AYUDA VPN ROUTER HGU Y ACCESO CON CHECK PONT
Hola Con la implantación del teletrabajo comencé a trabajar en casa accediendo al trabajo con Check poing vpn. Ahora que he visto lo práctico que es me planteé hacer uso del programa para acceder a...
Foro
Muchas gracias Theliel
Tu respuesta ha sido rápida y muy detallada . A pesar de mis limitaciones en la materia voy a analizarla despacio en estos días pues se me ha complicado la semana y a intentarlo por la vía que indicas a ver si soy capaz.
Con el resultado vuelvo a escribir.
Saludos.
Hola
Lo intenté pero sin éxito. Hay algo que se me escapa
Seguí instrucciones entrando directamente a configuración avanzada del modem (es un HGU)
Entre en apartado LAN y añadí la dirección mac de la tarjeta de red del pc y le indiqué la IP fija (static IP lease list)
A continuación en NAT Virtual Server. Pero el mio no tiene Port forwarding sino Port Triggering así que me decidí por Virtual Server directamente. Aqui estaba señalado Use interface 6/ppp0.1.
Me pedía un Service nam y hay una lista desplegable parece que de aplicaciones. Al no saber que hacer añadí en custom service el hombre del host no ip dhxx.ddns.net y en server IP address la IP fija que había indicado antes en LAN. A continuación los puertos externos (start y end) 21234 en formato TCP/UDP e internos 3389 (start y end).
Creo que aquí es donde he fallado o quiza en señalar la DDNS que no se por donde y si tengo que añadir la IP asignada por no-IP o la dirección dhxx.ddns.net.
Para llamar el escritorio remoto escrito esa dirección de no-ip.
Mañana lo intento de nuevo
¿Dónde estoy fallando?
Gracias.
Hola Theliel
No puedes tener más razón en tus planteamientos sobre seguridad. Los ejemplos son gráficos y claros.
Es totalmente válido el criterio de la prudencia y la proporcionalidad.
Finalmente lo tengo claro: como he aprendido a abrir el puerto 3389 siguiendo tus instrucciones, sólo lo abriré cuando pueda necesitarlo de modo que reduciré la exposición a los momentos puntuales. No veo necesario mantener riesgo si no voy a hacer uso del mismo.
Incluso en ausencias largas donde pueda tener necesidades puntuales siempre queda una persona de confianza que puede acercarse a encender el equipo por el tiempo necesario.
Entrar en opciones de encendido remoto ya es de perfil avanzado y realmente no es una necesidad imperiosa.
De nuevo muchas gracias por todas tus aportaciones.
Saludos.
Hola Heliodoro.
Te pedimos disculpas por las molestias ocasionadas.No hemos recibido mas comunicaciones por tu parte, por lo que creemos que ya no necesitas mas ayuda desde el foro. Por nuestra parte, procedemos al cierre de este hilo, para cualquier otra duda o consulta en el futuro ya sabes donde encontrarnos.
Un saludo.
Angela.
Buenas Heliodoro
Si el equipo usa una versión vieja de Windows, es cierto que tienes que habilitar dicha opción, no hay otra.
En lo que respecta a la seguridad... a ver, cualquier exposición que se haga de un servicio hacia fuera, siempre es un problema potencial. No existe el sistema perfecto. Me encanta la seguridad informática, de echo es quizá uno de los campos en los que más... "de lleno" estoy, y me tomo tremendamente en serio. Y te hago una pequeña reflexión que en alguna ocasión he puesto en diferentes publicaciones y a veces parece que no "comulgo" con los consejos habituales.
Para mi la seguridad es esencial, pero nunca se puede perder de vista la usabilidad, y hasta que punto podemos o no sacrificar cierta seguridad, en post de otros beneficios, sea usabilidad, sea funcionalidad, sea...
Esto se ilustra de un modo muy simple. Como de seguro es un candado de 3 dígitos para proteger una bicicleta/maletas? Estamos de acuerdo que, cualquiera que haya tenido un candado de esos o las típicas maletas, simplemente si te tiras un buen ratillo das con la clave, básicamente probando es "sencillo". Volvamos a la pregunta... ¿es seguro entonces? Desde un punto de vista "global", no, obviamente. Desde un punto de vista "práctico", y dependiendo lo que se quiere proteger, sí. Muchos podrían pensar que es una barbaridad porque hay modos mucho mejores, por ejemplo un candado de 6 dígitos. Y oye, es cierto, 3 los sacamos en un ratito, pero sacar una combinación de 6 "a pelo" está complicado.... Entonces... porqué no usamos combinaciones de 6 en las maletas, si parece ser que realmente es seguro (o más seguro)? Porque no es práctico, porque el dueño tiene que tirarse en comparación el doble de tiempo como poco para poder abrir la maleta, cuando posiblemente a efectos prácticos el 99% de las veces va a estar protegido del mismo modo que el del candado de 3. Vale, y si ponemos una llave?? Bien, al margen de que una llave por supuesto se puede copiar o "sortear" con ganzúas o... implica para el dueño tener la llave a mano y no perderla para poder abrir la maleta, lo cual implica de nuevo una usabilidad mucho peor.
La seguridad informática es igual. Como puedes disminuir al máximo el peligro?? Simple, no exponiendo el equipo, lo cual equivale a no poder usar el servicio. Alguno dirá oye!! no es cierto, puedo crear una VPN en mi casa y a través de ella conectarme a mi equipo en local sin exponer directamente el equipo a Internet. Sí, es cierto, y sería más seguro (repito, no perfecto, porque hay otra larga lista de posibles problemas con ello), pero entonces eso te obligaría a instalar un cliente VPN donde quieras usarlo como cliente, tener en tu red local una VPN desplegada etc etc etc.
Sacrificamos constantemente seguridad en pos de una usabilidad. Una contraseña de 30 caracteres mezclados entre numeros/letras/mayus-minus/simbolos... es mucho más segura de una de 10, eso es una certeza. Pero entonces, porqué "nadie" usa contraseñas de 30 caracteres para el correo electrónico?? Porque no es práctico. Sacrificamos seguridad en post de que podamos acceder a los servicios de forma relativamente rápida.
Muchos "expertos" esgrimen que lo mejor y lo que hay que hacer es jamás exponer un servicio hacia el exterior. El problema es que entonces la usabilidad cae enormemente. No digo que en entornos empresariales donde se pueda manejar información confidencial, todas las precauciones sean pocas, pero en un entorno doméstico generalmente obsesionarse lleva a poco. La inmensa mayoría de los sistemas actuales son bastante resistentes ante cualquier tipo de amenaza llamemos estándar/automática/general... sí, es posible que nuestros sistemas no fuesen lo suficientemente robustos para evitar que un ataque dirigido específicamente hacia nosotros con fines mal intencionados, la cuestión es si alguna vez en nuestra existencia vamos a sufrir un ataque de estas características, si existe un hacker que va a invertir tiempo, recurso, fallos de seguridad "secretos"... para colarse en un equipo personal.
Al final, así sea el grado de confidencialidad de la información que guardamos, más o menos barreras se van a poner. De echo si la información fuese confidencial real, el equipo obviamente no solo no estaría jamás expuesto a un escritorio remoto, no estaría siquiera conectado a Internet, y la información contenida estaría toda ella cifrada, y el acceso físico a dichos sistemas protegido con seguridad igualmente física.
Así que, es seguro usar RDP?? Bien, obviamente SIEMPRE tenemos que aplicar un mínimo de sentido común, que en esencia es aplicable a todo:
1º. En lo relativo a los Router, JAMAS usar el puerto externo que sea conocido. Es decir... RDP usa por defecto el 3389, es lo que llamamos un puerto conocido. Ahí fuera hay montones de redes zombi escaneando servicios para atacar de forma indiscriminada equipos, probando usaurios y contraseñas aleatorios, buscando fallos de seguridad... Y como es natural el puerto principal que buscan para RDP es por defecto el que usa. Si el externo, que al final es el que tenemos que conectarnos es otro arbitrario, como el 21234 por ejemplo, ya el 90% de los ataques zombi son frenados, porque por el 3389 no verán nada. Eso no quiere decir que seamos invulnerables, porque habrá redes zombi que escaneen directamente todos los puertos del sistema buscando cual de ellos es RDP (puede hacerse), pero al menos nos quitamos un 90%. Y ojo, que esto pasa, quieras o no quieras tu Router va a estar bombardeado de intentos de accesos no autorizados.
2º. No tener habilitada la cuenta Administrador de Windows integrada del sistema, que es la primera que se intenta buscar, y si se tiene se deshabilita. En Win10 esto ya no es problema, en versiones viejas, si la cuenta está en uso, pues...
3º. Usar obviamente una contraseña digna, si usamos de cuenta: Administrador y contraseña: 1234... pues hombre, no es lo más adecuado.
----------------
No quiero incitar con todo esto a que puedas o no exponer tu equipo, el riesgo cero no existe, y esa decisión la toma ya cada cual. En lo personal, te digo, llevo usando RDP desde hace años. Es cierto que diariamente hay decenas o centenas de intentos (se registran en el visor de eventos), y también es verdad que tengo una lista negra de centenares de IPs que bloqueo cuando detecto cosillas raras, pero repito que soy un casi fanático de la seguridad. Soy consciente de ello, siempre hay riesgo. El software SIEMPRE actualizado (honestamente no te recomendaría usar un Windows viejo, es siempre un peligro, la primera ley de la seguridad es Software SIEMPRE actualizado.
hola Theliel
Por fin¡¡¡. Tras innumerables intentos conseguí acceder.
Tenía dos impedimentos:
- Al poner el nombre de usuario no ponía previamente el del equipo equipo\usuario
-Cambié en propiedades del sistema de Permitir solo conexiones de equipos que se ejecuten en escritorio remoto con autentificación a nivel de red a permitir desde equipo que se ejecuten en cualquier version de escritorio remoto
Después generaba un error de falta de confianza en el certificado del equipo y me arriesgué a ver que pasaba y entones pude conectar.
Ahora solo me quedan dos dudas.
¿Es segura esta conexión desde cualquier sitio, por ejemplo una red publica?
¿Se puede asegurar con más intensidad? (por ejemplo, permitiendo el acceso solo desde mi portatil del trabajo y no de ningún otro)
Soy un poco obsesivo de la seguridad y con tantas vulnerabilidades y ciberdelincuentes me queda la intranquilidad de tener un acceso posible a un desaprensivo.
Muchisimas gracias por tu ayuda.
Buenas Heliodoro
El puerto siempre hay que especificarlo porque no es el estándar si te conectas desde fuera de tu red, dentro de tu red no es necesario ponerlo sino quieres, y solo es necesario ponerlo una vez: "dominio:puerto"
Si escritorio remoto funciona, te aparecerá ya directamente un cartelito que efectivamente te pedirá datos de identificación de sesión. Esos datos SON DEL EQUIPO REMOTO, no tiene absolutamente nada que ver con noip ni nada de nada, te pide usuario y contraseña de la sesión de Windows que quieres acceder. De echo pondrá estas credenciales se usarán para conectarse a....
Aquí es obligado que la sesión de tu equipo al que te quieres conectar tenga establecida contraseña, Y QUE ESTÉ en la lista blanca de usuarios que tienen permitido el acceso. Por defecto solo los usuarios dentro del Grupo Administradores pueden, puedes añadir otros si quieres que no estén en la lista, si accedes al equipo en la configuración de escritorio remoto, abajo del todo, puedes configurar que cuentas sí o no, repito po rdefecto todos los administradores pueden
De cualquier modo, por el error que dices de "Oracle", el equipo tuyo puede tener habilitada una política de seguridad que por defecto pretende que tengas instalado y a actualizado unas cosillas en el equipo remoto. Se puede intentar sortear.
En el equipo tuyo, accede a políticas de grupos: Ejecutar: gpedit.msc
Allí a plantillas administrativas, sistema, delegación de credenciales, correción de oráculo... editas, y pones mitigado. Reinicias y a ver.
De todos modos haz siempre pruebas dentro de tu propia red, de un equipo a otro que son siempre mas simples. Prueba con otro equipo a ver, pero en principio eso es todo. Esa política de seguridad generalmente no hay que tocarla, y si debe de ser una pequeña limitación que te imponen los otros, pero en principio no parece que lo tengan bloqueado
Hola Theliel
Tus explicaciones no pueden ser más claras y concretas.
Lo que falla es mi habilidad.
Te explico últimos intentos.
En configuracion de modem avanzada creo que ya está todo.
- En LAN añadida en lista de IP estatica la MAC y la IP seleccionada para la tarjeta de red que uso
-En NAT he puesto nombre al servidor MYHOME, señalados los puertos externo 21234 e interno 3389 así como la IP del punto anterior en interface ppp0.1
- En DYNAMIC DNS he añadido el host name: el que había creado en la web no-ip DHxx.DDNS.NET. Me pidió usuario y contraseña de no-ip (entiendo que con el que me registre). Muestra SERVICE: NOIP y INTERFACE PPP0.1
-He realizado prueba de llamar al puerto 21234 desde la web de no-ip (tiene esa funcionalidad) y muestra que el puerto permite acceder
-He verificado firewall de windows y en escritorio remoto indica permitir conexiones
Entiendo que todo correcto según has ido explicando perfectamente.
A partir de aquí quizá sea mi inexperiencia y desconocimiento pero no consigo nada.
Si intento conectar desde el pc del trabajo indicando tanto la dirección que registré en no-ip como con la IP que me facilita añadiendo o no al final :21234 no me lo permite
Si no pongo el puerto me indica que no se puede conectar entre varias opciones porque no está habilitado el acceso remoto.
Si pongo el puerto :21234:21234 me pide credenciales. Muestra mi usuario del equipo de empresa y solicita la contraseña para acceder a la dirección de noip. Intento con la de registro en la web y con la de acceso al remoto y muestra que las credenciales no funcionaron.
Si añado un nombre de usuario (he creado uno de prueba con contraseña en el equipo pues por defecto al usarlo una sola persona no usaba contraseña) e indico la contraseña el error es que no se permite la función que puede deberse a actualizacion de Oracle de cifrado CredSSP.
Como alternativa pensando que es una limitación de seguridad de mi pc de trabajo por politica de empresa, también he intentado acceder desde el propio equipo de casa (no se si es correcto) pero igual. Me pide unas contraseñas que ya no se si son las de noip, las del usuario creado o cual.
Me temo, a pesar de los numerosos intentos que no voy a poder conseguirlo.
Saludos
Buenas Heliodoro
siguiendo un poco todo lo que has comentado, está bastante correcto todo. Efectivamente es VirtualServer, Port Triggering es otra cosa totalmente diferente, realmente no se usa a día de hoy. Depende del Router llaman a las cosas de formas diferentes, en algunos es VirtualServer, PortForwarding, NAT Ports.... en esencia es lo mismo, en tu caso puse es Virtual Server. Por defecto te da un desplegable con servicios habituales, efectivamente lo más rápido es añadir uno, custom name es el nombre que te de la gana, es para identificarlo tu, puerto interno correcto y externo ese vale.
Lo único que te quedaría verificar es que efectivamente tu equipo tiene asignada dicha IP que pusiste en LAN static leases con ipconfig.
En lo relativo a DDNS, el Router debería de tener una sección en los ajustes avanzados llamado DDNS, DynamicDNS o similar. Y es ahí donde tienes que configurar el servicio. En realidad no es necesario para que funcione, se configura en el Router para que si la IP cambia, el Router automáticamente actualice el DDNS a tu nueva IP.
Dejando eso finiquitado también, solo te quedan dos cosas:
1º. Asegurarte obviamente que en Windows está habilitado el acceso remoto, por defecto está deshabilitado. Originariamente estaba en Panel de control, sistema, acceso remoto (creo recordar, voy de memoria). En la versión más actual de Win10 está ahí, y también en inicio buscas por escritorio remoto, aparecerá "configuración de escritorio remoto".
Una vez que tienes en Windows habilitado eso, en otro equipo ya deberías de poder conectar sin problema, abindo la aplicación de escritorio remoto, repito preinstalada en todos los Windows, y en dirección poner: midonio.ddns.com:21234
Edito: Es necesario obviamente que la cuenta con la que se vaya acceder esté en la lista de las permitidas y tenga configurada contraseña, si no tiene contraseña no se permite.
