Tema 4. Instalación, Configuración y Uso de Servidores de Acceso y Administración Remota
Tema 4. Instalación, Configuración y Uso de Servidores de Acceso y Administración Remota
Tema 4. Instalación, Configuración y Uso de Servidores de Acceso y Administración Remota
5. Telnet
6. Telnet en Linux
7. SSH
INTRODUCCIN
Se considera Administracin Remota a la funcionalidad de algunos programas que permiten realizar ciertos tipos de acciones desde un equipo local y que las mismas se ejecuten en otro equipo remoto. Por ejemplo, con una herramienta o aplicacin de administracin remota, el responsable de una red informtica puede acceder a otro equipo para ver si la misma tiene problemas, sin necesidad de moverse a la situacin fsica de dicho equipo. Cuando hablamos de administracin remota en modo texto, podemos usar: Telnet SSH (encripta la comunicacin) Escritorio remoto Asistencia remota Programas de terceros como TeamViewer, VNC,
ESCRITORIO REMOTO
Para administrar el servidor tan slo es necesario activar el Escritorio Remoto, mientras que si se quiere que todos los usuarios puedan acceder al sistema de forma remota, entonces hay que instalar el Servicio de Escritorio Remoto (antiguo Termial Server y Administrador de licencias de Terminal Server) que adems funciona como servidor de aplicaciones.
Los Servicios de Escritorio Remoto permiten que los usuarios se conecten de forma remota a un servidor utilizando el escritorio de Windows. Los servicios de Terminal Server se pueden utilizar de dos formas:
Como Escritorio Remoto para que el administrador acceda al sistema Como Servidor de Aplicaciones para que cualquier usuario pueda conectarse al servidor para ejecutar una determinada aplicacin.
Escritorio Remoto no es un servicio que precise ser instalado, y para poder hacer uso de esta funcionalidad del equipo servidor Windows Server 2008 R2, tan slo hemos de habilitarla convenientemente en dicho equipo.
ESCRITORIO REMOTO
Habilitar Escritorio remoto en Windows Server 2008 R2 Para habilitar dicha opcin debemos acceder a las propiedades del Equipo y a la opcin Configuracin de acceso remoto. Aqu, en la seccin de Escritorio remoto dependiendo del entorno podremos elegir entre Permitir las conexiones desde equipos que ejecuten cualquier versin de Escritorio remoto o Permitir slo las conexiones desde equipos que ejecuten Escritorio Remoto con Autenticacin a nivel de red. La opcin Permitir slo las conexiones desde equipos que ejecuten Escritorio remoto con Autenticacin a nivel de red (ms seguro), permitira el acceso al Escritorio Remoto de Windows Server 2008 R2 desde cualquier versin del cliente de Escritorio Remoto que trabaje con NLA (autenticacin a nivel de red), tal es el caso de Windows Vista o Windows 7, pero no de los sistemas operativos clientes ms antiguos de Microsoft (Windows XP Professional, Windows 2000 Professional, etc.), que no utilizan NLA. Es posible que algunos de los equipos clientes desde los cuales deseemos conectarnos no tengan instalado por defecto el Cliente de Escritorio Remoto (tal puede ser el caso de equipos con sistema operativo Windows 2000 Professional), con lo cual para poder establecer dicha conexin en esos equipos precisaramos instalarles la aplicacin correspondiente.
ESCRITORIO REMOTO
Los usuarios conectados ven el escritorio del equipo remoto y pueden usar los programas instalados como si se estuvieran ejecutando en un equipo local.
ESCRITORIO REMOTO
Si queremos limitar el acceso por escritorio remoto slo a ciertos usuarios, hacemos clic en Seleccionar usuarios para agregar los usuarios y grupos que necesitan conectarse al equipo con Escritorio Remoto (el grupo Administradores est incluido por defecto aunque no aparezca). Dichos usuarios y grupos se agregarn automticamente al grupo predefinido Usuarios de escritorio remoto.
ESCRITORIO REMOTO
Conexin va cliente Para ejecutar el cliente de Conexin a Escritorio Remoto, desde un equipo cliente (no es preciso que dicho equipo est integrado en el dominio), lanzaremos dicha aplicacin desde Inicio Todos los programas Accesorios Conexin a Escritorio Remoto, en la cual especificaremos la direccin IP o el nombre del equipo al cual nos queremos conectar de modo remoto.
Si las credenciales del usuario que se ha validado en el sistema son correctas, accedemos a una pantalla que nos muestra el Escritorio del servidor Windows Server 2008 R2, de modo que la impresin que obtenemos es que nos encontramos fsicamente sobre dicha mquina, trabajando a partir de este instante con la misma libertad que si estuviramos sentados frente a la consola del servidor.
ESCRITORIO REMOTO
Administracin de sesiones de usuarios remotos En Windows Server 2008 R2 los usuarios remotos pueden utilizar Servicios de Escritorio Remoto (antiguo Terminal Services) o el Escritorio Remoto para conectarse con otros sistemas: Servicios de Escritorio Remoto permite conexiones remotas con terminales de otros sistemas Escritorio remoto permite administrar servidores remotos como si se estuviese delante del teclado. Windows Server 2008 R2 permite automticamente las conexiones de escritorio remoto
Si accedemos al Administrador de tareas de Windows (Ctrl+Alt+Sup Administrador de tareas o bien a travs del comando taskmgr) en la ficha de Usuarios muestra las sesiones interactivas tanto de usuarios locales como remotos.
ESCRITORIO REMOTO
Para cada usuario conectado muestra: Nombre
Identificador de la sesin
Estado
El botn Desconectar desconecta al usuario deteniendo, sin guardar sus datos, todas las aplicaciones que hubiese puesto en marcha, el botn Cerrar Sesin cierra la sesin del usaurio mediante el procedimiento normal guardndose las aplicaciones y el estado del sistema y el botn Enviar mensaje enva un mensaje de consola al sistema de los usuarios con sesiones abiertas.
En Windows Server 2008 R2 los Servicios de Escritorio Remoto son la base para varias caractersticas que permiten conectarse al servidor de forma remota y realizar tareas administrativas.
El escritorio remoto (anteriormente denominado Servicios de Terminal Server en modo de administracin remota) permite a los dems usuarios de una red conectarse al equipo central proporcionando el nombre o la direccin IP del equipo y, generalmente, las credenciales de inicio de sesin. Los usuarios conectados ven el escritorio del equipo remoto y pueden usar los programas instalados como si se estuvieran ejecutando en un equipo local. No se necesitan licencias para disponer de dicho tipo de conexin, pudiendo disponer de la propia sesin de la consola del servidor o de una sesin de conexin remota al mismo. Para acceder al servidor mediante una conexin a Escritorio Remoto hay que autenticarse previamente en el dominio como un usuario habilitado para ello.
Host de sesin de Escritorio Remoto (antiguo Terminal Server): es el servicio bsico de Escritorio Remoto (Terminal Server) y permite que los usuarios se conecten de forma remota al servidor. Adems, permite que un servidor hospede programas para Windows o el escritorio de Windows completo y puedan conectarse para ejecutar programas, guardar archivos y usar recursos de red en ese servidor
Administracin de licencias de Escritorio Remoto (antiguo Administracin de licencias de Terminal Services): permite administrar las licencias de acceso de clientes para servicios de escritorio remoto requeridas para conectarse a un servidor host de sesin de escritorio remoto Acceso Web a Escritorio Remoto (antiguo acceso Web de TS): permite a los usuarios conectarse al escritorio remoto y RemoteApp a travs de un navegador Web. Requiere la instalacin de los roles Servidor Web IIS y Herramientas de administracin remota del servidor
En el men Herramientas Administrativas podremos ver la carpeta Servicios de Escritorio Remoto que tiene varias herramientas para administrar el Escritorio Remoto, entre las que destacan:
Administrador de licencias de Escritorio Remoto: los Servicios de Escritorio Remoto requiere de licencias para que los clientes inicien sesiones en modo servidor de aplicaciones (no las administraremos porque no disponemos de licencias) Administrador de RemoteApp: utilizaremos esta herramienta si deseamos usar Servicio de Escritorio Remoto como servidor de aplicaciones de forma remota a usuarios. Los programas RemoteApp son programas que aparentan ejecutarse de forma local en el equipo cliente pero que obtienen acceso al servidor a travs del escritorio remoto Administrador de Servicios de Escritorio Remoto: permite la monitorizacin y supervisin de los usuarios conectados, las sesiones y los procesos de servicio de Escritorio Remoto. Adems, se pueden realizar ciertas tareas administrativas como desconectar o cerrar sesiones de usuarios
Configuracin de host de sesin de Escritorio Remoto: se ejecuta localmente en cada servidor de terminales y permite modificar la configuracin de las opciones del servidor de Escritorio Remoto. Pueden ser configuradas las opciones de nuevas conexiones, modificar las existentes o eliminarlas: seguridad, sesiones de las mismas, entorno, adaptador de red, configuracin del cliente, control remoto del escritorio del usuario y otras. Puede ver la configuracin de una conexin haciendo clic en el botn derecho del ratn y seleccionando Propiedades
Escritorios Remotos: este complemento permite administrar las conexiones a Escritorio Remoto de los servidores de Servicios de Escritorio Remoto. Permite administrar varios equipos desde una sola ubicacin remota y, al mismo tiempo, cambiar fcilmente de conexin
Es muy importante indicar que cuando cerremos la sesin trabajo remoto, no debemos seleccionar la opcin Apagar dentro de la ventana del cliente, pues en dicho caso apagaremos la mquina servidora Windows Server 2008 R2; para desconectarnos de la sesin de Escritorio Remoto podemos cerrar la ventana del Cliente de Escritorio Remoto o bien seleccionando la opcin Cerrar sesin, para que la mquina Windows Server 2008 R2 siga levantada y activa.
Importante: los equipos a los que queremos hacer conexin por Escritorio Remoto debern tenerlo habilitado.
Para desconectarse de una sesin, en el rbol de consola del complento, haga clic con el botn secundario en el nombre de la conexin que desee desconectar y pulse en Desconectar.
A travs del rdesktop IP o rdesktop IP u usuario p password (doble \ para escapar una \)
ASISTENCIA REMOTA
Para habilitar Asistencia remota de Windows, en la misma ventana de configuracin es necesario activar la casilla Permitir conexiones de Asistencia remota a este equipo. Previamente se ha de aadir la caracterstica de asistencia remota a travs de Inicio Herramientas Administrativas Administrador del servidor Caractersticas Agregar caracterstica Asistencia remota Instalar. Ahora ya aparecer habilitada la posibilidad de activar la casilla. Cuando se activa esta casilla, se habilitan las siguientes funcionalidades: Enviar y recibir invitaciones de Asistencia remota de Windows mediante un correo electrnico o un archivo
Usar la mensajera instantnea para mantener correspondencia con la persona a la que ayuda o que le ayuda
Firewall de Windows permite el paso de Asistencia remota de Windows, por lo que puede comunicarse con el equipo del ayudante Se inicia el servicio Teredo. Este servicio permite al ayundate conectarse a su equipo mediante la mayora de los enrutadores (con cables e inalmbricos) que realizan traduccin de direcciones de red (NAT). El servicio entra en contacto con un servidor Microsoft Teredo para obtener una direccin IPv6 para la conexin remota
ASISTENCIA REMOTA
Para habilitar que nuestro equipo se controla por Asistencia remota debemos acceder a las Opciones Avanzadas y activar la casilla Permitir que este equipo se conecte de forma remota. Tambin podemos gestionar el tiempo que pueden permanecer abiertas las invitaciones.
ASISTENCIA REMOTA
Cmo utilizar la asistencia remota 1. Acceder a Inicio Todos los programas Asistencia Remota
6. Una vez que el usuario ha recibido la invitacin y ha decidido prestarle asistencia remota ejecutando el archivo e indicando la contrasea, nos aparecer un mensaje que nos pide autorizacin para aceptar la ayuda del otro equipo
7. Una vez conectados se puede Iniciar Charla para comunicarse, enviar un archivo, Tomar el control (se deber autorizar), Dejar de compartir y Desconectar
TELNET
Telnet (TELecommunication NETwork) es un programa y un protocolo estndar de Internet que se basa en las solicitudes de comentarios (RFC) 854. En esta RFC se especifica un mtodo para transmitir y recibir caracteres ASCII sin cifrar (texto simple) a travs de una red. El puerto que se utiliza generalmente es el 23. Telnet est formado por dos servicios: el cliente Telnet y el servidor Telnet. Se puede utilizar un cliente Telnet en un equipo y usar una sesin de lnea de comandos con el fin de ejecutar aplicaciones en un equipo de una red remota que ejecuta el servicio del servidor Telnet. Slo se admiten las interfaces y aplicaciones basadas en caracteres. El entorno de Telnet no incluye una capacidad para grficos. El servicio del servidor Telnet se debe instalar y configurar para que un cliente que ejecuta el cliente Telnet se pueda conectar a l. Hay varias opciones de configuracin disponibles en el servidor Telnet que, si se cambian sus valores predeterminados, tambin se debern establecer en el cliente Telnet para lograr una conexin correcta. Servidor Telnet El servidor Telnet hospeda las sesiones remotas de los clientes Telnet. Cuando se ejecuta el servidor Telnet en un equipo, los usuarios pueden conectarse al servidor Telnet con un equipo remoto que ejecute el cliente Telnet. El servidor Telnet se implementa en Windows como un servicio que se puede configurar para que se ejecute siempre, incluso cuando ningn usuario ha iniciado sesin en el servidor.
TELNET
Cuando un cliente Telnet se conecta a un equipo que ejecuta el servidor Telnet, se solicita al usuario remoto que especifique un nombre de usuario y una contrasea. La combinacin de nombre de usuario y contrasea debe ser vlida para el servidor Telnet. El servidor Telnet admite dos tipos de autenticacin: NTLM y contrasea (o texto simple).
Una vez que haya iniciado sesin, el usuario ve un smbolo del sistema que se puede usar como smbolo del sistema en el equipo local. Los comandos que se escriben en el smbolo del sistema del cliente Telnet se envan al servidor Telnet y se ejecutan all, como si se hubiera iniciado una sesin localmente en el smbolo del sistema del servidor. La salida de los comandos que se ejecutan se muestra en la ventana del smbolo del sistema en el cliente Telnet.
Telnet no admite las aplicaciones que requieren una interfaz grfica de usuario. Windows Vista y Windows Server 2008 incluyen el servidor Telnet, pero no se instala de forma predeterminada.
TELNET
Instalacin de Telnet El servicio del servidor Telnet no se instala de manera predeterminada en Windows Vista ni en Windows Server 2008 R2. Para instalar el servidor Telnet en Windows Server 2008 R2:
Inicie el Administrador del servidor. Haga clic en Inicio, haga clic con el botn secundario en Equipo y, despus, haga clic en Administrar
Si aparece el cuadro de dilogo Control de cuentas de usuario, confirme que la accin que muestra es la que desea y, a continuacin, haga clic en Continuar
TELNET
Hemos de instalar el servidor Telnet en el equipo (servidor) que permita a los usuarios remotos iniciar sesin en dicho equipo y administrar desde la lnea de comandos y ejecutar programas con un cliente Telnet, incluidos clientes basado en UNIX. Reiniciamos el equipo una vez instalado el servicio.
TELNET
Inicio del programa del servidor Telnet en el host En Windows, el servidor Telnet (Tlntsvr.exe) se ejecuta como un servicio. Puede iniciar el servicio de forma manual cada vez que desee permitir conexiones de Telnet en su equipo, o bien, puede configurar el servicio para que se inicie cada vez que se inicie el equipo. Los clientes Telnet no se pueden conectar a un host a menos que el servicio del servidor Telnet se ejecute y escuche solicitudes de conexin.
TELNET
Cliente Telnet El cliente Telnet permite a un equipo conectarse a un servidor Telnet remoto y ejecutar aplicaciones en dicho servidor. Una vez que el usuario ha iniciado una sesin, aparecer el smbolo del sistema, que se puede utilizar como si se hubiera abierto localmente en el servidor Telnet. Slo los programas que funcionen con el smbolo del sistema y que no interacten con el escritorio ni usen una interfaz de usuario grfica funcionarn con Telnet. Todos los miembros de las familias de sistemas operativos Windows Server 2008 y Windows Vista incluyen el cliente Telnet, pero no se instala de forma predeterminada. Para la instalacin del cliente en un equipo Windows 7 accedemos a Panel de control Programas Activar o desactivar las caractersticas de Windows Cliente Telnet (tambin podra albergar el servidor Telnet).
TELNET
Para instalar el cliente Telnet en Windows Server 2008 R2: Inicie el Administrador del servidor. Haga clic en Inicio, haga clic con el botn secundario en Equipo y, despus, haga clic en Administrar Si aparece el cuadro de dilogo Control de cuentas de usuario, confirme que la accin que muestra es la que desea y, a continuacin, haga clic en Continuar En la seccin Resumen de caractersticas, haga clic en Agregar caractersticas En el Asistente para agregar caractersticas, seleccione Cliente Telnet y, a continuacin, haga clic en Siguiente En la pgina Confirmar opciones de instalacin, haga clic en Instalar Cuando finalice la instalacin, haga clic en Cerrar en la pgina Resultados de la instalacin.
TELNET
Uso de Telnet El uso de Telnet implica tres pasos bsicos:
Para crear una conexin de Telnet entre un cliente Telnet y un servidor Telnet, el servicio Telnet en el servidor debe estar iniciado, y debemos iniciar el servicio del cliente Telnet en el cliente. Cuando ejecute el cliente Telnet (Telnet.exe), debe especificar el host al que desea conectarse. Tambin puede configurar varias opciones y caractersticas de conexin opcionales. o la siguiente opcin:
TELNET
Al ejecutar el servicio del cliente Telnet, se realiza una solicitud de conexin al servidor Telnet. Si un servidor Telnet responde a la solicitud, el cliente y el servidor Telnet negocian los detalles de la conexin, como la configuracin del control de flujo, el tamao de la ventana, los tipos de autenticacin admitidos y el tipo de terminal que se emular. Una vez que los detalles de conexin se han negociado correctamente, y que las credenciales de inicio de sesin se han validado con un usuario del equipo donde est instalado el servidor Telnet, el servicio del servidor Telnet crea una sesin de smbolo del sistema de Telnet.
Si las credenciales son correctas, nos aparecer el smbolo del sistema del usuario con el que nos hemos logado en el equipo servidor:
TELNET
En Windows, cada sesin de smbolo del sistema de Telnet consta de dos procesos: TlntSess.exe y Cmd.exe. TlntSess.exe es responsable de administrar la sesin de Telnet. Cmd.exe es el intrprete de comandos, o programa shell, que ejecuta comandos, programas o scripts en el host. Ejecucin de programas en la sesin de Telnet Despus de establecer una conexin de Telnet entre el cliente Telnet y el servidor Telnet, aparece el siguiente mensaje en la ventana del smbolo del sistema en el cliente: Welcome to Microsoft Telnet Server. Este mensaje indica que se ha establecido una sesin en un servidor Telnet activo. Segn la manera en que el servidor est configurado para autenticar usuarios, es posible que se le solicite un nombre de usuario y contrasea. Una vez que la autenticacin se haya realizado correctamente, podr usar esta sesin para ejecutar programas de la lnea de comandos, comandos de shell y scripts de forma remota en un servidor Telnet. Los programas que puede ejecutar dependen de los permisos concedidos a la cuenta de usuario, o los grupos de usuarios a los que pertenezca la cuenta.
TELNET
Seguridad Hay 3 razones principales por las que Telnet no se recomienda para los sistemas modernos desde el punto de vista de la seguridad: Los dominios de uso general del Telnet tienen varias vulnerabilidades descubiertas sobre los aos, y varias ms que podran an existir Telnet, por defecto, no cifra ninguno de los datos enviados sobre la conexin (contraseas inclusive), as que es fcil interferir y grabar las comunicaciones, y utilizar la contrasea ms adelante para propsitos maliciosos Telnet carece de un esquema de autentificacin que permita asegurar que la comunicacin est siendo realizada entre los dos anfitriones deseados, y no interceptada entre ellos
TELNET EN LINUX
En Windows, el servidor tiene que tener habilitado el servicio de acceso va telnet, mientras que en UNIX, este servicio se brinda por medio de lo que se conoce como un daemon (demonio), una tarea pequea que se ejecuta de fondo. El daemon de Telnet se denomina Telnetd. En Ubuntu Desktop, el cliente telnet viene instalado por defecto, de modo que si queremos conectarnos va telnet a un servidor Telnet instalado en un equipo Windows slo hemos de hacer dicha conexin:
Si deseamos instalar un servidor Telnet en un equipo Linux, debemos de ejecutar el siguiente comando:
TELNET EN LINUX
SSH
Por las razones de seguridad que hemos comentado anteriormente, dej de usarse Telnet, casi totalmente, hace unos aos, cuando apareci y se populariz el SSH, que puede describirse como una versin cifrada de telnet - actualmente se puede cifrar toda la comunicacin del protocolo durante el establecimiento de sesin (RFC correspondiente, en ingls - si cliente y servidor lo permiten, aunque no se tienen ciertas funcionalidad extra disponibles en SSH). Conexin SSH En Windows (servidor): no existe ningn servicio En Ubuntu (servidor): Instalacin mediante sudo apt-get install ssh En Windows (cliente): no existe ninguna opcin de conexin por esta va En Ubuntu (cliente): conexin mediante ssh IPServidor
SSH
El servidor de shell seguro o SSH (Secure SHell) es un servicio muy similar al servicio telnet ya que permite que un usuario acceda de forma remota a un sistema Linux pero con la particularidad de que, al contrario que telnet, las comunicaciones entre el cliente y servidor viajan cifradas desde el primer momento de forma que si un usuario malintencionado intercepta los paquetes de datos entre el cliente y el servidor, ser muy difcil que pueda extraer la informacin ya que se utilizan sofisticados algoritmos de cifrado. La popularidad de ssh ha llegado a tal punto que el servicio telnet prcticamente no se utiliza. Se recomienda no utilizar nunca telnet y utilizar ssh en su lugar. Para que un usuario se conecte a un sistema mediante ssh, deber disponer de un cliente ssh. Durante el proceso de autentificacin, cuando el usuario proporciona el nombre y la contrasea, se utiliza cifrado asimtrico pero en el resto de la sesin se utiliza cifrado simtrico por su menor necesidad de procesamiento. Para instalar el servidor y el cliente ssh debemos instalar mediante apt-get el paquete ssh que contiene tanto la aplicacin servidora como la aplicacin cliente: // Instalacin de servidor ssh y cliente ssh<br /> sudo apt-get install ssh
SSH
Los archivos de configuracin son: /etc/ssh/ssh_config: Archivo de configuracin del cliente ssh
El servidor ssh, al igual que todos los servicios en Debian, dispone de un script de arranque y parada en la carpeta /etc/init.d. // Iniciar o Reiniciar el servidor ssh
sudo /etc/init.d/ssh restart
SSH
Conexin al servidor mediante ssh Para conectar desde un PC cliente al servidor mediante ssh, debemos ejecutar el comando ssh seguido del nombre o direccin IP del servidor. La conexin se realizar con el mismo nombre de usuario que estemos utilizando en el PC cliente. La primera vez que se conecte alguien desde dicho PC cliente, se instalar el certificado de autentificacin del servidor, lo cual es normal si se trata de la primera vez. A la pregunta 'Are you sure you want to continue connecting (yes/no)?' debemos responder 'yes' ya que de lo contrario la comunicacin finalizar. Si ya nos hemos conectado anteriormente otras veces y vuelve a realizar esta pregunta, significa que alguien se est haciendo pasar por el servidor (nuestro servidor ha sido hackeado) o que se ha reconfigurado el servidor (cambio de nombre, IP, etc...)
SSH
Conexin con el mismo usuario logado en el equipo cliente:
SSH
Si deseamos conectarnos al servidor utilizando un nombre de usuario diferente, debemos incluir el nombre de usuario antes del nombre o IP del servidor y separado por una arroba '@'. Ejemplo, supongamos que root, desde el PC llamado ubuntuServer, quiere conectarse como bea al servidor cuya IP es 192.168.1.140 (ssh [email protected]):
Desde PCs con Windows es posible conectarse por ssh a servidores Linux mediante el programa Putty. Se trata de un cliente ssh para Windows que permite acceder en modo texto al sistema Linux desde sistemas Windows.
SSH
Una vez instalado el programa Putty para conectarnos va Telnet y SSH desde Windows a Ubuntu, accedemos para realiza la conexin:
SSH
Una vez logueados nos aparecer la siguiente pantalla: