Voy a explicarte en qué consiste este servicio. Sobre la redes, se han diseñado varios servicios de conexión remota, que permite acceder desde un ordenador a otro o a un recurso ubicado en este último. Esto se puede hacer a través de una red local o externa (Internet). Estos servicios facilitan la gestión de los equipos de una red, pero pueden suponer una amenaza, si están activos en un equipo con acceso a Internet, ya que permiten que desde el exterior, controlen directamente nuestro equipo. La mayor parte de estos servicios utilizan el protocolo TCP (siglas en inglés de Transmission Control Protocol, en español Protocolo de Control de Transmisión) como nivel de transporte.

Podemos clasificar los sistemas de conexión remota en tres tipos:

• Conexión remota mediante una terminal virtual en modo texto.
• Conexión remota mediante una terminar virtual de forma gráfica.
• Conexión remota mediante web.

¿Qué tal hasta ahora? Imagino que piensas que es interesante y muy útil este servicio ¿no? Vas a ver ahora los servicios básicos o de modo texto.

Existen 3 servicios básicos o protocolos de conexión o de terminal remota modo texto:

• TELNET (Siglas en inglés de Telecommunication NETwork, significa Redes de Comunicaciones), utiliza el puerto 23 TCP.
• RLOGIN (Siglas en inglés de Remote Login, significa conectarse a distancia), utiliza el puerto 513 TCP.
• SSH (Secure SHell, en español: intérprete de órdenes segura), por el puerto 22 TCP.

Ahora vas a entrar a ver más en profundidad el protocolo TELNET. Era el método más utilizados hasta hace unos años, utiliza una conexión TCP sobre el puerto 23.

Este protocolo está disponible en todos los sistemas operativos y no tienes que configurar nada, se maneja en modo comando. Los comandos más habituales son:

Una vez establecida la conexión el sistema remoto solicita un login (Nombre de usuario) y una password (Contraseña) para poder acceder al sistema.

Para poder introducir estos comandos una vez que estas conectado debes pulsar un carácter de escape ctrl.-] y esperar aparezca el indicador telnet>, para que la orden tecleada sea procesada por el programa TELNET y no por el host remoto.

Uno de lo parámetros más importantes de la configuración de programa cliente Telnet es la emulación de terminal. Este parámetro determina la forma que el host va a interpretar los caracteres especiales que enviaremos: Movimiento del cursor, teclas de función, paginación, etc. Ya que cada tipo de terminal suele tener distintos códigos de teclado. Los tipos de terminal más comunes son VT-100, ANSI, XTERM.

El programa TELNET permite establecer conexiones utilizando otros puertos distintos de 23, esto te permite conectarte directamente a otros servicios como FTP, SMTP o incluso HTTP y trabajar directamente las órdenes del protocolo. También permite establecer un fichero de registro donde se guardan todas las operaciones que se han realizado durante la conexión.

Actualmente, el servicio Telnet sólo se suele usar en conexiones en intranet al ser un protocolo poco seguro, pues no encripta la tramas. Se utiliza en algunos casos en Internet para acceder a servicios de bases de datos de bibliotecas y de otros centros de documentación, aunque en su gran mayoría ha sido sustituidos por servicios Web.

Muchos equipos de interconexión de redes, como switch o router, se pueden administrar mediante telnet.

Estas órdenes pueden ejecutarse sin necesidad de contraseña si tenemos configurados los archivos:

• /etc/hosts.equiv. Fichero de configuración general que guarda las máquinas que no precisan autorización, para conectarnos a la nuestra.
• .rhosts. Fichero de configuración particular de cada usuario que guarda las máquinas remotas que no precisan autorización, para conectarnos a la nuestra si ya estoy previamente registrado en la maquina remota.

Vas a ver ahora el último de los protocolos en modo texto, que viene a resolver la falta de seguridad de los servicios anteriores. Por ejemplo, si tenemos un programa capturador de tramas (sniffer) en la red, como el conocido “wireshark” podemos ver cada una de las órdenes incluidas las contraseñas que se intercambian utilizando telnet o rlogin.

SSH está basado en el protocolo SSL (siglas en inglés de Secured Socket Level), desarrollado por Netscape y utiliza un esquema de encriptación asimétrica mediante la generación e intercambio de claves públicas y privadas. SSL es un protocolo que se intercala entre el nivel de transporte y el protocolo de aplicación. Tiene la ventaja de enviar toda la información encriptada. Por otra parte, permite la autentificación tanto del usuario que se conecta como del servidor al cual nos conectamos, con lo que se dificulta la suplantación del servidor o la interceptación de la información.

Aparte de servicios SSH existen herramientas como sftp y scp que permiten el intercambio de ficheros al igual que RCP y FTP pero de forma segura.

Un configuración del servicio SSH, se realiza editando los ficheros de configuración /etc/ssh/sshd_config (para el servidor) y /etc/ssh/ssh_config (para el cliente), en el mismo directorio encontramos las claves públicas y privadas de nuestro servidor. El fichero sshd_config incluye una serie de parámetros que rigen el funcionamiento del servicio.

El servicio SSH soporta dos métodos de autentificación:

• El tradicional basado en contraseñas del usuario del sistema.
• Otro basado en claves públicas y privadas.

Trabajando con Microsoft Windows puedes utilizar un software libre llamado “PuTTY”. Este permite realizar conexiones con los tres protocolos anteriores y tiene una versión portable.

Ahora también lo tienes disponible en varias plataformas Unix, y se está desarrollando la versión para Mac OS clásico y Mac OS X. Otra gente ha contribuido con versiones no oficiales para otras plataformas, tales como Symbian para teléfonos móviles. Es software beta escrito y mantenido principalmente por Simon Tatham, open source y licenciado bajo la Licencia MIT (Massachusetts Institute of Technology, Instituto de Tecnología de Massachusetts).

El nombre PuTTY proviene de las siglas Pu: Port unique y TTY: terminal type. Su traducción al castellano sería: Puerto único para tipos de terminal.

Algunas características de PuTTY son:

• El almacenamiento de hosts y preferencias para uso posterior.
• Control sobre la clave de cifrado SSH y la versión de protocolo.
• Clientes de línea de comandos SCP y SFTP, llamados "pscp" y "psftp" respectivamente.
• Control sobre el redireccionamiento de puertos con SSH, incluyendo manejo empotrado de reenvío X11.
• Completos emuladores de terminal XTERM, VT102, y ECMA-48.
• Soporte IPv6.
• Soporte 3DES, AES, RC4, Blowfish, DES.
• Soporte de autenticación de clave pública.
• Soporte para conexiones de puerto serie local.

Los anteriores sistemas de conexión remota permiten establecer un terminal en modo texto, donde un usuario normal o un administrador pueden introducir los comandos que necesite. Con el incremento de la velocidad de la redes se han creado nuevas herramientas que permiten la conexión gráfica con las mismas características del entorno remoto: resolución, escritorio, uso del ratón, etc...

Existen diversos programas que nos permiten manejar un equipo desde otro, de forma remota, si están conectados en red. Algunos transmiten la imagen remota de la pantalla del servidor, mientras que otros solo envían las coordenadas X e Y del cursor, simulando el sistema operativo anfitrión.

Y ahora le toca el turno a los sistemas Unix-linux. En este apartado vas a conocer X Windows System (Sistema de ventanas X). La versión actual de este protocolo es 11 por lo cual se le suele llamar X11.

El sistema de ventanas X también llamado “Servidor de las X”, es el encargado de los entornos visuales en los sistemas operativos basados en Unix-Linux. Fue el resultado de un proyecto académico llamado “Athena” en el Instituto de Tecnología de Massachusetts (MIT) a mediados de los 80. Actualmente, las implementaciones principales son Xfree86 y X.org.
X fue diseñado con una arquitectura cliente-servidor:

• El Servidor X es el que mantiene el control exclusivo de la pantalla y es el encargado de comunicarse con el dispositivo utilizado para la visualización de los gráficos.
• El cliente se comunica con el servidor y le indica cosas básicas como: “Trazar una línea de aquí para acá”, “Colar un punto aquí”.

Lo característico de esta arquitectura radica principalmente en que no se limita a un cliente que esté en el mismo equipo que el servidor, sino a clientes remotos por medio de protocolos de comunicación como el TCP/IP. En los sistemas UNIX Linux, las aplicaciones gráficas utilizan, normalmente, un protocolo de red denominado X-Windows (Puerto 6000) que permite que un programa pueda ser manejado desde cualquier ordenador de la red que disponga de este servicio.

En este sistema cualquier programa que trabaja con el entorno gráfico es un cliente de X y cualquier máquina que disponga de un terminal gráfico es un servidor de X.

Para configurar el equipo remoto en Ubuntu primero tienes que habilitar la opción que permite utilizarlo. Accedes a Sistema, Preferencias, Escritorio remoto y seleccionas Permitir a otros usuarios ver mi escritorio. Si queremos que el usuario remoto pueda controlar dicho escritorio debemos seleccionar de forma adicional Permitir a otro usuario controlar su escritorio. También podemos confirmar cada acceso y/o requerir que el usuario introduzca una contraseña, dentro de las opciones de Seguridad.

Si te vas a conectar desde otro sistema que no es Ubuntu, necesitas un cliente de escritorio remoto, como por ejemplo VNC viewer. Si estás en Ubuntu, debes ir a Aplicaciones, seleccionar Internet y, por ultimo, hacer clic en Visor de escritorios remotos.

Para conectar a un equipo remoto desde cualquier sistema operativo, también se puede utilizar software no incluido en los sistemas operativos de Microsoft. Uno de los más utilizados es el VNC (son las siglas en inglés de Virtual Network Computing, traducido Computación Virtual en Red).

El software viene incluido en el paquete de aplicaciones y servicios que por defecto traen la mayoría de las distribuciones de linux, con lo que no necesitas instalarlo. Sin embargo, en los sistemas Windows sí tienes que instalarlo a través de los ficheros correspondientes de cliente y/o servidor.

Otra opción no menos interesante, muy práctica y sencilla de utilizar, es el software TeamViewer.

VNC son las siglas en inglés de Virtual Network Computing (Computación Virtual en Red). El servidor utiliza el puerto 5900, los clientes de Windows el puerto 5800, y los de Linux y Mac OS el terminal que no estén usando (si solo has activado un terminal, el siguiente puede acceder desde el puerto 5801, si tenemos activados cuatro debemos conectarnos por el puerto 5804, etc.).

VNC es un servicio de software libre basado en una estructura cliente-servidor que permite observar las acciones del ordenador servidor remotamente a través de un ordenador cliente. VNC no impone restricciones en el sistema operativo del servidor: se puede compartir la pantalla de una máquina con cualquier sistema operativo que admita VNC conectándose desde otro ordenador o dispositivo que disponga del cliente VNC.

La versión original del VNC se desarrolló en los laboratorios AT&T Olivetti Research Laboratory, en Cambridge. El programa era de código abierto, por lo que cualquiera podía modificarlo. Existen hoy en día varios programas para el mismo uso, muchos de cuyos derivados son software libre con licencia GPL.

El programa servidor suele tener la opción de funcionar como servidor HTTP para mostrar la pantalla compartida en un navegador con java. En este caso el usuario remoto (cliente) no tiene que instalar un programa cliente de VNC sino que es descargado por el navegador automáticamente.

VNC es independiente de la plataforma. Un cliente VNC de un sistema operativo puede conectarse a un servidor VNC del mismo sistema operativo o de cualquier otro. Hay clientes y servidores tanto para muchos sistemas operativos basados en GUI como para java. Varios clientes pueden conectarse a un servidor VNC al mismo tiempo. Los usos populares de esta tecnología incluyen ayuda técnica remota y acceso a los archivos presentes en el ordenador del trabajo desde la computadora de la casa o viceversa.

Hay una serie de variantes de VNC que ofrecen, aparte de las funciones típicas de VNC, funciones particulares; por ejemplo, algunos están optimizados para Microsoft Windows; otros disponen de transferencia de archivos, (que no es propiamente parte de VNC), etc. Muchos son compatibles (sin funciones adicionales) con el propio VNC en el sentido de que un usuario de una variante de VNC puede conectar con un servidor de otra, mientras que otros se basan en el código fuente de VNC, pero no son compatibles con el estándar VNC.

Las características más importantes de VNC son:

• Permite crear pantallas virtuales en Linux y Mac OS, pero solo puede compartir la pantalla actual en Windows.
• En algunas versiones puede compartir la pantalla con varios clientes a la vez.
• Permite compartir impresoras.
• Permite FTP seguro.
• Permite chat seguro.
• Puede compartir aplicaciones con servidores Windows.

Como puedes imaginar esta es una cuestión importante a tener en cuenta, sobre todo si la información a la que se accede desde un acceso remoto es confidencial. Las principales prioridades y preocupaciones de los administradores de red son:

• La seguridad en el acceso remoto.
• Las actualizaciones de seguridad.
• El parcheado de los sistemas.
• La monitorización de intrusiones.
• La transferencia segura de archivos.
• Los planes de contingencia y recuperación del servicio.

Por lo tanto, ya sabes qué es lo que te puede quitar el sueño, cuando seas administrador o administradora de una red.

Como sabes por lo leído anteriormente, en los protocolos de conexión o de terminal remota en modo texto, el único que ofrece seguridad es SSH, Tiene la ventaja de enviar toda la información encriptada. Por otra parte, permite la autentificación tanto del usuario que se conecta como del servidor al cual nos conectamos, con lo que se dificulta la suplantación del servidor o la interceptación de la información.

El problema de la seguridad en el acceso remoto te surge cuando éste se hace por Internet. En la estructura básica de cualquier empresa, son las redes de área local (LAN) las que realizan la conexión entre los diferentes equipos. Estas redes se conectan cada vez más a Internet mediante un equipo de interconexión, denominado router. En muchas ocasiones, las empresas tienen la necesidad de comunicarse con sus sucursales, con su clientela o con los comerciales que viajan constantemente y que están alejados geográficamente.

Sin embargo, los datos transmitidos a través de Internet viajan de forma más vulnerable que cuando lo hacen por la red interna y pueden ser interconectados por alguna persona ajena a la entidad, ya que la ruta tomada no está definida por anticipado. Esto significa que los datos deben atravesar una infraestructura de red pública que pertenece a distintas entidades. Por esta razón, es posible que a lo largo de la línea, un usuario escuche la red y se apropie de los datos. Es por esto que la información de una organización o empresa no debe ser enviada bajo estas condiciones de inseguridad, sobre todo si son datos confidenciales.

Existen dos posibles soluciones para este problema:

• Utilizar redes dedicadas para establecer una comunicación segura entre dos puntos alejados geográficamente. Sin embargo, esta solución no es fácil ni económica, se hace inviable para la mayoría de las empresas.
• Otra posible solución es utilizar el medio inseguro de Internet como medio de transmisión, con un protocolo túnel, que nos aporte seguridad y privacidad en los datos transmitidos. Esto significa que los datos se van a encapsular, antes de ser enviados de manera cifrada. El término Red privada virtual, en ingles Virtual Private Network, abreviado VPN, se utiliza para hacer referencia a este tipo de red artificial. El termino virtual hace referencia a la conexión de dos redes físicas de área local a través de una conexión poco fiable como es Internet y el término privada porque solo los equipos que pertenecen a una red de área local de uno de los lados de la VPN pueden acceder a los datos y recursos de la red del otro lado de la red privada virtual.

Así, las redes privadas virtuales dan la posibilidad de una conexión segura a bajo coste, ya que no requieren una línea dedicada contratada a una empresa de comunicaciones. No obstante, no garantizan una calidad de servicio similar a una línea dedicada, ya que la red es pública y, por lo tanto, no es segura del todo.

El funcionamiento de una red privada virtual se basa en un protocolo de túnel, este protocolo cifra los datos que se transmiten desde un lado de la VPN hacia el otro. En la unidad 8 estudiarás más en detalle este tipo de redes.