15/09/2011, 02:44
|
| | Fecha de Ingreso: febrero-2011
Mensajes: 581
Antigüedad: 13 años, 9 meses Puntos: 81 | |
Respuesta: Dudas sobre escritorio remoto Ok... Está claro :)
Tu solución simple podría ser la que te comenté antes... Es decir:
Parto de la base de que sabes que es una CA, certificados PKI, certificados de servidor y de cliente, etc... No necesitas ser un experto ni mucho menos... De hecho, Las instrucciones de OpenVPN te explican paso a paso como hacer todo esto.
a) Montas un servidor windows como servidor web. Asegúrate de dejar los permisos del árbol web tal y como te recomiendan en las páginas de seguridad de Microsoft.
b) Activas el cortafuegos... permites acceso SOLO al puerto 80 (y/o 443 si vas a permitir acceso por SSL a tu aplicación web).
c) Montas un servidor de VPN en esa máquina (OpenVPN va de lujo), dado que no creo que quieras ponerte otra máquina con Linux (si es así, mejor que mejor, pero no es necesario).
d) Permites en el cortafuegos del windows el acceso al puerto que hayas elegido para openvpn (por defecto el 1194 UDP, puedes cambiarlo a TCP y a cualquier puerto libre, si lo deseas, aunque tampoco es necesario).
e) Creas una CA para emtir certificados... Este es el punto crítico. Me explico... Tu CA puede estar perfectamente en ese servidor windows, pero NO es recomendable... Yo pondría la CA en OTRA maquina, que esté bajo tu control (en tu oficina)... Es decir, instalas el OpenVPN en otra máquina SOLO para crear certificados (no necesitas todo el OpenVPN para esto, pero así no te complicas bajando otros paquetes de otros sitios).
En cualquier caso, si usas la misma maquina que va a actuar como servidor de OpenVPN (el servidor web, supongo) te resultará más fácil, y los certificados que crees quedarán incorporados automáticamente a la BBDD de certificados válidos... Tú mismo.
f) Una vez tengas la CA, creas un certificado de servidor (par publico/privado) y lo metes en la máquina del cliente que va a ser servidor de VPN, configurando el OpenVPN al path donde guardes ese certificado (mirar las intrucciones, es trivial todo esto). Incluye los equipos a alcanzar (solo la IP privada del servidor, en este caso) con push y poco más (una configuración simple de servidor).
g) Posteriormente, creas uno (o varios) certificados cliente para ti y los que vayais a acceder a esta máquina.
h) Instalas el openvpn en tu ordenador (y en los que vayan a usar la VPN contra el servidor web). A cada uno le das el fichero con su par clave_publica/clave_privada. Redirige el tráfico del router del cliente por el puerto OpenVPN (1194 UDP por defecto) a tu servidor. ASEGURATE de que el firewall del servidor no admite acceso remoto ni compartir archivos e impresoras (que deberías tener desactivado)... SOLO el openvpn (1194 UDP) y el servidor web (80 y/o 443 TCP)
i) Necesitarás una IP fija en el router del cliente, o usar un servicio de DNS dinámico (tipo Dyndns)... Asumo que sabes de que va ésto. De esa forma podrás lanzar el túnel VPN desde un PC remoto al servidor de OpenVPN en el cliente.
j) Una vez establecido el canal VPN, con un cliente de escritorio remoto cualquiera puedes conectarte la IP privada (de la LAN del cliente). La misma que publicastes para la VPN con push en el fichero de configuración del servidor (que debe ser la IP dentro de la LAN que te asignó el administrador).
Acabarás con:
1.- Una máquina que no exporta recursos compartidos (no admite netlogon de IPC$ ni de nada).
2.- Una máquina que no admite accesos remotos por cliente de accesos remotos (puerto 3389 cerrado por firewall). Sin embargo, si permitirá accesos desde localhost (porque puedes configurarlo en el firewall... puedes decir que permites acceso al 3389 desde la subred del OpenVPN, por ejemplo... 10.0.8.0 por defecto, creo o algo así).
3.- Un máquina a la que se puede acceder por el puerto 80 y 443 (web server).
4.- Una máquina a la que se puede acceder por opvenvpn... Para ello necesitarás un certificado válido emitido por la misma CA que creó el certificado de servidor (es decir, podrán acceder aquellos que tengan certificados creados por tí).
5.- No hay más formas de acceso via red si has cerrado todo lo demás en el cortafuegos.
Ahora bien... Todo esto está muy bien. Sin embargo hay algo con lo que debes contar...
TU SERVIDOR ESTARÁ FÍSICAMENTE EN CASA DEL CLIENTE. No conozco ningun S.O. que no se pueda reventar teniendo acceso físico y presencial a la máquina.
Cuenta con ello ;)
--- EDIT ---
Todo lo expuesto aquí vale igualmente para el caso de montar Debian. Solo que puedes evitarte el uso de control remoto si trabajas via consola, utilizando un ssh sin acceso por usuario contraseña, sino por clave de máquina.
Sin duda mucho mejor opción tanto en rendimiento como en seguridad ;)
--- FIN EDIT ---
Última edición por moeb; 15/09/2011 a las 02:47
Razón: Añadido comentario sobre Debian
|