Guia Para Instalar Putty y Servidor SSH

Primero les cuento que en primera instancia quera hacer un tutorial de Hopster, sin embargo, es un programa tan bsico que no funciona en muchos sistemas, por ejemplo, en el que utilizo constantemente estos sistemas. Lo que traigo a continuacin es una traduccin hecha por mi. (espero que sea comprensible, es la primera que hago, pero esta bien) Es un tutorial de tunneling utilizando otro pc que est libre de censura, no es la forma ms sencilla, pero es la optima. El original se llamaba How to Bypass Most Firewall Restrictions and Access the Internet Privately y est en http://www.buzzsurf.com/surfatwork/ Cmo evitar la mayoria de las restricciones de los cortafuegos y acceder a Internet con privacidad. Introduccin Ms y ms empresarios y rectores estn tomando precauciones relativas al tiempo que sus empleados o estudiantes estn gastando usando Internet por motivos personales. Obviamente los empleadores quieren desalentar este comportamiento e implementan diferentes maneras para evitarlo. stas pueden incluir: Restringir a sus empleados la instalacin de programas en sus estaciones de trabajo. Esto no evita que alguien acceda a Internet, pero puede evitar que se acceda a juegos o a software de mensajera. Usar un firewall (cortafuegos en espaol) o un servidor proxy para restringir el acceso a sitios web u otros protocolos de internet. Toda su comunicacin de internet pasa a travs del cortafuegos de la red lo que es una buena alternativa para monitorear y restringir el acceso. Cuan complejo o restringido sea, depender de la tecnologa con que cuente su departamento de informtica. Usando un monitor de red para espiar en el acceso a Internet. Es una forma de monitoreo de cortafuegos, donde su empleador puede interceptar y leer o guardar cualquier cosa que pase por l. Su departamento de informtica puede llamarlo un Sistema de Deteccin de Intrusos ya que es utilizado para resguardar la red de hackers o virus. Instalando programas en las estaciones de trabajo que monitoreen el acceso a Internet. Esta es, probablemente, la cosa ms dificil de evitar pues existen muchos vendedores que ofrecen este tipo de software. Adems, existe software que sencillamente graba cada pulsacin del teclado. En la mayor parte de los casos, no existe otro modo de evitar este software ms que deshabilitndolo.

Esta gua muestra una forma a travs de la cual un empleado o estudiante puede acceder con seguridad a Internet en el trabajo o en la escuela, y tambin evitar algunas de las ms comunes restricciones de los cortafuegos que le eviten usar la mayoria de las aplicaciones de red. Mi definicin de con seguridad significa que su empleador no pueda saber que pginas est viendo o cules visita normalmente, y no pueda ver ni descifrar el contenido de esos sitios (sin espiarle por la retaguardia) Tenga en mente que el mtodo aqu expuesto le proteger del monitoreo de la red, pero no de su computador real o del monitoreo de teclado. De este modo, si su departamento de informtica tiene algn software de seguridad instalado en su PC, no debera estar leyendo esta pgina.

Ademas de protegerlo del monitoreo de red, este mtodo puede usarse para sacarse un nmero de otras protecciones de seguridad que pueden estar en juego. Su empleador o escuela permiten acceder a la mayor parte del Internet pero bloquean ciertas pginas web, pues consideran que no se relacionan con el trabajo. Usando este mtodo podr hacerlo. Su empleador o escuela bloquean el acceso a sevicios de mensajera. Siga mis instrucciones y podr evitar el firewall y chatear en el trabajo. Quiere acceder a la Intranet de su empresa o escuela desde casa. Configurando el tnel de forma opuesta con el servidor SSH en el trabajo y Putty en casa. Podr acceder a la Intranet desde casa tal y como si estuviera sentado en la oficina.

Usando este mtodo realmente le ser posible hacer ms que slo navegar por la web privadamente. Puede evitar el firewall y cifrar el trfico de red de cualquier aplicacin que pueda usar SOCKS proxy. Esto incluye a la mayor parte de los mensajeros instantneos como Yahoo! o MSN. Como MySpace.com es tan popular, muchas escuelas han bloqueado su pgina para mantener a los nios lejos de la socializacin virtual y as evitar cualquier inconveniente. Este mtodo le permitir acceder a MySpace libremente como si fuese una pgina como cualquier otra. Visin general.

El objetivo es cifrar su trfico de red, de tal forma que no pueda ser ledo al pasar por la red del empleador o de la escuela. Para hacer esto, tendremos que: 1. 2. 3. 4. Correr un servidor SSH en su computador de casa Usar un cliente SSH en tu computador del trabajo para crear un tnel seguro entre la casa y el computador del trabajo. Habilitar la redireccion dinmica en el cliente SSH para simular un proxy SOCKS Configurar Internet Explorer para usar un proxy SOCKS para el trfico de red en vez de conectarlo directamente.

El proceso de navegacin en una pgina web ser como sigue: Internet Explorer en el trabajo se conecta al cliente SSH. El cliente SSH se conecta al servidor SSH que est corriendo en su computador de casa. Internet Explorer solicitar los sitios web usando el protocolo SOCKS, que SSH interceptar y manejara por usted. Entonces, el servidor SSH se comunica con el sitio web y devuelve el sitio web al cliente SSH. El cliente SSH devuelve la pgina web a Internet Explorer. En esencia, ests trucando Internet Explorer pensando en que se tiene un servidor proxy corriendo en su mquina local, donde de hecho el proxy est corriendo en su computador en casa. Desde el momento en que la comunicacin desde la red de su trabajo toma lugar a travs de SSH, no puede ser leida. El trfico SSH puede ser visto o detectado, pero lo vern como una serie de garabatos de nmeros y letras. Otra alternativa es que sea ms lento que lo usual, pero no debiera notar la diferencia cuando navega por internet usando el mtodo seguro.

Algunas personas pueden preguntar, cmo puede Internet Explorer comunicarse con SSH? Bien, SSH tiene una pequea gran funcin llamada Redireccin de conexin (Connection Forwarding). Se configura SSH para aceptar conexiones TCP en un puerto y se las redirige a un puerto en otro computador. SSH toma todo el trfico de red en un puerto, lo envuelve en un paquete seguro y lo redirige a otro lugar. Ese es el tnel. El otro truco de esta configuracin es la Redireccin Dinmica de Puertos Dynamic port Forwarding. Nuevas versiones de SSH pueden emular a un servidor proxy SOCKS. Un proxy SOCKS es un servidor que acta como intermediario. Acepta solcitudes desde un cliente, y lo conecta al servidor objetivo en su nombre. chale una mirada a esta imagen.

-Audiencia Esta gua fue escrita para usuarios relativamente avanzados. Debe saber cmo instalar programas en su computador, cmo navegar en los sistemas de archivos, y cmo editar archivos de configuracin. Un conocimiento de cmo funciona Internet, conceptos como: TCP, sockets, puertos, HTTP, y otros protocolos de red seran muy tiles. -Requisitos previos Para usar este mtodo, necesitas lo siguiente: Un computador decente en casa que pueda mantenerse conectado todo el tiempo mientras est en el trabajo. Una conexin a Internet en casa de alta velocidad (bsicamente Banda Ancha) Windows NT, 2000, o XP en el computador de casa y cualquier tipo de Windows en el trabajo. En linux funciona perfectamente. No tengo idea si lo har en Mac.

Si no cumple los requisitos previos o no quiere dejar su computador encendido todo el da, puede probar con programas de tunneling.

Cundo no funciona? Por favor, fijese en el ttulo de este tutorial Como evitar la mayoria de las restricciones de los cortafuegos Digo que son la mayoria debido a que el mtodo que describo no funcionar con todos, aun cumpliendo los requisitos previos de arriba. Si cualquiera de las siguientes sentencias se aplica a su situacin, este mtodo probablemente no funcionar. No puede acceder a ningn sitio web externo, solamente a los sitios web internos o a ninguno. Puede acceder a poqusimos sitios web (contados con los dedos de las manos).

Si alguna de las dos frases se aplica a usted, su administrador de red est trabajando duro pues est usando una estrategia de bloqueo pesimista. En otras palabras, ellos han decidido bloquear todo y probablemente darle solo accesos especficos. El problema con esta estrategia es que requiere mucho ms trabajo que usando una estrategia optimista, en que ellos permiten el acceso a todo excepto a ciertas cosas. El mtodo que describo en esta pgina no funciona en una estrategia pesimista porque este plan depende de su acceso desde el computador de casa al de su trabajo y viceversa. En 9 de cada 10 situaciones, si no puede entrar a www.amazon.com, no debera poder acceder al computador de casa. Si por alguna razn s puede, excelente! Proceda. Si no puede quizs sera bueno conversar con el administrador de la red. Pregntele si ellos abririan algun espacio en la red para que usted pueda accedervia SSH a su computador en casa. O (si le parecio muy obvio) vaya con alguna excusa a pedir acceso a un puerto en el computador de casa, luego corra el servidor SSH por ese puerto. Quizs usted ES el administrador de la red y solo est curioso respecto a como funciona esto Direcciones Antes de que instalemos y configuremos el software, necesita encontrar los siguientes datos: -La direccin IP de su casa -La direccin IP externa de su escuela o empresa. La forma ms fcil de obtener estos datos es yendo a una pgina como http://www.whatismyip.com en su casa y en su trabajo Software Vamos a utilizar dos sencillas piezas de software; un servidor SSH y un cliente SSH. Hay toda una serie de servidores SSH, pero vamos a usar OpenSSH porque es gratis. La pgina de OpenSSH es http://www.openssh.com. Pero espera! OpenSSH no es una aplicacin Windows, sin embargo en http://sshwindows.sourceforge.net est la versin windows que necesitamos. Baje OpenSSH de la pgina mencionada. Para el servidor SSH recomiendo usar Putty. Putty es una pequea aplicacin con la habilidad de configurar un tunel. Las versiones ms recientes tienen soporte de Redireccin dinmica (Dynamic Forwarding), que es esencial. Es posible usar OpenSSH como cliente y servidor, pero Putty es mucho ms sencilla de utilizar. baje Putty desde www.chiark.greenend.org.uk/~sgtatham/putty/download.html

Instale el Servidor SSH El instalador de OpenSSH viene en un archivo zip. Descomprmalo e inicie setupssh.exe. Elija donde instalar los archivos. Configurar Windows.

OpenSSH para usuarios de Windows requiere autenticacin del usuario en Windows. Eso significa que se requiere el mismo nombre de usuario y clave que para ingresar a su computador en casa. Si no tiene, puede crear una nueva cuenta de usuario que tenga clave o puede aadirle una clave a su propia cuenta. Configurar el servidor SSH.

Queremos configurar el servidor SSH para permitirnos el acceso utilizando usuario y clave, y adems que este escuche a travs del puerto 443 y no por el 22. Por qu el 443 y no el 22? En la mayor parte de los casos, su empleador bloquea casi todos los puertos de salida excepto los puertos 80 y 443, que son los dos puertos que los servidores web usan. Recomiendo que use el 443. El puerto 443 es usado para los sitios web cifrados (pginas de bancos o compras por internet), que circulan de forma similar al tunel que pensamos usar. Si tiene problemas con el puerto 443 pruebe el 80. Si ninguno funciona, es que probablemente no andabas de suerte. Abre el Explorador de Windows, navega hasta llegar al directorio etc de la carpeta donde se instal Open SSH. Abre el archivo sshd_config con notepad (cuidado con el archivo ssh_config que no es igual). Cambia la linea #Port 22 por: #Port 443 Guarda el archivo. Ahora abre una ventana de comandos (Inicio->Programas->Accesorios->Smbolo de sistema en Win XP. Cambia a la carpeta bin dentro de la carpeta donde fue instalado OpenSSH y escribe: mkgroup -1 > ..\etc\group y entonces: mkpasswd -1 > ..\etc\passwd Estos dos comandos crearn los archivos de grupo y contrasea en la carpeta etc (antes mencionada).

Iniciando/Deteniendo el servidor SSH En su computador personal, abra una ventana de comandos. Para iniciar su servidor SSH, escriba: net start opensshd Para detenerlo escriba: net stop opensshd Para hacerlo fcil, puede crear un archivo .bat que realice este comando automaticamente. Si crea un acceso directo al archivo .bat en la carpeta Inicio de la lista de programas, el servidor se iniciar desde que su computador se encienda y estar listo para cuando lo requiera desde el trabajo. Si tiene un router (inalmbrico o cableado).

Algunos routers lo llaman redireccin de puerto y otros le llaman servidores virtuales, pero la configuracin es similar, y da igual la marca del router. Necesita configurar su router para enrutar hacia el puerto 443 cuando el servidor SSH est funcionando. No voy a entrar en detalles, pero normalmente existe una interfaz basada en navegadores de internet para configurar el servidor SSH y que tienen una pgina para configurar servidores virtuales. Configurala para redirigir el puerto 443 al servidor de casa en el puerto 443. Configurar Putty en el colegio o el trabajo Putty puede funcionar tanto en el PC como en un cd, un diskette, o un pendrive. Abre notepad y copia lo siguiente; cambia la parte en negrita y agregue la IP de su casa. putty -D 8080 -P 443 -ssh Ip de su casa Guarde el archivo como tunel.bat en el mismo directorio en que instal putty. Nota, para avanzados: Si su PC est configurado para un proxy necesitar configurar Putty algo distinto. Abra putty en modo grfico, ingrese sus datos de conexin a internet. Putty debe crear un tunel seguro a travs del proxy del trabajo hasta su computador de casa buen truco no? Crear el tnel.

En el trabajo, simplemente haga doble clic en tunel.bat para iniciar el tunel. Una ventana de putty se levantar pidiendo Usuario y Clave. Escriba el usuario y la clave del computador de la casa. Si funciona, le aparecer una ventana de DOS esperando por un comando. Esa es realmente una ventana de comandos a su computador de la CASA. Puede usarla si lo desea, pero mientras est abierta, el tunel estar a salvo. Para cerrar el tunel, escriba exit o cierre la ventana.

Para usuarios avanzados.

Si est familiarizado con SSH y sabe lo que est haciendo, puede configurar el tunel para no tener que escribir la clave cada vez que desee abrir el tunel. Configurar Internet Explorer Ahora tenemos que configurar Internet Explorer en el trabajo para usar un proxy SOCKS Primero, en la escuela o trabajo vaya a http://www.whatismyip.com. Esa es su direccin IP cuando el tunel no est funcionando. En Internet Explorer: -Abra Herramientas->Conexiones->Configuracin de LAN -Habilite el casillero Usar un servidor proxy para su LAN y presione Opciones Avanzadas -Desabilite la opcin Usar el mismo proxy para todos los protocolos -Borre todas las direcciones y los puertos. -En la linea que dice SOCKS escriba: 127.0.0.1 en la direccion y 8080 para el puerto. Salga, aceptando todos los recuadros y cierre Internet Explorer para luego reiniciarlo. -

Ahora vaya nuevamente a http://www.whatismyip.com. Si todo marcha bien, la pgina debe haber cambiado para mostrar su direccin IP de casa no la del trabajo. Si muestra la direccin IP de casa, felicitaciones, ya puede navegar en la web con seguridad y privadamente desde el trabajo. Pruebe a acceder a MySpace (si es que antes no poda). Configurando otras aplicaciones para usar la conexin privada. La mayoria de las aplicaciones que acceden a Internet pueden usar el tunel. Para que funcionen, deben tener soporte para proxy SOCKS 4 o 5. Todos los programas de mensajera pueden hacerlo. Cada configuracin tiene matices distintos pero la configuracin de red en el fondo es semejante. Configure la aplicacin para usar SOCKS 4 o 5, el host es 127.0.0.1 y el puerto es 8080. Protejase de que le espen.

Aqu hay una gran aplicacin que combina perfectamente con el tema de este tutorial. Se llama Ghostzilla. La idea es que pueda navegar por la web, pero mientras realiza su trabajo habitual con programas como Excel o Word o Visual Studio el que sea. Con un movimiento del mouse, Ghostzilla levanta y puede navegar por la web. Si ve a alguien venir, mueva el mouse otra vez y desaparecer sin dejar huella. Adems es fcil de configurar para utilizar el tunel de este tutorial. En la prxima entrega hablaremos de la censura sobre Internet en lugares como China o Cuba, cmo afecta eso a los cristianos y si es posible evitar la censura en esos casos.