1. Julio padilla wario grupo: 406 informática
PRACTICA 16
Instalación y configuración de la herramienta cliente para transferencia segura
de información.
Con el objeto de iniciar sesión por SSH desde una máquina remota podemos utilizar un terminal o un
cliente muy completo como Putty. Personalmente prefiero administrar mis conexiones seguras desde este
último. Los siguientes pasos se han realizado desde un cliente Windows, pero son exactamente los mismos
para Linux.
Putty es una aplicación cliente SSH que no necesita instalación. Podemos descargarla de Putty, Download.
En el caso de Debían esta aplicación gráfica se encuentra en sus repositorios, así que bastará ejecutar en
unerminal:#apt-getinstallputty
3.2. Configuración de Putty para permitir conexiones con túneles
Después de ejecutar Putty, En Session > Host Name (or IP address), especificamos la Ip o el nombre de
la máquina remota donde corre el servidor SSH.
Una vez configurado por completo la podremos salvar dándole el nombre que queramos en Saved Sessions,
pero eso será después de pasar por SSH > Tunnels y Auth.
Ahora nos vamos a SSH > Tunnels, para configurar el túnel:
En Source port escribimos 5900 y en Destination; 127.0.0.1:5900. Pulsamos sobre Add y se nos pasará a
Forwarded ports: Debemos marcar Local ports accept connections from other hosts.
2. Julio padilla wario grupo: 406 informática
Pasamos a Auth, donde le indicaremos la ubicación de la clave privada a utilizar para la autenticación de la
conexión. Dicha clave será la que habíamos generado con anterioridad y que previamente habremos
importado en la máquina cliente y convertida a formato .ppk. En nuestro caso la he llamado quillo.
3. Julio padilla wario grupo: 406 informática
Importante: Las claves privadas generadas con ssh-keygen pueden ser usadas desde una consola, sin
embargo para utilizarla con el cliente Putty será necesario convertirla en un formato soportado por éste.
Para ello emplearemos una herramienta llamada PuttyGen:
El proceso es tan sencillo que obviamos este paso. Una vez efectuado comprobaremos que se nos habrá
generado una clave privada soportada por putty con extensión .ppk a partir de la clave privada creada con
ssh-keygen.
La conversión de la clave privada de origen openssh a formato soportado por putty en un cliente Linux la
efectuamos con el siguiente comando desde una consola:
$ puttygen nombre_clave_openssh -o nombre_clave.ppk
El resto de secciones del cliente Putty las dejamos como se hallan por defecto, entre otras cosas, por
seguridad.
Ya tenemos configurado el cliente SSH, así que podemos iniciar sesión cuando queramos.
Una vez hayamos establecido conexión por SSH, podemos iniciar sesión por un túnel seguro a través de
TightVNC, para emular un escritorio desde la máquina remota en nuestra propia máquina.
Instalación y configuración del cliente TightVNC Viewer
Se da por hecho que tenemos instalado el cliente TigthtVNC viewer, aunque podemos usar cualquier otro
(en Linux uso VNC Viewer), así que sólo queda, de forma muy sencilla, establecer conexión con el servidor.
Procederemos a ello escribiendo la Ip de localhost, 127.0.0.1 o la palabra localhost, para iniciar sesión.
Importante: Debemos previamente tener abierta sesión sobre SSH para poder acceder, además como
haber iniciado el servicio x11vnc desde la consola de Putty, de lo contrario sería rechazada la solicitud.
4. Julio padilla wario grupo: 406 informática
Cómo iniciar el servicio desde Putty
Escribimos x11vnc -passwd contraseña en la consola de sesión de Putty.
Iniciar sesión desde consola
Si en lugar de utilizar el cliente Putty para iniciar sesión por ssh, preferimos un terminal, entonces
ejecutamos el siguiente comando:
$ ssh -L 5900:127.0.0.1:5900 usuario@dirección_ip_servidor
Una vez conectados lanzamos el servidor x11vnc:
usuario@servidor:~$ x11vnc -passwd contraseña
Establecer conexión
Después de haberse iniciado el servicio x11vnc ya podremos establecer conexión con TightVNC viewer.
Para ello escribimos localhost o la dirección Ip 127.0.0.1 y pulsamos sobre Connect.
5. Julio padilla wario grupo: 406 informática
Posteriormente nos pedirá la password que será aquella establecida al iniciar el servidor x11vnc.
Con estos sencillos pasos ya podremos haber iniciado conexión segura con máquinas remotas.
Comprobaciones de seguridad
¿Cómo sabemos que hemos realizado correctamente los pasos indicados?
Podemos intentar establecer conexión con TightVNC viewer hacia la dirección Ip del equipo remoto y
comprobaremos que la solicitud será rechazada.
Realizaremos una verficación de las conexiones activas establecidas a través del comando netstat y sus
modificadores –n y -b desde una consola del Símbolo del Sistema.
6. Julio padilla wario grupo: 406 informática
Se observa cómo se establece conexión de localhost, sobre la propia máquina, hacia el puerto por defecto
de x11vnc, el 5900 y la respuesta de Putty, y hacia la máquina remota por el puerto seguro de SSH, el 22.
Por lo tanto, el túnel se ha creado correctamente y de forma segura.
Aún podemos ir más lejos y ejecutar un analizador de protocolos potente como Wireshark, veremos cómo
nos devuelve sólo capturas de tráfico encriptad