Conexiones Seguras y Administración Remota: Todo lo que Necesitas Saber

Servicios de Acceso Remoto y Control Remoto

¿Qué son?

Los servicios de acceso remoto y control remoto permiten, mediante la utilización de aplicaciones software, establecer conexiones con equipos remotos y realizar su administración sin necesidad de acceder a ellos localmente. Esta función, que parece útil e inofensiva, puede tener consecuencias graves si no se lleva a cabo con unas condiciones de seguridad bien definidas. Cualquier agujero de seguridad que presenten dichas herramientas puede permitir el acceso de terceros no deseados a información confidencial. Existen dos modos principales de control:

• Modo de texto: Telnet (Windows), SSH (Ubuntu), X11 (Ubuntu)
• Modo gráfico: Escritorio Remoto (Windows), VNC (Windows), Nx NoMachine (Ubuntu)

Servicios

• Telnet: Era la herramienta de administración remota que se utilizaba en los años 60-70. Se creó pensando en que fuera fácil de usar, pero no se pensó en la seguridad, por lo que se dejó de usar debido a fallos de seguridad.
• SSH: Permite establecer una conexión segura entre equipos conectados mediante una red insegura, como puede ser Internet. Sigue el modelo cliente/servidor, los usuarios se autentican mediante contraseña y está implementado para la mayoría de plataformas y sistemas operativos.

Ventajas de SSH

• El cliente transmite al servidor la información necesaria para su autenticación, es decir, usuario y contraseña en formato cifrado.
• Todos los datos que se envían y se reciben durante la conexión se transfieren cifrados.
• El cliente puede ejecutar aplicaciones gráficas.

Riesgos Evitados con SSH

• Impide interceptar la comunicación entre dos sistemas por parte de una tercera máquina.
• Impide que se suplante un host, es decir, que una máquina pueda fingir que es la máquina destino de un mensaje.

Sistema de Nombres de Dominio (DNS)

¿Qué es?

Se encarga de convertir direcciones formadas por cadenas de caracteres ASCII o dominio (www.educa.jccm.es) en direcciones IP (resolución directa) y viceversa (resolución inversa). Para administrar los dominios, se decidió optar por una clasificación jerárquica de nombres; cada dirección está formada por varios nombres separados por puntos.

El sistema de nombres de dominio distribuye la información relativa a los dominios en servidores DNS de la red. Esta información almacenada constituye una zona.

La información de la zona está almacenada en forma de registro de recursos. Estos registros forman una tabla donde se especifican las direcciones IP y los nombres de los equipos que forman parte de los dominios.

La base de datos de una zona (tabla de registros de recursos) se almacena en un servidor DNS primario. No es conveniente mantener un único servidor primario para la zona, ya que en caso de fallo no se podrán resolver esas direcciones. Por ello, también se puede configurar uno o más servidores DNS secundarios que se encargan de mantener copias actualizadas de la información de zona. La actualización se realiza mediante volcados totales o parciales de la información de la zona. Estos volcados se llaman transferencias de zona. Los servidores DNS primarios notifican a los secundarios que se ha producido una modificación en la zona con el fin de que los secundarios actualicen sus informaciones de zona lo antes posible. Los DNS primario y secundario son los DNS que hay en Internet; los nuestros son los llamados DNS preferido y alternativo, que son los que inician la búsqueda.

Resolución Inversa

El servicio DNS es capaz de realizar la resolución en los dos sentidos. En la resolución inversa, las direcciones IP también siguen una estructura jerárquica y su dominio raíz se llama "in-addr.arpa". Si tenemos la dirección 192.168.1.2, la búsqueda se realizará en los servidores arpa, posteriormente en los servidores "in-addr.arpa", luego en los servidores 192.in-addr.arpa, luego en los 168.192.in-addr.arpa y luego en los servidores 1.168.192.in-addr.arpa. Por tanto, las direcciones IP están escritas en orden inverso en el dominio "in-addr.arpa". Esto es lógico, ya que las redes se diferencian por los primeros valores de la dirección IP.

Servicio DHCP (Protocolo de Configuración Dinámica de Equipo)

El protocolo DHCP permite asignar a los ordenadores de la red una configuración de red automáticamente cuando la necesiten, sin necesidad de configurar unos parámetros fijos manualmente. Esta configuración de red incluye: dirección IP, máscara de red, puerta de enlace y servidores DNS.

Proceso de Asignación de IPs

El protocolo DHCP establece que los equipos clientes, puesto que no tienen IP asignada y no conocen las direcciones de los servidores DHCP (puede haber más de un servidor DHCP en la red funcionando a la vez), deben lanzar una petición de IP a la dirección de difusión 255.255.255.255 (broadcast), es decir, esa petición IP se hace con destino a todos los ordenadores de la red. Todos los servidores DHCP contestan con una dirección IP, también mediante un mensaje de difusión broadcast. El equipo cliente tomará una de esas direcciones IP y enviará otro mensaje de difusión broadcast anunciando a todos los servidores DHCP de la red cuál es la IP que ha cogido. Finalmente, el servidor DHCP que le ha dado esa IP envía al equipo cliente la confirmación de la operación y reserva esa dirección IP para que no pueda ser asignada en el futuro a ningún otro ordenador.

Puesto que pueden existir más de un servidor DHCP en la misma red, hay que tener cuidado para que no interfieran entre sí y se produzcan conflictos. Por esta razón, si en una red tenemos más de un servidor DHCP, cada uno de ellos debe asignar un rango de direcciones diferentes. Por ejemplo, el servidor 1 asigna (192.168.10.100 – 192.168.10.150) y el servidor 2 asigna (192.168.10.200 – 192.168.10.250). Existe la posibilidad de asignar a un equipo de la red siempre la misma IP; esto se hace mediante la MAC.

Protocolo APIPA (Direccionamiento de IP Automático)

Solo en Windows. Cuando un equipo cliente no es capaz de conectar con un servidor DHCP para obtener su dirección IP, entonces se utiliza la asignación APIPA, que consiste en la asignación automática de direcciones IP en la red 169.254.0.0/16. Por tanto, ese equipo podrá realizar todas las funciones de una red.

Cliente SSH

El cliente SSH es la herramienta software que permite al usuario solicitar desde una máquina remota el establecimiento de una conexión segura con el servidor SSH.