SSL-Explorer (II)
En esta segunda entrega del tutorial continúamos justo donde lo dejamos. Procederemos a realizar una configuración muy básica para permitir el acceso a un recurso de nuestra red local (un simple servidor web en la intranet de nuestra "empresa" en este ejemplo tan sencillo, pero que podría ser cualquier aplicación o recurso que deseáramos compartir) a un usuario desde cualquier ubicación remota (nuestro propio PC en el ejemplo, pero podría ser cualquier lugar del mundo). Lo interesante es que, utilizando Internet como medio de comunicación, todos los datos se transmitirán en el interior de un túnel de gruesas paredes, impenetrable para las miradas indiscretas y los usuarios no permitidos. En eso consiste en definitiva una VPN, y SSL-Explorer nos permite construir todas las que queramos con muy poco esfuerzo...
Lo primero que debemos hacer es crear un usuario y definir el recurso al que podrá acceder.
En la columna de la izquierda seleccionamos "Access Control" y luego "Accounts". Se nos mostrará únicamente el Super Usuario que definimos durante la instalación. Para crear uno nuevo, en la columna de la derecha, bajo "Actions", pulsamos sobre "Create Account":
Rellenamos los campos correspondientes a Nombre de usuario y Nombre completo y hacemos clic en la casilla Activar.
Se nos pide una contraseña para el nuevo usuario:
Pulsamos "Save" (Guardar) y ya tenemos un nuevo usuario.
Configuraremos ahora una política de acceso para permitir a este nuevo usuario acceder -por ejemplo- a nuestra intranet desde cualquier punto del globo. Bajo el mismo título "Access Control" pulsamos ahora sobre "Policies" y luego "Create Policie":
Hay que seleccionar ahora a qué usuarios (o grupos) aplicaremos esta política. Escribimos en un campo "Account" el nombre del usuario que creamos en el paso anterior:
Pulsamos "Add" y "Next". Después "Finish":
Correcto. Pulsamos "Exit Wizard".
Ahora vamos a asignar un recurso al que este usuario pueda acceder. En la columna izquierda, bajo el título "Resources", pulsamos sobre "Web Forwards", que permitirá a nuestro nuevo usuario conectarse a nuestra intranet desde cualquier lugar del mundo mediante un túnel seguro. Como aún no hay ninguno definido, pulsaremos (columna derecha) sobre "Create Web Forward":
En la siguiente pantalla seleccionamos "Create Tunneled Web":
Le damos un nombre y una descripción:
Pulsamos "Next". Se nos pide la URL de destino:
Hemos de aplicar una política. Seleccionamos "Intranet", "Add" y "Next":
Pulsamos "Finish" y "Exit Wizard". Mediante "Logoff" podemos salir de la consola de gestión.
Nuestro nuevo usuario puede también loguearse ahora mediante nombre y contraseña. Sin embargo comprobaremos que su consola dispone de muchas menos opciones que la de nuestro Super Usuario:
Eso sí, al pulsar sobre "Web Forwards" veremos que tiene disponible el acceso a nuestra intranet:
¿No pudiste resistir la tentación de hacer clic sobre "Intranet"? Yo tampoco:
Vaya. Nos falta instalar el plugin de Java para Mozilla. Procedemos a instalarlo y el resultado ahora es otro:
Como podéis ver, un mensaje en el escritorio y un icono en el panel de Gnome nos avisan de que el Agente de SSL-Explorer ya está funcionando. Sin embargo, el bloqueo de ventanas emergentes en Firefox está impidiendo que se muestre el recurso accedido. Por tanto procedemos a permitir los popups en este dominio y accedemos a nuestra (paupérrima) Intranet en todo su "esplendor":
Fijaos en el detalle: Apache nos indica que está sirviendo las páginas desde un puerto muy diferente al 80 habitual (que tuve que cambiar al 88 para que no interfiriera con SSL-Explorer).
De hecho, si pulsamos el botón derecho sobre el icono del panel y seleccionamos la opción "Tunnel Monitor" veremos que el túnel está perfectamente establecido sobre ese mismo puerto:
El Agente de SSL-Explorer muestra sus "credenciales" si pulsamos en "About":
Podemos cerrar el túnel y abrir otro nuevo, en cuyo caso el puerto cambia:
Como os podéis imaginar, sólo hemos arañado la superficie de SSL-Explorer. Sus posibilidades de configuración son infinitas (especialmente en la versión Enterprise), permitiendo una extrema granularidad en la definición de políticas, permisos, accesos y recursos. No obstante espero que lo visto en este tutorial sirva de punto de partida para que los más interesados en el tema puedan avanzar. Sin tardar abriremos también un nuevo foro sobre configuración de VPN, tanto con SSL-Explorer como con otras herramientas que iremos viendo.
- 1597 lecturas
Twitter
Está chulo pero de momento no le veo un uso definido
Lo he instalado hace media hora y configurado tú, y la verdad, no le veo mucho sentido. Claro que el hecho de entrar por un tunel VPN al servidor Apache juega muy de lado de la privacidad y la seguridad, pero si de mientras ese servidor apache sigue funcionando en el puerto 80 y sigue siendo igual de accesible con o sin el túnel VPN no tiene mucho sentido (al menos yo no se lo veo, pero también puede ser que esté escribiendo este comentario desde mi más profunda ignorancia).
A eso hay que sumarle que es necesario tener instalado el plugin de java con las consiguientes molestias que ello supone. De todos modos estaría bien que comentases cómo (y de dónde) desinstalarlo una vez nos hayamos cansado de él. Más que nada para no tener cosas innecesarias instaladas en el sistema.
Por cierto, Firefox 3 detecta el certificado de seguridad como no válido (para variar):
http://i25.tinypic.com/29p6tuc.jpg
Otro ejemplo
Ya digo en el tutorial que el ejemplo que muestro es muy simplón. Pensé que precisamente por ser simple se pillaría mejor la idea, pero a lo peor me excedí en mis previsiones ;)
Mostraré otro un poco mejor. Tratar de acceder desde otro equipo A (192.168.0.2) al servidor que corre en el host B (127.0.0.1). Desde A accedo a mi interfaz de usuario de SSL-Explorer en B y selecciono "Intranet". El acceso no sólo ocurre en un túnel cifrado, sino que además está limitado a mi usuario, que ve la intranet mostrando su IP original:
El usuario de A podría estar en cibercafé de Hong Kong y B podría ser el servidor web interno de su empresa. Y lo mejor es que A no ha necesitado instalar nada. Sólo ha usado el navegador que había en Hong Kong ;) y le han saltado los avisos de túnel cifrado con SSL-Explorer y el icono de control como si hubiera instalado un cliente específico en esa máquina. También podría haber leído su correo o accedido a cualquier recurso de la red de su empresa.
En fin; es la idea de una VPN, que no me la he inventado yo (ya me hubiera gustado, ya), sino que es una de las más importantes tendencias en computación por su capacidad de dar acceso remoto barato, pero cifrado y autenticado.
Puede que a ti particularmente no te sirva de nada (a mí tampoco ahora mismo ;), pero hay sin duda otra gente a la que sí. Por eso el tutorial.
Software muy interesante
Ya hace mucho tiempo que le sigo la pista a este software. Mis clientes están utilizando soluciones de Cisco o F5 Networks entre otros, pero a nosotros no nos han convencido por forzarnos a utilizar Windows e Internet Explorer.
En nuestro firewall tenemos implementado pfSense, es increíblemente estable y nos ha permitido crear tuneles VPN a grandes distancias sin problemas, también tenemos cliente VPN multiplataforma, y balanceo con failover de lineas ADSL.
Ahora solo falta conseguir instalarle SSL- Explorer, y en mi opinión será un firewall perfecto para nosotros, ademas de ser todo opensource !
Saludos
A mi la verdad
A mi la verdad... me parece un software con mucho futuro... sobretodo para equipos portatiles (celulares, terminales wrles, etc) asi como a personas de soporte tecnico que necesite acceder a su PC o al a red, en determinado caso..
Yo ahora mismo lo estoy testeando para ponerlo en practica en un experimento que ando haciendo
Muchas posibilidades
Ejemplo: tu empresa o uni te impide acceder a sitios sitios. Te pones SSL-Explorer en casa y accedes a él, desde donde puedes ver lo que te interese.
La empresa ni idea, porque todo va por un puerto que traspasa cortafuegos y además cifrado.
Un uso bastante util
hace poco acabo de ver este tutorial y realmente si le encuentro un uso.
en la empresa donde laboro, algunos empleados utlilizan portatiles para hacer sus trabajos de campo.
un uso que yo les podria dar, es el mantener su informacion en el servidor como especie de copia de respaldo, ya que por ser laptop puede extraviarlas o dañarse por algun virus entonces la informacion se resguardaria en una parte del servidor linux, el cual tambien podrian ser accesada desde la empresa por medio de un servidor samba.
Version incorrecta?
Hola a todos. Tengo la versión RC18 corriendo sobre 2003 server pero en la pestaña resources sólo me aparece el submenú profiles. No aparece ningún otro por lo que no puedo publicar servicios. ¿Alguien puede ayudarme?
Gracias y un saludo
¿Me podría servir?
Hola.
El artículo me ha gustado, al mismo tiempo que me ha abuerto nuevas ideas para mi trabajo.
Pero no sé si me serviría para lo que quiero...
¿Podría conectarme por ejemplo a un servidor Firebird dentro de la red local, para realizar labores de mantenimiento (mediante una aplicación) desde mi casa?
Por los ejemplos que has puesto, es todo a traves de un explorador, por esto es la duda
Muchas Gracias.
¿Cómo se desinstala?
Me gustaría saber cómo se puede desinstalar, ya que me he colado y he marcado la opción de instalar la versión Enterprise y me gustaría poder desinstalarlo para volverlo a instalar.
Muchas Gracias.
seguridad por software
realmente interesante,
en lugar de pagar a Telefónica o a cualquier otro operador una pasta gansa para crear una VPN por hardware
lo conseguimos de esta manera por software y gratis.
el único pero es si es cierto lo que se dice en el primer comentario:
"si el servidor apache sigue funcionando en el puerto 80 y sigue siendo igual de accesible con o sin el túnel VPN"