 /usr/Xx/bin/nxssh
-nxservermode -I alumno localhost -p 22 -x -2 -o
p a s s w o rd A u th e n t i cati on yes -o P ubkeyA uthenti cati on no - o
- o
RhostsAuthentication no -o RSAAuthentication no
no - o s t r i c t H o s t K e y c h e c k ing no /usr/NX/
RhostsRSAAuthentication
b i n /n x n o d e
7.3. ClienteNX en Windows

un servi-
Desdeun equipocon Windows se puedeestobleceruno sesiónremotocontro
NX poro
dor FreeNX'enGNU/Linux. Poro ello hoy que descorgore instolorel cliente
P oro e l cl i ent e NX W ind o w s ,
W i n d o w sd e l o p ó g i n oo f i c i o ld e N o M o c h i n e .
oro ce d ed e f or m o s im ilor o l o Al eiecutorNX C|ientfor Windows e introducirlo controseño del usuorioolumnose obre
desco rg oe ins t oloc ión del c l i e n - lo vántonode conexiónol servidor.Al trotorse de lo primerQvezt pide confirmoción
t e N X d e GNU/ Linux . sobrelo outenticidoddel host,iniciolo sesióny finolmente muestrouno ventonoidéntico
o l o d e l o F i g u r o3 . 3 3 .
NÍSMAtrHINE O
¡r Theauthenticity 192.168.100'254,
of hostservidor.
Cordig to savilr tt can'tbeestablished.
set"ir I i-t1t I is:

TheHSAkeYfingePrint
ee:51:d?:93:12:5d:3?:9E:6c:29:9e:fa:7'l:09:d2:eB'
NCTMAtrHINE ?" Areyousureyouwantto continueconnecting?
ÚPccc¡in ir{umdirt
Do,,unlo¡ding
serair lii:ffi*jl
f-G-_l ry" I
ol servidor
Fig"3.33.Conexión windows.
ssH desdeun clienfe
oPo-
L o v e n t o n od e t r o b o i o m o s t r o d oe n l o m ó q u i n oW i n d o w s e s i d é n t i c oo l o q u e
r e c e e n l o F i g u r o3 . 3 2 .
S e r v i c i od e o c c e s oy c o n t r o ir e r r ' ' J l c 3
O 8. ServidorSSHboioWindows2008Server
C c n o s e i n d i c óe n l o i n t r o d u c c i óon e s t ou n i d o d ,l o s o l u c i ó no l o s p r o b l e m o sd e s e g u -
n : : d d e T e l n est e l l o m oS e c u r eS h e l l( S S H )e, n e s t ec o s o p o r o W i n d o w s .E x i s t e vn o r i o s
F € - . o m i e n t oSsS H p o r o W i n d o w s e n ' e l m e r c o d o ,m u c h o sp r o p i e t o r i oyt o l g u n ol i b r e .
D e e l l o ss e h o e l e g i d ol o o p c i ó n l i b r e f r e e S S H dy o q u e e l n i v e l d e c o m p l e i i d o dd e
C c e n S S Hp o r o W i ñ d o w s2 0 0 8 S e r v e rn o l o h o c e r e c o m e n d o b l e .
Lc-p. r i n c i p o l ecso r o c t e r í s t i c d
oes freeSSHd s o nl o ss i g u i e n t e s :
. z e r m i t el o u t i l i z o c i ó n
d e S S Hs o b r el o s i n t e r f o c edse r e d q u e o s i g n e m o s .
. Soportovoriosmétodosde outenticoción, integrodoen Ac-
incluyendooutenticoción
'ive Directory(NTLM).
. Soportovoriosmétodosde cifrodoAESyotros (3DES,Blowfish,etcétero). ftivd¿ k¡yc ¡hoJd bc crc¡tcd. Sha/d I & I rcr¡?
. )ermiteestoblecer
túnelesseguros.
f -r'_-l f ú_l
s l o s q u e s e l e p e r m i t el o c o n e x i ó nS S H ,i n c l u s ol o u t i l i -
S e l e c c i o nooq u e l l o su s u o r i o o
z o c i ó nd e t ú n e l e sy F T Ps e g u r o .
o ó q u i n o s / r e d eos l o s q u e s e l e s p e r m i t eo d e n i e g ol o c o n e x i ó n .
S e l e c c i o nm
Do yur *at lo nm Frcc6$Hda a sprrrt rrlirc?
Llevoun registrode todos los operocionesreolizodosy permiiecontrolortodos los
s e s i o n eosb i e r t o s . i--..t':-l f--l¡"-l
Esrecomendoble reolizorlo instolociónde freesshd.exe con los voloresPor defecto.Lo '
,,:i , .l'i lnstoloción del servidor SSH
F E u r o3 . 3 4 m u e s t r ol o s d o s ú l t i m o sp r e g u n t o qs u e r e o l i z ol o i n s t o l o c i ó n . poro Windows freeSSHd.
[ ^ e s t ec o s o ,s e h o o p t o d op o r n o e i e c u t o sr s h dc o m o u n s e r v i c i oS . e h o r ó s o l oc u o n d o
"erese.
Artes de eiecutorel servidorfreeSSHdquedon ofrosdos foreospor reolizor:
l. Añodir/comproborque existelo cuentodel usuorioolumnoy odminisfrodor.
Al oñodir los usuoriosque podrón conectorse ol servidorhoy diferentesmétodosde
outorizoción.Si se seleccionoNf outhenficofion, el usuoriose podró conectorconsu
nombrede usuorio/controseño de Windows. Lo opción Posswordsforedos SHAI
h o s hl o q u e h o c e e s c r e o r u n n u e v op o r l o g i n / c o n t r o s e ñdoe u s u o r i ov ó l i d o s o l o
DoroestoconexiónSSH.
E ne l C D ti enesdisponible
chivo
con lo resoluciónoe un
"P
coso prócticosobreoccesoremo-
to utilizondolo herromientoReol-
VNC boio Windows.
Poro instolorfreeSSHden Win-

dows 2008 Serverhoy que des-
corgor de lo URL http://**.
freesshd.com/ el orchivo frees-
s h d . e x ev e r s i ó n1 . 2 . 4 .
,;:, 3.li Propiedodes de los usuorios en freeSSHd.
)
3 S e r v i c i od e o c c e s oy c o n t r o lr e m o t o
Jqgl, l 2. Abrir uno nuevoreglqen el cortofuegosde WindowsServe'

j
2008 (Fig.3 3ó) HoY que o:
dirigirse
RN
¡*a**
La ..4 l ai¡.
l n i c i o> H e r r o m i e n t oosd m i n i s t r o t i v o>sF i r e w o ldl e W i n
'rÉr.r'¡
Í
t:¿'rtx+
dows con seguridodovonzodo'
t':**'"c'rh
Medionte esto occión, se oñode uno excepciónporc

: tt *
Y i *
los¿&9 dr qt¡ lña 8' ¡:,¡ ?

ssH el puerto22 y que se permitonlos conexiones
á " r d " t o d o sl o s ó m b i t á s . ' A s i g n ourn n o m b r eo l o n u e v c
"n
atWV t'A
a fuFr
i+aoassüdab{ffiÓútúítr 9',."
6 ñie reglo, por eiemploreglo- freesshd'
q.ta u etda f iffit d. s ¡r* f:9 t UCt
a fttí¡¡¡¡.
que quedo refle¡o-
por último,se lonzoel servidorfreeSSHd,
a iral¿tl
do con su iconoen lo bondeiodel sistemo'
i.* 0ié.¡ú
8.1. conexiónql servidorfreeSsHd:

cliente
PuTTY(Windows)
¿- lf6;l c'.* I
Desdeun clienteWindows utilizomosPuTTY Poroestoblecer
uno conexióncon el servidor freeSSHd. Eiecutor lo orden
( p ó g. 7 7 ) , m u e s t r i
o o .
v e n t o n oe n l o
i l r t y ; " , i o f i g u r o3 . ó
d
s sp o r ó m e t r o s
q u e ' i n d i c o r e m ól o e l o c o n e x i ó n '
Creación de uno nuevo regla en el corfafuegos'
de ouloservidorWN.
en el servidor
fig. 3.37"Consoloremota
del sistemoremotoy,lo
Cuondo se estoblecelo conexiónvío SSH, se pide el usuorio
servidor
conrroseño. nhJJt; ; p;;;lroboior .o¡9_ii se estuvieroen lo consolodel
o e n u n o t e r m i n ocl o m o m u e s t r ol o F i g u r o3 ' 3 7 '
Porodesconector, bostocon eiecutorlo orden exit y cerrorlo ventonode PuTTY'
^h-
-!t
g.2.Conexión clientessh(GNu/tinux)
ol servidorfreeSSHd:
. D,TTYTroy es un cliente ssh lo orden ssh poro estoblecerlo
¡eio ro d o y es t ódis P onib l e n
Desdeun clienteGNU/L¡nuxutilizomosdirectomente
lo siguiente:
Únt htt'p://www.xs4oll.nU conexióncon el-servidárfreeSSHd.Tonsolo hoy que eiecutor
"
-whoo/putty/ S s u d o s s h a d m i n i s t r a d o r @ I 9 2 ' 1 6 8 ' 1 0 0' 2 5 4
. R eo | VN Ces t ó dis ponibl ee n remo-
Lo primeroyezpide confirmociónde lo clove,ymuestroel prompti:]:::quino
h t t p :I / w w w . r e o l v n c . c o m /
to seryidorwN o lo que nos hemosconectodocomo usuorioAdministrodor.
downlood-free.html
X I IVN C e s t ódis P oniblee n
http:/ /www.korlrunge.com/ Archivo Editar Yer Ierminal Ayuda
'
xl lvnc l , l i c r o s o f tl l i n d o w sl V e r s i $ n6 . 0 . 6 0 0 ] " 1 a d 0 r Q 1 9 2 . 1 6 8 ' 1 0 0 ' 2 5 4
. vnc4serverestó disponibleen Copyright(c)2006HicrosoftCorporation.Reservadostodos1osderechos.
ht tp :f f sour c ef or ge. net/Pro
C:\Users\Administrador.SERVlD0Rt{Iil\Desktop> I I:
i e i t s / l i b v n c s e r v e r / f i l e s/
x l l vn c/O. 9. 8/
de aulo servidorWN(GNU/Linux)'
en el servidor
Fis.3.3*. Consoloremolo
ló
S e r v i c i od e o c c e s oy c o n t r o ir e m o i o 3
Troy
de túnelesconPuTTY
8.3.Creqción
[n esteoportodo,dedicodoo lo oplicocióndir.ectode lo técnicodel reenvíode puertos
.nediontelo creociónde túneles,s" utilizorólo herromiento PuTTY Troy,uno versiónolgo
- ó s c o m p l e t od e P u T T Y q u e p e r m i t eg u o r d o rl o s d o t o sd e l q s s e s i o n ees n o r c h i v o sq u e
e r u s u o r i op u e d ec o p i o r .
C o s op r ó c t i cóo p
Accesool escritorioremoto GNU/Linux O fócil

Duroción:O I O min Dificultod:
mediontetúnel con 55H desdeWindows
Obietivo:mostrorlo creociónde túnelesICP/lP. C¡ryy
- Slsi¡ Seadin lqlufulW sin
PuTWTroy,Xl IVNC y ReolVNC.
Utilidodes:los herromientos -
LOgtlg
Iaild
lloclNmFlP&l tu
Kctboüd
r9 16Brm 25r 2
Desorrollo: 8ol
F6¿tu6 CmdrnSp:
' 'T*!l :' Rh¡
- Wido¡ Rd :; sSH
Hoy que creor un túneldesdeel puerto5900 del servidor fupGüre

Bcrw¡
L tad r4,¡ ¡t lrlei¿ ¡ ilorÉd-_áii(nl
O Ñ U i t i n u x h o c i o e l p u e r t o5 9 0 0 d e u n e q u i p od e l o u l o , ft*l¡¡qt
9cbcet
S¡ñdS6iñ
trn!óa httd
de formo que ol eiecutorVNC conectóndoloo nuestro -

Cúr¡
Cmclsr
Dlaa¡ Sdlr!¡
Fú.ftd
puertolocoi podomoscontrolorremotomente el escritorio Dd.

Eo,,y
del servidoG r NU/Linux. TalEt

Fhqn
+ SSH
5ad
l. Requisitos O@útdo.qdú
Af{qr! Nr€
r N U / L ¡ n u xu t i l i z o r e m oXsl I V N C S e r v e r
E ne l s e r v i d o G
o bien vnc4server.Deberíonestoroctivodoslos opcio-
nesde utilizociónde reenvíode puertos. Cesq,
- Irrrd ^ {¡dinotÚ¡ssHPttnú¡
En el clienteWindows, en combio,se usoróPuTTY Troy Kq¡odd f:rr t,r,\,r,J¡rl

Ll, La¡ pot¡ ¡cc¿C com¡cu¡ ttú dü trd¡
c o m o c l i e n t eS S H p o r o o b r i r e l t ú n e l e n e l s e r v i d o r
9".
- *rlf- lRqrocoqtcoüFmfSSH'2qlvt
GNU/Linux y ReolVNC (visor)Poro estoblecerlo co- A¡Faare FcsrrdPot¡ , n*
?ffi^ tm r?7oor:5ffi
nexióngróficocon el servidorSSH. S.hclut
tt-t
- add,wtd'*dFft
del túnel
- L q @
2. Estoblecimiento Dda SqDFt ; A.ld I
H Ddi¡¡ú¡
EiecutoPuTTYy, en Session,introducelos dotos del ser- Rhtr
- SSH
' Lüd
; A¡o
Rc.ndc
' 'ltu{
Dfm
r- lñ,6
vidor SSH.Monténel pverto22. t(d
A¡}l
rTY
A continuoción, dirígeteo SSHy, desdeollí, o Tunnels x1l
Trtd
poro introducirlos dotossiguientes: puerto5900 de ori- 8r¡P
gen del servidorremotoy- lo direccióndel equipo del I abq¡ ¡ i,-:gS"-J;

c{.d
áulo con el puertocon el que se vo o estoblecer el tÚnel irq. ,i tí? Confíguroción del túnel.
e u o r d o rl o
( 1 2 7. 0 . 0 . 1: 5 9 0 0 ) .P u l s oA d d .E si m p o r i o n t g
configurociónde esto conexióncon un nombre (tunel Yo se ho creodoel túnel.
pruebo)poro futurosconexiones. Eiecutoel vNC viewer, introducelo direcciónlP locolhost
S i n s o l i r d e S S H ,p o s o o X l / y o c t i v o l o o p c i ó n X l I 1 2 7. 0 . 0 . ' l y p u l s oC o n e c f o r .
Forwording. E l s e r v i c i op i d e l o c o n t r o s e ñqou e s e h o i n t r o d u c i d o l e i e -
Abre el túnelpulsondoOpen. Despliegolo consolode c u t o r x l l v n c . E n l o m ó q u i n oW i n d o w s s e v i s u o l i z o r óe l
Verós escritorioremotoGNU/Linux.
Windows.Se te pediróel usuorioy lo controseño.
el promptdentrode lo móquinoGNU/Linuxservidor.
Uno vez outenticodoel usuorioen el servidor,eiecuto
d e s d e l o c o n s o l od e l o m ó q u i n oW i n d o w s e l s e r v i c i o
x l l v n c p o r o q u e e s c u c h e l p u e r t o5 9 0 0 d e l s e r v i d oyr
n o s p e r m i t or e o l i z o re l t ú n e l .
Tñ
YC
ServerFffil :l
Ereryption:I u.i'.,',,.3,., .T
$ x11vnc -bg -passwd ACCESS
-bg indico que el procesose eiecutoen bockground; ab*t | _s4*1. I f-oK-l q.*e I
-posswdosignouno controseñoPorooccederol escrito-
rio remotocon VNC. Eiecución del visor YNC.
t07
Y3 Serviciode occeso y control remoto
O 9. Servicios
de TerminqlServer
Porlo generol,los serviciosde terminol(Terminol
Server)de Windows 2008 permitenqr
FAct¡vidodes voriosusuoriospuedoniniciorsesiónsimultóneomente en el servidor.Estofuncionolidod
<
t iniciode sesiónremotoque en Unixero normoldesdesu oporición(19701,se incorporó
O . H o z u n r e s u m e nd e l o s Windows en I 991 poro los versionesNT o trovésde los serviciosde TerminolServer.
principolescorocterísti-
cos el protocoloRDP. Si vorios usuoriosse conectonde formo remotool servidorse estó permitiendolo eiecrr
ción de oplicocionesy el controlsobrelos escritorios físicomente
en dispositivos distor>
l l . ¿ C r e e sq u e e l F i r e w o l l tes.Y el odministrodor puedetenertombiéndisponibles voriossesionesremotosy occs
de Windows puedein- der desdeelloso los dispositivos locolesy o los unidodesde otrosequiposWindows-
t e r f e r i re n l o u t i l i z o c i ó n
de RemoteDesktop? Dentrode los serviciosde terminolse encuentroRemoteDesktop,que proporcionouno
interfozgrófico de usuorioporo el control remotode los escritoriosdentro de uno red
tL ¿Qué diferencio existe de óreo locol. El servidoreiecutolo oplicocióny solo se tronsmiteentreel clientey el
e n t r eu t i l i z o rN X c l i e n o
t servidorlo informociónque provienede los dispositivos rotón,teclodoy monitor.
Remote Desktop? ¿Sir-
porolo mismo? Losprincipolescorocterísticqs
son los siguientes:
. P e r m i t el o o d m i n i s t r o c i ó n
g r ó f i c o d e s e r v i d o r e sW i n d o w s 2 0 0 8 d e s d e e l c l i e n t e
de los serviciosde terminol,yo se trotede un equipoWindows XP,Windows 2000
o Windows Visto.
. P e r m i t el o i n s t o l o c i ó n
y e i e c u c i ó nr e m o t od e o p l i c o c i o n e so, s í c o m o l o r e o l i z o c i ó n
de octuolizociones remotos.
. Lo eiecuciónde sesionesremotosde odministroción
no ofectool rendimientodel sistemo.
. Hoy disponiblesdos sesiones
virtuolesremotosporo lo odministroción,
odemósde lo
consoloreol del servidor.
. Lo comunicociónentreel clienfey el servidorse llevoo cobo medionteel protocolo
de escritorioremoto RDP(RemoteDesktopProtocol),que es un protocolode oplico-
ción (bosodoen TCP/IP)que se utilizo poro presentorlos elementosde lo interfoz
gróficool cliente.
Estosserviciosde terminolestónintegrodosy disponibles
desdelo propio instoloción
de
Windows 2O0B Server.Deben octivorsedesde lo opción Agregor funciones(Adminis-
trodordel servidor).
O Activoción
de RemoteDesktop:
servidor
Con el controlremotode escritorio(RemoteDesktop)el odministrodorpuedever lo que
estónhociendolos clientesosí como controlorsu teclodoy rotón.
El serviciode terminolRemoteDesktopse instolopor defectocon Windows 2008 Ser-
ver, pero no quedo octivodo.Poro octivorlohoy que occedero los propiedodesdel
sistemo;poro ello, es precisoseguiresteitinerorio:
lnicio> Ponelde control> Sistemoy montenimiento
> Permitiroccesoremoto
Ve o lo pestoñoAcceso remofoy octivo Permitirlos conexionesdesde equipos...Como
t¡ocoft pone o disposiciónde verós,se puedeespecificorlos usuorioso los que se permitelo conexión.PulsoAceptor.
¡ r¡suoriosunos póginos web
Losconexionesreolizodoso trovésde los serviciosde terminolse llevono cobo de for-
nde explicocon detollelos fun-
mlidodes y corocterísticosde
mo encriptodo,y es posiblemodificorlos nivelesde encriptoción.Aunquepor defecto
¡¡enridores.SellomonMicrosoft se utilizoun nivelolto (encriptoción
de l2B bits),no todoslosclientessoportonestenivel
drtrlet. de encriptoción.Es importonte,por tonto, deior octivodo lo opción Clientecompotible,
que proporcionorólo encriptociónmoyor que seo copoz de soportorel cliente.Poro
odizo informociónsobreRemote ello hobró que seguiresto ruto:
rtrp poro Windows 2008
rrer en esospóginqsweb. Inicio> Herromientos > TerminolServices> Configurociónde Terminol
Administrotivos
Server
S e ' v i l r O l 1 j eü C C e S o y C o n l t c ; l e r l , ; : - ' 3 (
r.,
, 1 . 1 ¡ . 1¡t , :
tl ] p¡rtt¿cconuo - ststelnavr¡entÉrvnL¡nto - v
(t, I
E l usuori opuede occedero su

iPhonemed¡onteSSH y osí ges-
rróiror- ¡c/r -<¡r
ern*o-r -ue/- rs¡siefno'-
, ¡ SBtema
-f. E" ¡ :e-i cear:e ''3'1c¡'e {+ , . ,¡ Élf : fét í€ r'A,:eS¿ÍOr ¡ aor.r1.r AÉ.1¿59rgntgtO
it:gsi"arp ':cnbre le este eülrDC

poro modi fi corol go , o incluso
;r,*,ffi's."'''' ¡l i nstol oropl i coci onesen el iPho-
{Qr ¡'r.'
NoÍtre deequ{roI r|a*n'ae I opeionesavarzaoaa fucesoremcnoI [.,o..,
"r,.,.0-, nel i P od.
I
3 Op€i
famt
Cañi
¡-.Aoücncrarunot
[,,a
I
En concreto,poro Windows se
necesi to:
( ari:t
opci Sc habffará la sccqcron dc Firewallen E¡critorio rc*noto

o E l propi o i P hone / iPodTouch
* Canl
Bgd h$¡lla ls 6(cepüón d€ elctitono r€rflotg para con ioilbreok.
todas lag ñtslac€€ cn e$c eqJloo.
4{ Info
5.,si.
Esaritsio frrüdo "
..
h¡cd¡ h¡h'ihu cdcdivanü1tt oartc! irtcdaFs
r¡grdo l¿ haran¡srüa Frewall.
o WinSCP.
HtgE cfic cn r¡ra ogcron y dcq 'Open SHH.
,i'l conadars¿. g¡lucra ñcccslno.
C l,¡o psmtrl¡s concü¡gr€s i

ffii
¡ ConexiónWifi
(i Panürl¡s conocior¡¡s dcs,
cr¡alar¡cr vcrsior de Escdc
f A""É¡rI Recuerdo que ioilbreok es el
a P€rn{isólols
r¡mdo con Aitcrlicrcnn a rrvei dc r¡d inas ¡ce¡oi
procesoque permiteocceder o
Tar€as rcclenteS
todos los orchivosy corpetosen
|r re'ri:trr a:icso'eñoto
¡tq.¡dün! ¡ 6lsor Sdcccor el iPhone.
:,esnstRlafúr ntogra,¡a
_¡snA.:A _.,P^lA
ñ\ánFé aF ñ
¡*e- I c.'*¡* | ',r.,,,,

=, I
t i i Permifir conexiones remofos.
Accededesde ollí o RDP-TCP y, pulsondoel botón derecho,seleccionolos Propiedo-

C e s .A d e m ó s d e l n i v e l d e e n c r i p t o c i ó np, o r o l o c o n e x i ó ns e p u e d e e s t o b l e c eor
trovésde los diferentespestoñosel uso del controlremotoporo observoro controlor
r e m o t o m e n tleo s e s i ó nd e u s u o r i o e, l o d o p t o d o rd e r e d u t i l i z o d op o r o l o c o n e x i ó n e
,l
n ú m e r om ó x i m od e c o n e x i o n e sc,o n f i g u r o rl o s t i e m p o sd e e s p e r oy l o r e c o n e x i ó ne n
cosode que se pierdo,etcétero.
permitecontroloro los usuorios
Elodministrodor osí comoenviormensoies
y los sesiones,
o usuorios, o otrosservidores
conectorse en otrosdominiosen losque se confío,etcétero.
por eiemplo,octivolo interfozquemuestrolo Figuro3.42.
Loorden tsodmin.exe,
-IEJ¡J
Arch\¡o Acción ver Ayud6
(b r* 11 E i'-
d Aúnrrsüdtr dÉ Terñrnrl : Accinn€t
Mm*i¡trador de Terrr¡an¡L.
¡ r i ¡ ' ' L r - r 0n L l e . 3 . . .
Lh¡¡aros I Ses,onccI etocesos I ¡t¡ l^'lort¡" :lÉscla É, {qe-i...
ca"€:tór t3:1 Er €rfr.,!o
!- r,1rrgr:-<¿'¡
T :€s:3",e:t¡-
* Cerei .¿ ses arl
$ ir.,ca
j. Permifir conexiones remofos.
r09
-
\
\
Y r r
J d" o.."to y ffi
S"ru,.io
7
O Activociónde RemoteDeshop:cliente
Los serviciosde TerminolServer poro el cliente se pueden utilizor de d¡ferentes
formos.
MMC
El orocedimientomós hobituol de conexión ol servidores mediontelo consolo
Console) o tombién eiecutondo el progromo msfsc.exe.
1Mi.roroftMonogement
se,introducelo orden
Luego.,
En esteúltimocoso es precisoir o Inicioy posor o Eie.cutor.
mstsc.exey se pulso Énter.Lo Figuro l.1Z muestrolo ventonodonde se nos pide que
introduzcohot el nombreo lP del servidorremoto'
'-rbt#1dd
iacio de sesón
Edrdrdtdddrinlqrú'
xde's¡übm
Sc rdct¡&rc¡d¡nci& d coldc¡a
Emrmg¡üdübctcünddcc
út.;-rl de l¿ conexón
ed b cdúglrüih dc caaih dd an in ücliYo
. DPo üa¡¡r¡ca¡adihg¡üdda
a 'I - [ @ @ @ tffi dtt¡n¡¡ic l¡in¡nc*¡na*
5c¡dcMronffidoatd¡r
[m[m[m@
Fig. 3.43. Conexióno escritoríoremoto.
A continuoción, Unovez hecholo volidoción

pulsoel botón Conectar. del usuorio,se
iniciolo sesiónremoto, pudiendoeiecutorse
'oir^ro todos. oquellosoplicocionesyôcciones
porolosqueel usuorio tengopermisos.Si el que
usuorio se conecto tieneprivi-
rendrólo óportunidod
[é¡át ¿L-oJrinittrodor, de toreos
reolizor de odministrociónde
formoremoto.
Si es precisoconectorse o lo consolodel servidor,hobróque eiecutorlo ordensi-
guiente:
C: \ > m s t s c . e x e / c o n s o l e /v: servidor
lo sesiónde consolooctivo en ese
En el servidorse deberó bloqueoroutomóticomente
En'elCD del librotienesdisPoni- momento.
ble el orchivo SMRSFR- 03 o equiposWindows
Ccsc Proctíco
c.pdf que contie- Con el serviciode escritorioremototombiénes posibleconectorse
ne lo descripción y utilizoción Xp o Visto. fn coso, solo es posibleobrir üno sesiónlocol o remotoy odemósel
"ti"
serviciodeberó estoro.í¡uodo y que el usuoriotengo uno controseño . En Propiedodes
del clienteSSn rdesktopdesde
uno del Sistemo, octivoremos lo p"riono Remofo y rorcáremos lo opción correspondiente.
GNU/Linuxporoestoblecer
conexiónremotoen Windows.
O [o herrqmientqrdesktop
Otro herromientoporo el control remoto es rdeskfop,un cliente,Open Sourcepolo
lár r"ru¡.iosde TerminolServerde Windows. Lo herrámientordesktopse comunicode
formo notivo.on protocolode escritorioremoto(RDP)poro ofrecerun escritorioo los
"l
usuoriosde Windows.
Serviciode occesoy controlremoto 3""1
C [o oplicocióntsclient
Disponibleporo Windows y GNU /Linux, octúo como interfoz grófico de rdesktop.
El occesose llevo o cobo desdeel menúde Ubuntusiguiendoeste itinerorio:
Aplicociones> Internet> Clientede TerminolServer XDMCPesel protocolode conÍrol
del gestorde pontollosX, que
Desde tsclíentes posible llevor o cobo conexionesremotoscon cuolquierode los proto comunicoun equipo servidor
colosvistoshostoohoro, como RDP,VNC y XDMCP.Permiteconfigurorlo conexiónen que eiecutoun gestorde vento-
el temo de tomoñode lo pontollo,profund¡dodde color, utilizocióndel sonidodel equi- nos bosodoen Xl I con clientes
po locol o del remoto,eiecuciónremotode oplicocionese incluyeopcionesporo meioror queseconecton q é1.
el rendimientodel sistemo. Se sueleutilizorporo estoblecer
Lo Figuro3.44 muestroel ospectogrófico de d¡cho herromiento. conexiones gróficoscontermino-
lestipo clienteligero.
rdffü..d¡Hrfilcrclón ,
** * mmbcdctq$o crdf* rtsb li*a rrc¡@

fi,
S.¡ipo:
Prohaolot
Usuado
co¡trls.tlü
DqE¡n¡o:
rqnbrerletamácirladcrk n]
A¡dircdelproEslo:
i
CsaÉ¡ránkba: i- f €ia¡'n-if8"",ú--,*
':EE'"'ln.*q
Fig.3.44. ClienteTermínolServerporo GNU/Línux.
En lo pestoño Generolse indico lo direcciónlP o nombrede lo móquino servidorSSH

o lo que se quiereconector,el nombredel usuorio,su controseñoy dominio Windows.
Al pulsor el botón Conector,se obre uno ventono, que muestroel escritorioremoto, en TeomVieweres uno utilidod poro
lo que se debe introducirlo controseñodel usuorioporo inicior lo sesiónde Windows. el control remoto de muy sencillo
monelo. Por eiemplo, permite
Si estoconexiónse estobleceo menudose puede guordor lo configurocióndqdo pulson- operor o distonciqen el equipo
do el botón Guordor como. Se genero un perfil de conexiónol que hobró que osignor un de un usuqrioque necesitoosis.
nombre.Lo opción Conexiónrópído permiterecuperorun perfil previomentedefinido. tenciq técnico. Tombiénofrece lo
posibilidod de comportir el con-
En lo pestoñoPontollose seleccionoel tomoño de lo ventono que mostroróel escritorio
tenido de lo pontollo con otros
remotoy lo profundidodde color. usuorioso orchivoso trqvésde lo
se indico si el sonido se reproduciróen el cliente,en el servidor,o
En Recursoslocole.s red de formo seguroy rópido.
bien no se reproduciró.Tomb¡énse indico lo disposicióndel teclodo utilizodoy si se Esgrofuito poro uso no comerciol.
quiereosociorde formo remofoel disco duro locol.
En el coso de que por olguno rozón no nos guste rdesktop,Ubuntutombién proveeotro
clienteWindows TerminolServer,lo oplicoción tsclientfferminolServicesClient) lh¡tpz//
gnomepro.com/tsclient|.Funcionocomo un clienteterminolservercentrolde GNOME que
proveeolgunosoptimizocionesy tombiénlo hobilito poro guordor informociónsobre uno
conexiónterminolserveren un f¡chero.De estemodo, y de uno monerosencilloy rópido,
ofrecelo posibilidodde recorgortodos los porómetrossin que hoyo que especificorlosen
codo conexión.Aunque lo último versiónestó siempredisponibleen los repositoriosde
Ubuntu,puedesobtenerel últimocódigo fuentey los poquetesporo otrossistemosbosodos
en GNOME en el sitio del proyecto (http://sourceforge.net/proiects/ts-client).

Tema 3

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 3

Cargado por

Copyright:

Formatos disponibles

) fr

J Serviciode occesoy controlremoto

O l. ¿Quées el serviciode occeso

occesode telcerosno deieodoso informociones confidencioles.

grofe5.2, Póg Bó).

Alqoritmos de encriptoción olgunos

entrelos dosversionesde SSH'

Brerto: lzz------_l -.-l lntrodrJzca fa cofirageña

Fig.3.3. Menú Lugores. /olumnosen el equipo 192.1ó8.100'254.

Si es lo primerovez que se estobleceesto conexión, Aunquese ho seleccionodo el tipo de servicioSSH -y

The servar'shostkey is nol cached h the regishy.You

5. Averiguoqué otros olgoritmosde encriptociónsimétricose utilizonoctuol-

h Figuro3.7 el usuorioA y el usuorioB conocenlo clove K. El mensojeoriginol,

[o utilizoprincipolmentelo boncoporo lo gestióny usode torietosde crédito.

o/ Estotécnicono utilizoolgoritmoseficientes, yo que no son rópidoso lo horo de cifror

ío de puertospuede ser interesontePoro los siguientespropósitos:

Es posibleque muestreun mensoiede seguridodrelocionodocon el certificododicien

Antesde obrir lo conexiónse pueden modificorolgunosporómetrosde lo conexión

Dlóqulna a lc que conectar Automática o 192.168.100.254

lladida da Tlpo de letra en puntoa o Pordefecto ' ', I

El procesoo demonioque se eiecutoen el clientees SSHy se encuentroen el dírectori

Dentrode los opcionesgróficos,tombiénpuedenutilizorselo herromientoFreeNX(se

Si el occesool servidorse hoce desdeuno terminolde texto,lo sintoxises lo siguiente

6:; archivo_locaI nombre-usuar:-o@

s:! /directorio/* nombre_usuario@ C o p i o d i r e c t o r i ol o c o l c o p i o d o o l o m ó q u i n o

rc c 3 I Sinfoxis de lo orden scp.

lumno1@pcl-1: -$ scp archivo p c t 2 z- SSHFS(secureShellFile System)

Es.eúltimocomondopermitevisuolizorlo listode órdenesftp disponibles.E.nestoco-

ffi 5.2. ReenvíoXl I

Móquinolocol Móquino remolq

Lo opción -X de lo orden ssh

Fig.3.12. SesiónX sin SSH.

A portirde ohoro,todolo quesetecleoen lo ventonode xterm (controseños incluidos

Móquinolocol Móquino remoio

orden que hoy que lonzor poro estoblecerlo terminolxtermen lo móquinoremoto

$ ssh -n u s u a ri o @ m a q u i n a r emota xterm &

estoscircunstoncioslo oplicocióneiecutodoconsumiróCPU de lo móquinoremoto

to the extent permitted by

To accessofficial Ubuntudocumentation,please visit:

Esteprocedimiento se boso en lo osignociónde un puertolocol del clienteo un puerto

¿Cómo osignoríosun S i e l o d m i n i s t r o d odre l s i s t e m on o q u i e r ed e i o r o c t i v ol o p o s i b i l ¡ d o dd e u t i l i z o re l r e e n -

Serviciode occesoy controlremoto

Escompotiblecon los protocolosSSHI y SSH2.

Obietivo:reolizorlo instolocióndel servidorSSH utilizondolo herromientoweb de

En el CD del libro existeuno

¡do E hq.Eh \ftrs¡manstal* Uftimaversirh Dtscripd'ón

Fig.3.l ó. /nsfo/ocióndel poqueteOpenSSHserver.

¿(¡* dcócrir lmcr F¡rrlbü ron rcb rrclJrc?

Abdrcgn C€storde ardúvadores (predetermirndal

5¡ü¡P sle SSll senrer so¡ rer¡rote A[ operatirg

Fig' 3.17. Descorgadel módulode odministroción

hstall fron Desde ¡rcl*Yo locel lrturn/elvinrtxritonorsshd.wbm.E

Si to d o ho f unc iono d o c o rre c to m e n te ,We b mi n devol veró el si gui ente mensoi e:

Servidor SSHen /usr/share/b/ebmin/sshd

Fiq. 3.19. Módulo Webmín SSH insfo/odo.

.c9rnrelvrra Ayuda.- EuscerDo(umentos

iiq. 3"2CI.Opcionesde configurocióndel servidorSSH.

18. ¿Cómopodríosconocerlo versiónde SSH instolodoen un serv¡dorGNU/

ssh-config Describelo configurocióndel clienteSSH.Esposibleque un

Enel CD del olumnoestódisPo- ssh-host-rso-key CloveRSAprivodode lo móquino.

# t{hat -IPs a-ndP-rot-o-cols we listen

I Regresara índice del modulo

¡e- I c.'¡* | ',r.,,,,