AYUDA VPN ROUTER HGU Y ACCESO CON CHECK PONT
Hola Con la implantación del teletrabajo comencé a trabajar en casa accediendo al trabajo con Check poing vpn. Ahora que he visto lo práctico que es me planteé hacer uso del programa para acceder a...
Foro
Buenas Heliodoro
El puerto siempre hay que especificarlo porque no es el estándar si te conectas desde fuera de tu red, dentro de tu red no es necesario ponerlo sino quieres, y solo es necesario ponerlo una vez: "dominio:puerto"
Si escritorio remoto funciona, te aparecerá ya directamente un cartelito que efectivamente te pedirá datos de identificación de sesión. Esos datos SON DEL EQUIPO REMOTO, no tiene absolutamente nada que ver con noip ni nada de nada, te pide usuario y contraseña de la sesión de Windows que quieres acceder. De echo pondrá estas credenciales se usarán para conectarse a....
Aquí es obligado que la sesión de tu equipo al que te quieres conectar tenga establecida contraseña, Y QUE ESTÉ en la lista blanca de usuarios que tienen permitido el acceso. Por defecto solo los usuarios dentro del Grupo Administradores pueden, puedes añadir otros si quieres que no estén en la lista, si accedes al equipo en la configuración de escritorio remoto, abajo del todo, puedes configurar que cuentas sí o no, repito po rdefecto todos los administradores pueden
De cualquier modo, por el error que dices de "Oracle", el equipo tuyo puede tener habilitada una política de seguridad que por defecto pretende que tengas instalado y a actualizado unas cosillas en el equipo remoto. Se puede intentar sortear.
En el equipo tuyo, accede a políticas de grupos: Ejecutar: gpedit.msc
Allí a plantillas administrativas, sistema, delegación de credenciales, correción de oráculo... editas, y pones mitigado. Reinicias y a ver.
De todos modos haz siempre pruebas dentro de tu propia red, de un equipo a otro que son siempre mas simples. Prueba con otro equipo a ver, pero en principio eso es todo. Esa política de seguridad generalmente no hay que tocarla, y si debe de ser una pequeña limitación que te imponen los otros, pero en principio no parece que lo tengan bloqueado
hola Theliel
Por fin¡¡¡. Tras innumerables intentos conseguí acceder.
Tenía dos impedimentos:
- Al poner el nombre de usuario no ponía previamente el del equipo equipo\usuario
-Cambié en propiedades del sistema de Permitir solo conexiones de equipos que se ejecuten en escritorio remoto con autentificación a nivel de red a permitir desde equipo que se ejecuten en cualquier version de escritorio remoto
Después generaba un error de falta de confianza en el certificado del equipo y me arriesgué a ver que pasaba y entones pude conectar.
Ahora solo me quedan dos dudas.
¿Es segura esta conexión desde cualquier sitio, por ejemplo una red publica?
¿Se puede asegurar con más intensidad? (por ejemplo, permitiendo el acceso solo desde mi portatil del trabajo y no de ningún otro)
Soy un poco obsesivo de la seguridad y con tantas vulnerabilidades y ciberdelincuentes me queda la intranquilidad de tener un acceso posible a un desaprensivo.
Muchisimas gracias por tu ayuda.
Hola Theliel
No puedes tener más razón en tus planteamientos sobre seguridad. Los ejemplos son gráficos y claros.
Es totalmente válido el criterio de la prudencia y la proporcionalidad.
Finalmente lo tengo claro: como he aprendido a abrir el puerto 3389 siguiendo tus instrucciones, sólo lo abriré cuando pueda necesitarlo de modo que reduciré la exposición a los momentos puntuales. No veo necesario mantener riesgo si no voy a hacer uso del mismo.
Incluso en ausencias largas donde pueda tener necesidades puntuales siempre queda una persona de confianza que puede acercarse a encender el equipo por el tiempo necesario.
Entrar en opciones de encendido remoto ya es de perfil avanzado y realmente no es una necesidad imperiosa.
De nuevo muchas gracias por todas tus aportaciones.
Saludos.
Hola Heliodoro.
Te pedimos disculpas por las molestias ocasionadas.No hemos recibido mas comunicaciones por tu parte, por lo que creemos que ya no necesitas mas ayuda desde el foro. Por nuestra parte, procedemos al cierre de este hilo, para cualquier otra duda o consulta en el futuro ya sabes donde encontrarnos.
Un saludo.
Angela.
Buenas Heliodoro
Si el equipo usa una versión vieja de Windows, es cierto que tienes que habilitar dicha opción, no hay otra.
En lo que respecta a la seguridad... a ver, cualquier exposición que se haga de un servicio hacia fuera, siempre es un problema potencial. No existe el sistema perfecto. Me encanta la seguridad informática, de echo es quizá uno de los campos en los que más... "de lleno" estoy, y me tomo tremendamente en serio. Y te hago una pequeña reflexión que en alguna ocasión he puesto en diferentes publicaciones y a veces parece que no "comulgo" con los consejos habituales.
Para mi la seguridad es esencial, pero nunca se puede perder de vista la usabilidad, y hasta que punto podemos o no sacrificar cierta seguridad, en post de otros beneficios, sea usabilidad, sea funcionalidad, sea...
Esto se ilustra de un modo muy simple. Como de seguro es un candado de 3 dígitos para proteger una bicicleta/maletas? Estamos de acuerdo que, cualquiera que haya tenido un candado de esos o las típicas maletas, simplemente si te tiras un buen ratillo das con la clave, básicamente probando es "sencillo". Volvamos a la pregunta... ¿es seguro entonces? Desde un punto de vista "global", no, obviamente. Desde un punto de vista "práctico", y dependiendo lo que se quiere proteger, sí. Muchos podrían pensar que es una barbaridad porque hay modos mucho mejores, por ejemplo un candado de 6 dígitos. Y oye, es cierto, 3 los sacamos en un ratito, pero sacar una combinación de 6 "a pelo" está complicado.... Entonces... porqué no usamos combinaciones de 6 en las maletas, si parece ser que realmente es seguro (o más seguro)? Porque no es práctico, porque el dueño tiene que tirarse en comparación el doble de tiempo como poco para poder abrir la maleta, cuando posiblemente a efectos prácticos el 99% de las veces va a estar protegido del mismo modo que el del candado de 3. Vale, y si ponemos una llave?? Bien, al margen de que una llave por supuesto se puede copiar o "sortear" con ganzúas o... implica para el dueño tener la llave a mano y no perderla para poder abrir la maleta, lo cual implica de nuevo una usabilidad mucho peor.
La seguridad informática es igual. Como puedes disminuir al máximo el peligro?? Simple, no exponiendo el equipo, lo cual equivale a no poder usar el servicio. Alguno dirá oye!! no es cierto, puedo crear una VPN en mi casa y a través de ella conectarme a mi equipo en local sin exponer directamente el equipo a Internet. Sí, es cierto, y sería más seguro (repito, no perfecto, porque hay otra larga lista de posibles problemas con ello), pero entonces eso te obligaría a instalar un cliente VPN donde quieras usarlo como cliente, tener en tu red local una VPN desplegada etc etc etc.
Sacrificamos constantemente seguridad en pos de una usabilidad. Una contraseña de 30 caracteres mezclados entre numeros/letras/mayus-minus/simbolos... es mucho más segura de una de 10, eso es una certeza. Pero entonces, porqué "nadie" usa contraseñas de 30 caracteres para el correo electrónico?? Porque no es práctico. Sacrificamos seguridad en post de que podamos acceder a los servicios de forma relativamente rápida.
Muchos "expertos" esgrimen que lo mejor y lo que hay que hacer es jamás exponer un servicio hacia el exterior. El problema es que entonces la usabilidad cae enormemente. No digo que en entornos empresariales donde se pueda manejar información confidencial, todas las precauciones sean pocas, pero en un entorno doméstico generalmente obsesionarse lleva a poco. La inmensa mayoría de los sistemas actuales son bastante resistentes ante cualquier tipo de amenaza llamemos estándar/automática/general... sí, es posible que nuestros sistemas no fuesen lo suficientemente robustos para evitar que un ataque dirigido específicamente hacia nosotros con fines mal intencionados, la cuestión es si alguna vez en nuestra existencia vamos a sufrir un ataque de estas características, si existe un hacker que va a invertir tiempo, recurso, fallos de seguridad "secretos"... para colarse en un equipo personal.
Al final, así sea el grado de confidencialidad de la información que guardamos, más o menos barreras se van a poner. De echo si la información fuese confidencial real, el equipo obviamente no solo no estaría jamás expuesto a un escritorio remoto, no estaría siquiera conectado a Internet, y la información contenida estaría toda ella cifrada, y el acceso físico a dichos sistemas protegido con seguridad igualmente física.
Así que, es seguro usar RDP?? Bien, obviamente SIEMPRE tenemos que aplicar un mínimo de sentido común, que en esencia es aplicable a todo:
1º. En lo relativo a los Router, JAMAS usar el puerto externo que sea conocido. Es decir... RDP usa por defecto el 3389, es lo que llamamos un puerto conocido. Ahí fuera hay montones de redes zombi escaneando servicios para atacar de forma indiscriminada equipos, probando usaurios y contraseñas aleatorios, buscando fallos de seguridad... Y como es natural el puerto principal que buscan para RDP es por defecto el que usa. Si el externo, que al final es el que tenemos que conectarnos es otro arbitrario, como el 21234 por ejemplo, ya el 90% de los ataques zombi son frenados, porque por el 3389 no verán nada. Eso no quiere decir que seamos invulnerables, porque habrá redes zombi que escaneen directamente todos los puertos del sistema buscando cual de ellos es RDP (puede hacerse), pero al menos nos quitamos un 90%. Y ojo, que esto pasa, quieras o no quieras tu Router va a estar bombardeado de intentos de accesos no autorizados.
2º. No tener habilitada la cuenta Administrador de Windows integrada del sistema, que es la primera que se intenta buscar, y si se tiene se deshabilita. En Win10 esto ya no es problema, en versiones viejas, si la cuenta está en uso, pues...
3º. Usar obviamente una contraseña digna, si usamos de cuenta: Administrador y contraseña: 1234... pues hombre, no es lo más adecuado.
----------------
No quiero incitar con todo esto a que puedas o no exponer tu equipo, el riesgo cero no existe, y esa decisión la toma ya cada cual. En lo personal, te digo, llevo usando RDP desde hace años. Es cierto que diariamente hay decenas o centenas de intentos (se registran en el visor de eventos), y también es verdad que tengo una lista negra de centenares de IPs que bloqueo cuando detecto cosillas raras, pero repito que soy un casi fanático de la seguridad. Soy consciente de ello, siempre hay riesgo. El software SIEMPRE actualizado (honestamente no te recomendaría usar un Windows viejo, es siempre un peligro, la primera ley de la seguridad es Software SIEMPRE actualizado.
