Establezca una conexión segura en la Web
¿Le preocupa la seguridad inalámbrica mientras trabaja remotamente? Aquí le enseñamos una manera de asegurar que sus datos confidenciales estén protegidos.
Si usted trabaja cuando viaja, probablemente se ha conectado inalámbricamente a una red pública por lo menos una o dos veces. Debería saber cómo mantener la seguridad de sus datos cuando está en una de estas redes, tomando precauciones como usar la red privada virtual de su compañía o un túnel de la Web cifrado como Hotspot Shield. (Para más consejos, vea la página 94 del ejemplar de julio o visite find.pcworld.com/70270).
Pero si no tiene una VPN en su compañía y no quiere lidiar con los anuncios emergentes de Hotspot Shield, existen otros métodos de establecer su propia conexión de Internet privada y cifrada a prueba de curiosos.
Ponga su tráfico en un túnel
Aunque la red inalámbrica que usa esté protegida por contraseñas o cobre por minutos, cualquier usuario a su alrededor que esté conectado a la misma red puede espiar su tráfico de la Web.
Este problema se soluciona creando un túnel cifrado mediante el cual usted envía el tráfico que se origina en su portátil y termina en una ubicación conocida (el “punto final” del túnel). Desde allí, el túnel encamina su petición a la Web. Por supuesto, una vez que el tráfico deje su túnel, está sujeto al escrutinio usual—de los ISP, de las agencias policíacas y demás—pero mientras sus datos se muevan por el punto caliente Wi-Fi de acceso público, su navegación estará segura.
Seguridad fácil y barata por medio de SSH
La manera más fácil de establecer su propio túnel seguro para la Web comienza con pagar un costo mensual a una compañía de hosting para que se encargue de la difícil tarea de obtener un servidor, instalar un sistema operativo y asegurar que el servidor esté encendido 24 horas al día con una generador eléctrico de emergencia. Yo prefiero este enfoque porque no hay que molestarse con los cortafuegos de su casa y no tiene que dejar una computadora encendida cada vez que sale de viaje.
Cualquier proveedor barato de hosting compartido le servirá, siempre que ofrezca un servidor de shell seguro (SSH). SSH fue creado como una versión cifrada de Telnet, uno de los protocolos originales de Internet, utilizado para enviar información de caracteres entre computadoras.
Usted podrá encontrar un proveedor que ofrezca un paquete básico de hosting con acceso SSH por alrededor de US$5 mensuales, así que por unos quince centavos diarios tendrá su propio túnel seguro.
Una vez que su proveedor de hosting cree su cuenta, usted recibirá su información de conexión y el servidor asignado. Desde allí, puede improvisar un proxy de la Web enviando mandos de SSH. Yo demostraré versiones de OS X y de Windows; los usuarios de Linux pueden seguirme y hacer pequeños ajustes donde sea necesario.
Use un cliente de SSH
OS X tiene un cliente de SSH de línea de comandos, así que todo lo que tiene que hacer es abrir Terminal (en la carpeta de Herramientas dentro de su carpeta de Aplicaciones). La línea de comandos tiene su nombre de usuario y el nombre de su computadora, seguido por el símbolo $. Todos los mandos en las secciones siguientes son las cosas que tiene que escribir junto a ese símbolo.
En Windows, tiene que descargar un cliente. Uno popular y gratuito es PuTTY (find.pcworld.com/70271).
Usar la información de conexión de su proveedor de hosting, puede abrir una sesión de SSH en OS escribiendo la porción mostrada abajo después del símbolo $:
$ssh nombredeusuario@nombredeservidor.ejemplo.com
En una PC de Windows, abra PuTTY y escriba el nombre del servidor que le dio su proveedor de hosting. Seleccione el botón de SSH bajo 'Protocolo'. El campo de Puerto debería ponerse en 22 (el valor predeterminado del puerto SSH). Pulse el botón Abrir.
Como esta es la primera vez que usted se conecta a este servidor, el cliente mostrará una alerta y le pedirá que confirme la huella digital del anfitrión. (Esto sólo sucederá una vez; a partir de entonces, su cliente confirmará que la huella digital no ha cambiado. Si cambia, pudiera significar que su conexión ha sido alterada).
Una vez que confirme la huella digital, PuTTY le pedirá su nombre de usuario y contraseña. OS X le pedirá una sola contraseña porque usted ya dio su nombre de usuario en la línea de comandos.
Después de abrir la sesión, verá una pantalla que le indica que está conectado a la línea de comandos del servidor remoto; verá que el nombre del servidor que precede el símbolo $ ha cambiado para reflejar el sistema remoto.
Ahora que sabe que tiene un servidor de SSH que funciona, puede establecer su túnel. Escriba el mando exit para cerrar su sesión de SSH.
Escuchas locales y puntos finales remotos
Aquí es donde las cosas se ponen un poco confusas. Usted tiene que configurar un puerto en su computadora local (un “escucha”) que tomará cualquier paquete que usted le tire y lo meterá en una sesión cifrada de SSH. En el otro extremo del túnel, el tráfico se descargará en su servidor SSH. Le mostraré cómo configurar su navegador de la Web para enviar el tráfico por proxy mediante este escucha local. Aunque pareciera que debería apuntar su navegador al servidor remoto, lo apuntará técnicamente a “localhost”, que es un nombre especial para su PC local.
Usted tendrá que decirle a su cliente de SSH que abra un túnel que comienza en su portátil (localhost) en el puerto 8888 y que termina en el servidor de SSH, donde los datos serán entonces remitidos al sitio de la Web que quiere visitar.
El proceso es simple en OS X y puede hacerlo con un mando:
$ssh - ND 8888 nombredeusuario@nombredeservidor.ejemplo.com
La opción 'N' le dice al cliente de SSH que no quiere una sesión interactiva (una línea de comandos). La opción 'D 8888' indica al cliente que establezca un túnel “dinámico” de reexpedición de puerto en el puerto 8888. El túnel debería ser dinámico porque el sitio de destino lo cambiará mientras navegue por la Web; otros túneles de reexpedición de puertos tienen reglas estáticas, pero para navegar probablemente querrá la versión dinámica. Después de enviar el comando, el sistema le pedirá una contraseña y luego no pasará nada. Realmente, si el mando funciona, el puerto será abierto, pero no recibirá ninguna confirmación en la Terminal.
En Windows, abra PuTTY, en la lista de 'Categoría' busque 'Conexión' y expanda 'SSH' para seleccionar Túneles. Seleccione el botón Dinámico, escriba 8888 para 'Puerto de origen' y pulse Agregar.
Ahora pulse el botón Abrir. Después de escribir su contraseña, su túnel será creado. En la línea de comandos no saldrá ninguna confirmación.
Pruebe su túnel
Ahora es el momento de probarlo todo. Primero, abra su navegador de la Web, visite www.whatismyipaddress.com y anote la dirección IP que aparece. Esta es la dirección IP pública que el resto del mundo ve cuando usted se conecta desde su ubicación actual (la casa, el trabajo, la escuela, o el café).
Para cambiarla, los usuarios de Internet Explorer deberían ir a Herramientas • Opciones de Internet. En este cuadro de diálogo, seleccione la ficha de Conexiones y pulse Configuración de LAN. En el cuadro de diálogo emergente, seleccione la casilla que dice Utilizar un servidor proxy para su LAN. Pulse Avanzado. Junto a 'SOCKS' escriba localhost para la dirección y 8888 para el puerto; deje todos los otros campos en blanco. Pulse Aceptar tres veces.
Los usuarios de Firefox en Windows deberían ir a Herramientas • Opciones; los usuarios de Firefox en OS X deberían pulsar Firefox • Preferencias. Después, en cualquier plataforma, seleccione la categoría Avanzada (un icono de engranaje) y escoja la ficha de Red. Pulse el botón de Configuración.
Seleccione Configuración de proxy manual. Junto a 'SOCKS Host', escriba localhost para la dirección y 8888 para el puerto; deje todo lo demás en blanco. Escoja el botón SOCKS5 si no está seleccionado ya. En Windows, pulse Aceptar dos veces; en OS X, simplemente cierre ambas ventanas de preferencias.
Los usuarios de Safari en OS X deberían ir a Safari • Preferencias. Seleccione la categoría Avanzada (un icono de engranaje) y pulse el botón Cambiar configuración junto a 'Proxies'. Esto abrirá Preferencias de sistema para su conexión de red actual. En la ficha de Proxies, selecciona la casilla de SOCKS Proxy y escriba localhost para la dirección y 8888 para el puerto. Pulse Aceptar • Aplicar y entonces cierre Preferencias de sistema.
Independientemente del navegador y de la plataforma que tenga, una vez que cambie su proxy de la Web, regrese a What Is My IP Address para confirmar que la Internet lo ve a usted como que está visitando “desde” su servidor de SSH, confirmando que su navegación está segura de los curiosos en puntos calientes de Wi-Fi.
Ejecute un servidor de SSH
¿Qué hace si no quiere pagar un costo mensual a una compañía de hosting? Usted puede ejecutar su propio servidor de SSH. Pero este enfoque no es para todo el mundo—no siga con los pasos indicados a continuación a menos que haya entendido fácilmente las secciones anteriores. Además, tiene que saber cómo activar una conexión mediante su enrutador doméstico de DSL o cable (o, si quiere hacer esto en la oficina, cómo ajustar su cortafuego).
Este método hace su conexión interesante a las sondas de redes que buscan puertos abiertos en la Internet. Además tendrá que mantener encendida todo el tiempo en su casa a la computadora que usa como servidor.
Si verdaderamente comprende los riesgos y quiere ejecutar su propio servidor de SSH, siga leyendo. El diagrama de abajo ilustra cómo luce la configuración.
OS X incorpora un servidor de SSH. Abra Preferencias de sistema • Compartir. En la ficha de Servicios, seleccione la casilla de Conexión remota (alias Servidor de SSH).
Para Windows, existen varios servidores de SSH gratuito y baratos (a veces conocidos como SSHD—la “D” representa la palabra daemon, una manera de decir “servidor” en el lenguaje técnico). El que voy a usar aquí es WinSSHD versión 5 (find.pcworld.com/70272); está disponible gratuitamente para el uso personal. Ejecute el instalador y seleccione Edición personal.
El panel de control mostrará el asistente de Configuración fácil. Todas las opciones predeterminadas son aceptables para sus propósitos, así que pulse Cancelar. Pulse el vínculo de Iniciar WinSSHD para comenzar el servidor de SSH.
Pruebe su servidor de SSH
No me voy a extender en el modo de inutilizar adecuadamente el cortafuego de su portátil ni el cortafuego de su red para permitir que el puerto 22 acepte las conexiones de entrada—si ha seguido leyendo hasta aquí usted es un usuario avanzado que sabe cómo hacerlo. Su próximo paso será probar su servidor de SSH, así que tendrá que usar algunos de los mandos descritos en las secciones anteriores.
Los usuarios de OS X deberían escribir el mando siguiente:
$ssh nombredeusuario@localhost
En Windows, abra PuTTY y escriba localhost para la dirección del servidor. Puede usar la contraseña que normalmente usa para entrar a su portátil. Como esta es una nueva conexión, probablemente verá una comprobación de la huella digital. Si no funciona, chequee su cortafuego u otro software de seguridad que posiblemente esté bloqueando su conexión.
A continuación, trate de conectarse desde el exterior a su servidor de SSH. Cree una cuenta de prueba en su computadora local y pida a un amigo que pruebe la conexión usando la contraseña de esta cuenta de prueba. Su amigo debe seguir los mismos pasos para configurar el cliente de SSH y su navegador de la Web como indicamos anteriormente.
Configuración de túnel seguro para la Web mediante una compañía de hosting
Su portátil
Cafetería
Punto final del túnel
Sitio de la Web
Portátil no segura
Wi-Fi público
Túnel seguro
Conexión no cifrada
Ordinariamente, cuando usted usa el punto caliente inalámbrico en una cafetería u otra ubicación pública, está tomando la ruta directa al sitio de la Web (la línea sólida en rojo). Sin embargo, un túnel cifrado (en azul), lo protege en el punto caliente de la red. Más allá del punto final del túnel, su tráfico viaja a la Internet por métodos regulares no cifrados (nuevamente, en color rojo) al sitio de destino de la Web.
En el cliente SSH de PuTTY para sistemas de Windows, escriba el nombre del servidor de su proveedor de hosting y seleccione el botón de SSH para el protocolo.
Navegador de la Web
Ponga el proxy en:
localhost puerto 8888 'Listener' en su portátil
Servidor de SSH
Apunte su navegador de la Web a “localhost” para enviar tráfico al puerto (llamado escucha o listener) que está configurado para abrir un túnel desde su portátil al servidor de SSH, donde los datos entonces será remitidos al sitio de destino de la Web.
Cuando prepare su túnel de reexpedición de puertos en PuTTY, asegúrese de seleccionar la opción Dinámica.
Configuración mediante una conexión doméstica
El túnel seguro
Conexión no cifrada
En vez de conector directamente a los sitios de la Web (en rojo), usted puede enviar el tráfico de su portátil por medio de un túnel seguro (en azul) al servidor de SSH que usted mantiene en una PC de su casa.