Dudas sobre escritorio remoto

Buenas tardes:

Me disculpo si es que esta consulta no la estoy publicando en el foro apropiado. De ser así, espero que algún moderador tenga a bien ubicarlo en el foro correcto. Veamos.

Esto es lo que quiero hacer:

1. Utilizar una PC de escritorio con Xp Profesional Sp3 como un servidor web
2. Habilitar el acceso remoto, vía Internet, mediante el uso del Escritorio Remoto
3. Hacer que cada vez que se reinicie Xp no tenga que solicitar usuario ni password
4. Crear un usuario y password bastante seguro
5. Evitar que alguien conectado en la red interna (intranet) pueda acceder a este servidor web, pero obviamente si poder verlo y acceder mediante browser.
6. Conectar mi laptop a la Intranet de la empresa y evitar que nadie pueda ver lo que tengo en ella
7. Conectarme al servidor web vía escritorio remoto tanto desde una red interna como desde internet

Ahora bien, lo que he podido hacer es lo siguiente, pero tengan en cuenta de que todas las pruebas las he hecho desde mi pequeña red doméstica de 2 máquinas (PC de escritorio con Xp Profesional SP3 y una laptop con Vista Home Premium Sp2 de 64bits).

1. Instalé tanto en el servidor como en el cliente el escritorio remoto sin ningún problema.
   
2. Teóricamente creo haberlo hecho al habilitar el acceso anónimo en el TSWeb ubicado en el Sitio Web Predeterminado del IIS. Esto lo hice haciendo clic en el botón derecho del mouse, siempre sobre tsweb, y seleccionar Propiedades - Seguridad de directorios (sección Control de autenticación y acceso anónimo) - botón Modificar, y en la ficha Métodos de autenticación marque SOLAMENTE Acceso anónimo y Permitir que IIS controle la constraseña.
   Para esto ya había agregado el usuario remoto en Propiedades del sistema - Acceso remoto - Escritorio remoto - Seleccionar usuarios remotos.
   
3. Esto lo logré escribiendo en Inicio - Ejecutar lo siguiente : %windir%\System32\control.exe userpasswords2 y ahí seleccione el usuario y confirmé ingresando el password correspondiente.
   
4. En esto tengo dudas y es mi primera consulta : ¿Cuán largo debería ser el usuario y el password?. Estoy considerando, por supuesto, el uso de mayúsculas, minúsculas, símbolos como #, $, %, &, /, + y también números (no el clásico reemplazo de letras por números como 3 por e o similares)
   
5. Esto si no se como hacerlo y es mi segunda consulta
   
6. Hasta donde se sólo necesito que el administrador de redes de la empresa me cree una cuenta pero, y esta es mi tercera consulta : ¿cómo puedo evitar que tenga acceso al usuario y password de mi cuenta o en todo caso como averigurar y evitar que pueda revisar el contenido de mi laptop una vez conectada a su red?
   
7. Para hacer esto cree una regla en la sección NAT del rotuer para que de acceso al puerto TCP 3389 y por supuesto puse en los rangos de IP la IP asignada al servidor web, y otra para el servidor web mismo. Los detalles son :
   
   Nombre de la aplicación : Escritorio Remoto
   Protocolo : TCP
   Puerto Inicio : 3389
   Puerto Final :3389
   Local IP : la IP asignada por el administrador de redes
   
   Nombre de la aplicación HTTP Server
   Protocolo : TCP
   Puerto Inicio : 80
   Puerto Final : 80
   Local IP : la IP asignada por el administrador de redes
   
   En mi caso, como yo soy el "administrador de redes" yo se cual es el IP de mi PC de escritorio (el IP interno obviamente). Una vez realizado esto, averigüe cual es mi ip (hay varias páginas en Internet que hacen eso) e ingrese, usando IE9, de esta forma
   
   http://mi-ip-real-en-internet/tsweb
   
   y pude conectarme sin ningún problema. También probé
   
   http://ip-de-mi-pc-de-escritorio/teweb
   
   y tampoco tuve problemas. Pero, y esta es mi cuarta consulta: ¿Esta bien la configuración realizada para el acceso vía internet (como si estuviera en otro sitio y con otra conexión) o estoy teniendo éxito debido a que ambas máquinas están en una red doméstica?

Hago estas consultas porque tengo un proyecto entre manos el cual implica dejar un servidor en las oficinas del cliente con varios sistemas en ASP y para evitar "miradas indiscretas" a los códigos fuentes, los ASP por supuesto, hemos decidido solamente entregar el CPU sin monitor, teclado ni mouse, sellar accesos a las conexiones de estos y sin lectora o disketera o usb. En realidad el CPU lo entregamos en una pequeña jaula sin candado, full soldado nada más, y la única conexión posible es la de la tarjeta de red.

Para eso Xp ya estará configurado para que ni bien se prenda se cargue un único usuario y que el escritorio remoto este habilitado y configurado. El cliente sólo tendría que integrarlo a su red y darnos el IP asignado, y de esta manera, cada vez que desee una modificación, nos conectamos vía Internet y escritorio remoto al servidor. Eventualmente iríamos a sus oficina y haríamos esto pero usando un acceso a su red interna, lo que implica que nos den un usuario y password para ingresar. Por eso todas estas consultas.

Por supuesto también me gustaría que me den sugerencias y alternativas para mejorar esta situación. Hemos optado por Xp porque tenemos licencias libres pero si creen que es mejor utilizar otro sistema operativo, díganlo por favor. Lo único que es importante es que no tenga que al reiniciarse no pida usuario ni password, sino que se logee con una cuenta específica.

Muchas gracias por su tiempo

Un saludo desde Lima, Perú

Sí. Debería funcionar.

Sin embargo, si prentendes hacer algo serio, NO ABRAS el puerto 3389 al exterior... NI siquiera el 80.

Yo crearía un puente con un servidor VPN, abriendo sólo el puerto VPN, y redirigiría todo el tráfico desde Internet a través de esa VPN... OpenVPN podría valerte sin problemas.

En principio, no puedes ocultar nada al administrador... Podrías encriptar todas las carpetas (o quitar permisos apra el administrador), pero si usas el sistema de windows, a él le bastará con hacerse con la autoría de dichas carpetas... Un administrador en un S.O. es, y debe ser, Dios :P


No necesitabas modificar directamente el registro para incluir un usuario como válido para acceso remoto...

Muchas gracias por tu consulta. Unas dudas ¿que es y como usaría un servidor VPN?
Segundo, si conecto una pc a una red donde el administrador obviamente me ha integrado a su red, y no hablo de un usuario y password sino simplemente asignado una IP interna, ¿igual tendrá posibilidad de poder ingresar a esa PC aún si no tiene usuario ni password?

Si te he entendido bien, si llevo mi laptop, por ejemplo, y el administrador de red crea un usuario y password para poder conectarme a su red, desde ese momento el podrá entrar y ver todo lo que le de la gana en mi laptop ¿entendí bien?. Sin embargo supongo que si sólo me asigna una dirección IP pero no me da usuario y password, yo podría, por IP, conectarme a cualquier máquina e ingresas SIEMPRE Y CUANDO tenga el usuario y password de dicha máquina, ¿correcto?.

Muchas gracias por tu apoyo.

Un servidor VPN es un programa que se encarga de escuchar peticiones de clientes VPN, validarlas o no y enrutar el acceso hacia las máquinas/IPs definidas, creando una "red privada" entre el/lso clientes y la LAN detrás de ese servidor VPN.

Es decir, que permite que uno o varios PCs se conecten a él y se encarga de crear las rutas para que esos PCs "encapsulen" el tráfico hacia máquinas de la LAN interna a través de él. El canal entre cliente y servidor VPN debe ser encriptado (la mayoría de las VPN permiten ésto)...

Si no sabes que es una VPN igual estás algo verde para todo ésto...

Si nos dijeses que es "exactamente" lo que pretendes, quizás sería más fácil orientarte.

En teoría, si lo único que te dan es una dirección IP, y tu usuario y password son solo tuyos, el administrador no podría entrar en tu máquina de forma simple (una vez en una red hay muchas formas de intentar romper la seguridad, pero ya no son "simples"). Efectivamente.

Es decir, "básicamente" y en un mundo "ideal" tu comentario es correcto. Sin usar técnicas semi-fraudulentas, nadie debería poder entrar en tu máquina sin tener credenciales (si tu máquina está bien "cerrada" y sin compartir recursos).

Mil gracias por tu respuesta. Explico un poco más la idea.

Queremos poner un servidor web donde un cliente, pero no queremos que pueda ingresar al servidor sino solamente vía web y únicamente a un web en particular (que es la aplicación que estamos desarrollando). Como la aplicación esta en ASP clásico tenemos que usar Windows.

Entonces, para poder nosotros realizar algún tipo de mantenimiento a la aplicación es que consideramos el uso del escritorio remoto. Por eso mi consulta sobre que un servidor web simplemente necesita conectarse a una red con un IP y nada más, no es necesario que se le cree un usuario ni nada porque no es para que entren en el servidor sino que usen lo que está publicado ahí. Para los momentos en que, por alguna actualización de Windows, se tenga que re-iniciar el servidor, es que previamente lo habremos configurado para que no pida usuario ni password (el del logeo del sistema operativo) sino que se logee automáticamente. Esto también servirá en caso de que el cliente apague el servidor o haya un corte de fluido eléctrico en la zona.

El uso del escritorio remoto nos permitiría poder hacer mantenimiento a la distancia, pues averiguar cual es el IP público de la conexión que usa el cliente no es un problema. Y si en el caso el cliente quisiera atención presencial, es por eso mi última consulta sobre la laptop y el IP.

Se muy bien que hay técnicas de intrusión que pueden eventualmente vulnerar la seguridad del sistema operativo pero no son precisamente fáciles de hacer. En todo caso, aún estamos investigando como blindar más el sistema operativo. Por ello hay en cartera, que cuando el sistema este operativo, traducirlo de ASP a PHP para poder usar Debian por ejemplo y hacer así mucho más complicado el acceso.

Entonces, ahora me interesa saber sobre el acceso remoto y sus posibilidades, tanto de seguridad como de vulnerabilidad.

Mil gracias por tu apoyo.

Ok... Está claro :)

Tu solución simple podría ser la que te comenté antes... Es decir:

Parto de la base de que sabes que es una CA, certificados PKI, certificados de servidor y de cliente, etc... No necesitas ser un experto ni mucho menos... De hecho, Las instrucciones de OpenVPN te explican paso a paso como hacer todo esto.

a) Montas un servidor windows como servidor web. Asegúrate de dejar los permisos del árbol web tal y como te recomiendan en las páginas de seguridad de Microsoft.

b) Activas el cortafuegos... permites acceso SOLO al puerto 80 (y/o 443 si vas a permitir acceso por SSL a tu aplicación web).

c) Montas un servidor de VPN en esa máquina (OpenVPN va de lujo), dado que no creo que quieras ponerte otra máquina con Linux (si es así, mejor que mejor, pero no es necesario).

d) Permites en el cortafuegos del windows el acceso al puerto que hayas elegido para openvpn (por defecto el 1194 UDP, puedes cambiarlo a TCP y a cualquier puerto libre, si lo deseas, aunque tampoco es necesario).

e) Creas una CA para emtir certificados... Este es el punto crítico. Me explico... Tu CA puede estar perfectamente en ese servidor windows, pero NO es recomendable... Yo pondría la CA en OTRA maquina, que esté bajo tu control (en tu oficina)... Es decir, instalas el OpenVPN en otra máquina SOLO para crear certificados (no necesitas todo el OpenVPN para esto, pero así no te complicas bajando otros paquetes de otros sitios).
En cualquier caso, si usas la misma maquina que va a actuar como servidor de OpenVPN (el servidor web, supongo) te resultará más fácil, y los certificados que crees quedarán incorporados automáticamente a la BBDD de certificados válidos... Tú mismo.

f) Una vez tengas la CA, creas un certificado de servidor (par publico/privado) y lo metes en la máquina del cliente que va a ser servidor de VPN, configurando el OpenVPN al path donde guardes ese certificado (mirar las intrucciones, es trivial todo esto). Incluye los equipos a alcanzar (solo la IP privada del servidor, en este caso) con push y poco más (una configuración simple de servidor).

g) Posteriormente, creas uno (o varios) certificados cliente para ti y los que vayais a acceder a esta máquina.

h) Instalas el openvpn en tu ordenador (y en los que vayan a usar la VPN contra el servidor web). A cada uno le das el fichero con su par clave_publica/clave_privada. Redirige el tráfico del router del cliente por el puerto OpenVPN (1194 UDP por defecto) a tu servidor. ASEGURATE de que el firewall del servidor no admite acceso remoto ni compartir archivos e impresoras (que deberías tener desactivado)... SOLO el openvpn (1194 UDP) y el servidor web (80 y/o 443 TCP)

i) Necesitarás una IP fija en el router del cliente, o usar un servicio de DNS dinámico (tipo Dyndns)... Asumo que sabes de que va ésto. De esa forma podrás lanzar el túnel VPN desde un PC remoto al servidor de OpenVPN en el cliente.

j) Una vez establecido el canal VPN, con un cliente de escritorio remoto cualquiera puedes conectarte la IP privada (de la LAN del cliente). La misma que publicastes para la VPN con push en el fichero de configuración del servidor (que debe ser la IP dentro de la LAN que te asignó el administrador).

Acabarás con:

1.- Una máquina que no exporta recursos compartidos (no admite netlogon de IPC$ ni de nada).

2.- Una máquina que no admite accesos remotos por cliente de accesos remotos (puerto 3389 cerrado por firewall). Sin embargo, si permitirá accesos desde localhost (porque puedes configurarlo en el firewall... puedes decir que permites acceso al 3389 desde la subred del OpenVPN, por ejemplo... 10.0.8.0 por defecto, creo o algo así).

3.- Un máquina a la que se puede acceder por el puerto 80 y 443 (web server).

4.- Una máquina a la que se puede acceder por opvenvpn... Para ello necesitarás un certificado válido emitido por la misma CA que creó el certificado de servidor (es decir, podrán acceder aquellos que tengan certificados creados por tí).

5.- No hay más formas de acceso via red si has cerrado todo lo demás en el cortafuegos.

Ahora bien... Todo esto está muy bien. Sin embargo hay algo con lo que debes contar...

TU SERVIDOR ESTARÁ FÍSICAMENTE EN CASA DEL CLIENTE. No conozco ningun S.O. que no se pueda reventar teniendo acceso físico y presencial a la máquina.

Cuenta con ello ;)

--- EDIT ---
Todo lo expuesto aquí vale igualmente para el caso de montar Debian. Solo que puedes evitarte el uso de control remoto si trabajas via consola, utilizando un ssh sin acceso por usuario contraseña, sino por clave de máquina.

Sin duda mucho mejor opción tanto en rendimiento como en seguridad ;)
--- FIN EDIT ---