Llegamos a ustedes gracias a:



Reportajes y análisis

Acceso remoto seguro: guía para compradores (y no compradores)

[24/05/2010] Es un clásico. Y siempre ocurre cuando por fin hemos logrado tomarnos un par de días libres y estamos en camino hacia la playa. Indefectiblemente, en ese preciso momento, alguien necesita algún fragmento de información que usted y solo usted puede brindarle, y que está debidamente archivado en la PC de la oficina. Entonces, ¿a recoger las toallas y resignarse a volver?

No si la computadora de nuestra oficina está configurada para acceso remoto. Con una solución de acceso remoto, podemos acceder fácilmente a nuestra PC (o Mac) y responder esa pregunta tan urgente, sin tener que renunciar a los rayos del Sol. 
¿Demasiado bueno para ser verdad? Ni tanto. Hay una gran variedad de soluciones para hacer realidad lo que acabamos de describir. En la presente guía, nos ocupamos de los diferentes tipos de soluciones de acceso remoto, sus ventajas y desventajas, sus requisitos técnicos y su facilidad de uso.
Vayamos directamente al grano: acceder a nuestra computadora desde el exterior del edificio físico de la empresa no es algo que solo las compañías del Fortune 500 pueden darse el lujo de hacer. Hay muchas opciones disponibles, desde las gratuitas y de bajo precio hasta las relativamente costosas, que nos permitirán acceder a nuestra PC desde cualquier punto remoto. Todas ellas brindan una forma de conexión a la computadora de la oficina para correr programas y trabajar con archivos y data. Es decir, se acabó el trámite de copiar archivos en una memoria USB para llevar trabajo a casa, y adiós a esa sensación de aislamiento que suele invadirnos cuando estamos lejos de la oficina, o sea de vacaciones. El acceso remoto seguro es algo que todos los negocios, sin importar su tamaño, deberían implementar para favorecer la productividad. 
Todas las técnicas que describiremos a continuación -salvo por los servicios de hosting- requieren cambios en nuestro router o en el firewall. Para cada método de acceso remoto se necesita abrir un puerto TCP en el router y dirigirlo hacia nuestra PC o nuestro servidor, a fin de que el programa de control remoto pueda funcionar. Agregar una regla de desviación de puerto en el router o el firewall es cosa sencilla, y con solo iniciar una búsqueda sobre "port forwarding" (desviación de puerto) en Internet encontraremos numerosos manuales en línea para realizar nuestros sueños de acceso remoto. Y quédese tranquilo porque una configuración incorrecta para desviar el puerto no malogrará el router, de hecho lo más grave que puede pasar es que el usuario sufra una ligera frustración por no lograr conectarse remotamente. Si no le convence eso de estar manipulando el router, lo mejor que puede hacer es dar una llamadita al profesional de TI más cercano.
Utilitarios de acceso remoto gratuitos o de bajo costo
Cuando se trata de soluciones de acceso remoto no necesariamente se cumple aquello de que "quien quiere celeste que le cueste". Para este reportaje, encontramos un interesante puñado de utilitarios que brindan una performance y unas funciones más que adecuadas por nada o casi nada. Hace varios años que Microsoft lanzó su herramienta Remote Desktop Connection que, junto con otros muchos utilitarios, en especial los programas basados en VNC, se pueden descargar e instalar en nuestra PC o Mac de la oficina. 
Para Remote Desktop Connection, el componente remoto ha sido incorporado en las versiones de Windows, desde Windows XP hasta Windows 7, y los usuarios de versiones anteriores, hasta Windows 95, pueden descargarlo directamente de Microsoft para agregar esa funcionalidad a los sistemas más antiguos. Desafortunadamente, solo las ediciones Professional de Windows XP, Vista y Windows 7 pueden ser controladas remotamente, pues el servicio no está disponible para las demás versiones. 
Los utilitarios basados en VNC, como UltraVNC y TightVNC, incluyen tanto componentes de servidor como de cliente que se pueden instalar en un amplio rango de sistemas operativos Windows. Para los usuarios de Mac OS X 10.5 o 10.6 (como Leopard y Snow Leopard), VNC viene incorporado en el sistema operativo.
Como ya hemos mencionado, para el setup de estas herramientas de acceso remoto se necesita modificar el firewall/router para que se dirija a los puertos TCP/IP específicos de la computadora que deseamos controlar. Es por eso que este tipo de soluciones de acceso remoto no se adapta muy bien cuando se trata de varios usuarios. Hay la posibilidad de usar puertos adicionales para controlar otras computadoras, pero no es raro que los malabares con las configuraciones de desvío de puertos deriven en una pesadilla administrativa. 
Aunque la seguridad no es mayor problema con estos utilitarios, siempre y cuando se apliquen adecuadas políticas password, no hay que olvidar que cada vez que abrimos algún puerto en el firewall, estamos exponiendo un dispositivo en Internet. Además de usar claves sólidas, conviene asegurarse de que cada PC en la que se haga la configuración de acceso remoto también tenga instalado un antivirus actualizado.
Herramientas comerciales de acceso remoto 
En la misma categoría que Remote Desktop y VNC encontramos los programas comerciales de acceso remoto. Tal como las herramientas gratuitas, estas combinan un componente servidor/host y un cliente que debe instalarse en el sistema remoto. Entre los paquetes comerciales de acceso remoto, el pcAnywhere, de Symantec, es uno de los más antiguos y populares. El producto va más allá del acceso remoto común y corriente pues brinda atributos adicionales, como soporte multimonitor, un mejor sistema de logging para ajustarse a los requisitos de compliance* y la capacidad de conectarse a una serie de sistemas operativos, incluyendo Windows, Mac, y Linux.
Otro programa que circula hace ya varios años es Laplink Gold, que ofrece muchos de los atributos que encontramos en pcAnywhere e incluso puede conectar dos PC mediante un cable USB para transferencia y sincronización de archivos.
Si bien los paquetes comerciales tienen detalles interesantes que no vienen en las herramientas gratuitas, su relación con el firewall es la misma que describimos líneas arriba. Es decir, igualmente hay que abrir puertos específicos en el firewall para iniciar una conexión, y, de la misma manera, como necesita un desvío de puerto tampoco se adapta bien a varios usuarios. Sin embargo, sus atributos adicionales y la posibilidad de llamar al soporte técnico de ser necesario justifican el precio de estos paquetes.
Estos programas también son muy fáciles de usar. Cada uno tiene una tecnología incorporada que mejora las transferencias de pantalla y reduce los tiempos de latencia y los desfases inherentes a una conexión de Internet. En resumen, el trabajo remoto se diferencia poco del trabajo en la computadora de la oficina,  lo cual ayuda a moderar la irritación cuando el otro sistema se demora en reaccionar.
Servicios de acceso remoto basados en nube 
Una de las opciones de acceso remoto que está ganando popularidad es la solución del hosting. Una solución de hosting para el acceso remoto consiste en un servicio en línea que actúa como un Gateway entre el usuario y la computadora de su oficina. Hace falta instalar un pequeño programa tanto en la computadora remota como la del hosting. El programa de la PC de la oficina establece una conexión entre el firewall y el servicio basado en web. Cuando el usuario quiere conectarse a su PC, solo tiene que loguearse en dicho servicio, y el sitio web gestiona la conexión. 
Entre los servicios más populares dentro de esta categoría encontramos GoToMyPC, LogMeIn Pro y TeamViewer. Cada uno de estos programas tiene versiones para Windows y para Mac, y todos -salvo por TeamViewer- permiten conectarse desde un navegador web.
Otra importante ventaja de los servicios de acceso remoto basados en la nube es que no hace falta tocar el firewall, nada de puertos abiertos en nuestras computadoras. Lo cual también significa que se adaptan bien a varios usuarios sin el inconveniente administrativo que presentan VNC, Remote Desktop, pcAnywhere y sus semejantes. Si bien usan un programita para "llamar" al sitio web del hosting, por lo general la porción instalada ocupa un espacio muy pequeño y no consume recursos mientras está inactivo.
El principal inconveniente de las soluciones de acceso remoto de tipo hosting es que, mayormente, hay que pagar por ellas. Para los usuarios no comerciales, tanto TeamViewer como LogMeIn ofrecen cuentas gratuitas; pero para uso comercial, como en una pequeña empresa, hay un cargo mensual o anual. Para muchos, la tarifa será un pequeño precio a pagar por no tener que preocuparse de cuestiones de firewall y administración.
 
Acceso remoto mediante VPN
Con este tipo de acceso remoto, empezamos a alejarnos de lo que una pequeña empresa convencional puede permitirse implementar o soportar en términos de experiencia técnica. Antes de pasar a los pros y los contras del acceso remoto vía VPN, explicaremos brevemente en qué consiste una red privada virtual (VPN por sus siglas en inglés).
A todas las computadoras y los dispositivos conectados a una red se les asigna una dirección de protocolo de Internet o IP (Internet Protocol). Cada red tienen un rango único de direcciones IP, y como generalmente cada red está protegida por un firewall, las computadoras de una red determinada no tienen acceso directo a las demás.
Una VPN nos permite enlazar estas redes segregadas. Para crear una VPN, necesitamos un firewall con capacidades de VPN en uno de los extremos y un software cliente VPN, mayormente basado en IPsec, en el otro. Cuando un usuario establece una conexión VPN desde su laptop, en Máncora, hasta su oficina, en Miraflores, la laptop aparece como si formara parte de la red de la oficina en lugar de estar a cientos de kilómetros de distancia. Es como si un cable de red llegara desde la oficina hasta la playa. La laptop figura como si estuviera físicamente conectada a la red, pero en realidad se está comunicando a través de Internet.
Con una conexión VPN no hace falta desviar puertos como en los paquetes gratuitos y en los comerciales. Uno puede conectarse remotamente a cualquier computadora de la red de la oficina, y no solo a una o dos. También podemos acceder a las impresoras y demás recursos puesto que, gracias a la VPN, nuestra laptop se convierte en una integrante de la red con todas las de la ley.
Cualquier programa de control remoto funciona con una conexión IPsec VPN. Tanto Remote Desktop, como VNC, pcAnywhere y Laplink operan de la misma manera con VPN. Es más, como el tráfico de la VPN está encriptado, el acceso remoto se vuelve incluso más seguro. Nuestra PC remota no solo está protegida por un firewall y bloqueada mediante nombres de usuario y passwords, sino que la propia conexión a red está a salvo de potenciales visitas indeseadas.
Las desventajas del control remoto vía VPN son en el costo y la complejidad. No cualquier firewall/router puede culminar una conexión VPN. Linksys, Netgear, D-Link, SonicWall, entre otros, son buenos routers para VPN, pero cuestan más -incluso mucho más- que un router común y corriente.  
La mayoría de pequeñas empresas tampoco están listas para configurar la conexión VPN. No son pocos los pequeños empresarios que se sentirán desconcertados ante los algoritmos hash, la fuerza de clave y el secreto compartido; es decir que se verán obligados a contratar -y pagar- ayuda externa para definir y darle mantenimiento a la configuración de la VPN. Sin embargo, la inversión en el setup inicial y la configuración se puede compensar rápidamente con las excelentes capacidades de acceso remoto que brinda la VPN.
Acceso remoto vía SSL VPN
El SSL VPN lleva el concepto de red privada virtual un poco más lejos. Se trata de una forma de acceso remoto que usa nuestro browser web para establecer una conexión segura con la oficina sin necesidad de software adicional en nuestra laptop. Sin embargo, la red de la oficina debe contar con un dispositivo muy especializado para gestionar la conexión con los diferentes recursos de la red.
Un dispositivo SSL VPN brinda conectividad a los recursos de la red mediante un sistema de proxys, para transportar nuestras solicitudes a través del dispositivo hasta el recurso apropiado. Las SSL VPN permiten acceso directo a servidores web y email, así como a aplicaciones Windows y basadas en web. En algunos casos, incluso proveen acceso directo de nivel de red "tipo IPsec " para servidores y computadoras de escritorio.
La alternativa SSL VPN es mejor que la IPSec VPN por varias razones. En primer lugar, porque le brinda al administrador de la red un fino nivel de control sobre las personas que pueden acceder a determinados recursos. Además, como la conexión segura se basa en SSL (encriptación incorporada en todos los browser web), no hace falta instalar ni administrar ningún software cliente adicional. Asimismo, la última generación de dispositivos de SSL VPN puede ejecutar una especie de control de integridad en el cliente para asegurarse de que no represente ningún riesgo para la red. Este control puede consistir en un análisis para constatar que el antivirus de la laptop está activado y que sus firmas están actualizadas, que los parches apropiados del sistema operativo están instalados, e incluso si la computadora a conectar tiene un registro particular de entrada (un tipo de clave secreta).
El gran inconveniente de la SSL VPN es el costo. El precio de una SSL VPN convencional puede oscilar entre algunos cientos de dólares y decenas de miles de dólares. Si bien los beneficios son enormes teniendo en cuenta la cantidad y los tipos de acceso que provee, solo las compañías que necesitan conectar varios usuarios remotos con recursos de red podrán sacarle el máximo provecho. Una SSL VPN sería realmente un exceso para los presupuestos de las pequeñas empresas. 
 
Remote Web Workplace de Microsoft Small Business Server
Una opción interesante para los negocios más pequeños que deseen asegurar el acceso remoto es Microsoft Small Business Server, en sus ediciones 2003 y 2008. SBS es un paquete de tecnologías de Microsoft orientadas específicamente a las oficinas con menos de 75 usuarios. Incluye servicios de archivo e impresora, correo electrónico Exchange y calendario, así como funciones de colaboración SharePoint Services y posibilidad de compartir documentos. También viene con Remote Web Workplace, un portal basado en web para el servidor y las PC de la red. Tal como con la SSL VPN, uno se conecta al servidor SBS usando el browser web. Enseguida, podemos acceder a nuestra cuenta de correo Exchange a través de Outlook Web Access y conectarnos a un PC cliente como, por ejemplo, la computadora de nuestra oficina. 
El Remote Web Workplace encamina nuestra conexión desde la playa a través del firewall hasta la computadora de nuestra oficina, sin necesidad de instalar ningún software adicional en la laptop. Sin embargo, sí requiere un pequeño setup inicial, que consiste en abrir puertos del firewall e instalar el certificado SSl del servidor SBS en la laptop. El setup se parece mucho a Remote Desktop Connection, pero el resultado final se acerca más a una SSL VPN. Solo hace falta tener Internet Explorer en el sistema remoto para poder acceder a cualquier PC o servidor de la red de nuestra oficina. 
El inconveniente de SBS radica en que tiene que ser el "primer" servidor en nuestra red. Es decir que el SBS no se puede agregar a un dominio Microsoft Active Directory ya existente. Quienes ya tienen una red armada con servidores Microsoft, quizá deberían descartar esta alternativa. En cambio, si todavía no tiene una red, o al menos no una con un Active Directory instalado, SBS es una excelente solución para acceder tecnologías de gran utilidad por un precio más que razonable.
Como pueden ver, cuando se trata de acceso remoto hay posibilidades para todos los gustos. He usado todas las formas de acceso remoto comentadas previamente y no pasa un día sin que recurra por lo menos a una de ellas, ya sea para trabajar desde mi oficina en casa como para brindar asistencia remota a alguno de mis clientes. En mi opinión, el acceso remoto es una herramienta indispensable. Y quienes desean pasar más tiempo con la familia, o en la playa, sin descuidar el trabajo, seguramente estarán de acuerdo conmigo.
Keith Schultz, InfoWorld (US)