¿Es acaso un nuevo modelo de trabajo concebido o facilitado por la red de redes? ¿Qué papel juega la Seguridad en este escenario?
Por Osvaldo Callegari*
Continuando con la entrega acerca de sistemas remotos y la seguridad del mismo, le toca el turno a Teamviewer®. Veremos sus particularidades y los controles en cuanto a lo que a seguridad respecta.
Dentro de las especificaciones del producto encontramos:
El módulo QuickSupport
Diseñado para un acceso fácil y rápido al ordenador del cliente, se ha optimizado con posibilidades de personalización adaptadas a las necesidades de cada empresa. Así es posible incluir, entre otros, las exenciones de responsabilidad y los términos y condiciones corporativas. Además ahora, el pequeño ejecutable que funciona sin instalación, registra automáticamente el ID del contacto en la lista de asociados por lo que el colaborador puede conectarse con un sólo clic. De este modo, los clientes se pueden comunicar directamente con los técnicos y enviarles mensajes a través del chat, eliminando así la necesidad de llamar o enviar un e-mail.
La Función QuickJoin
Se acaba de lanzar juntamente con TeamViewer 6 y se descarga de forma independiente, permite a varios participantes introducir el ID y conectarse simultáneamente con un sólo presentador, lo que resulta perfecto para las presentaciones grupales.
Con QuickJoin los usuarios son dirigidos a una sala de espera virtual mientras todos los participantes se conectan. El presentador, que tiene el control, puede verificar el número de participantes conectados en la sala de espera virtual y comenzar la presentación cuando lo desee.
El Módulo Host
Permite el acceso permanente 24/7 a todos los ordenadores o servidores, también ha sido actualizado. Ahora se pueden añadir a la interfaz logos, colores y texto para que ésta coincida con la imagen corporativa. Para mejorar las sesiones de soporte y obtener una mayor eficiencia es posible reconectarse automáticamente tras reiniciar el equipo a distancia.
El diseño y el rendimiento también se han renovado con la última versión; la
pantalla inicial se divide en dos pestañas, favoreciendo una navegación más rápida y fácil entre la opción de control remoto y la de presentación en línea.
El rendimiento de la conexión ha mejorado significativamente, especialmente en las redes de empresas al aumentar la velocidad.
La versión 6 es específica para usuarios de Windows, en el cual se respetan los más altos estándares de seguridad, incluida la encriptación AES-256.
Para un uso no comercial tenemos una versión gratuita, pudiendo adquirirse las diversas opciones profesionales.
Ahora es posible la conexión remota en un solo clic desde dispositivos Android. Esta aplicación, de fácil uso y gratuita para uso no comercial, ofrece un acceso rápido a ordenadores Windows, Mac y Linux situados en cualquier parte del mundo.
A su vez está disponible para iPhone y iPad, en la versión Android se permite un acceso completo al ordenador desde el dispositivo móvil, convirtiéndola en la aplicación práctica para gente en constante movimiento.
Los usuarios particulares pueden conectarse y controlar el ordenador de casa al mismo tiempo que permite a los informáticos ofrecer asistencia a través del Android desde cualquier lugar.
Conectarse en el sistema Android es muy fácil; el usuario solo tiene que introducir el ID y la contraseña del ordenador al que quiere conectarse con el dispositivo. Además, las listas de asociados de TeamViewer permiten guardar la información de sus contactos de confianza en el ordenador, facilitando así la conexión. Para mejorar la experiencia, se almacena el historial en la aplicación Android, permitiendo una mayor rapidez en la reconexión con contactos recientes. Una vez conectados, los usuarios pueden ver la pantalla completa del ordenador remoto y manipularlo con el ratón disfrutando de un control total.
Funcionalidades típicas de Android, como pellizcar para ampliar, optimizan la experiencia de los usuarios, que utilizan programas o consultan archivos como si estuvieran sentados delante del ordenador. El reinicio remoto también es posible desde un dispositivo móvil, en el caso de que el computador deba ser reiniciado durante la conexión.
La aplicación Android de TeamViewer ofrece numerosas opciones para personalizar los parámetros, mejorando la calidad en función de las preferencias individuales.
“La movilidad es una parte importante en los negocios,” declara Holger Felgner, Director de TeamViewer GmbH.
Además agrega que “el deseo de mantenerse conectado crea la necesidad real de un software de control remoto, para poder por ejemplo acceder al puesto de trabajo mientras se dirige a la oficina o mientras participa en una reunión.
Gracias a esta aplicación, el usuario puede mantenerse presente mientras está donde tiene que estar. Además, la solución multiplataforma permite acceder a cualquier tipo de ordenador, puesto que la aplicación es compatible con Windows, Mac y Linux.”
La aplicación Android se encuentra disponible para la versión 1.6 y posteriores y cumple con altos estándares de seguridad, como la encriptación AES-256.
Para un uso no comercial, la aplicación Android es gratuita, mientras que para las versiones profesionales esta incluida en determinadas licencias.
¿Cómo se realiza una sesión en Teamviewer?
Creación de una sesión y tipos de conexiones: Al crear una sesión, TeamViewer determina el mejor tipo de conexión. Después de que nuestro servidor maestro le dé el ok de funcionamiento, en el 70% de los casos se establecerá directamente la conexión a través de UDP o TCP (incluso con gateways estándar, NAT y firewalls).
El resto de conexiones se direccionan a través de la red de routers altamente redundantes vía TCP o http-tunnelling. No se tiene que liberar ningún puerto para trabajar con TeamViewer.
La empresa como enrutadora de los servicios no pueden leer el tráfico de datos cifrados.
Cifrado y autenticación
TeamViewer funciona con un sistema de cifrado completo que se basa en intercambio de clave pública/privada RSA y codificación de sesión AES (256 bit).
Esta tecnología se usa de modo similar para https/SSL y se puede
considerar completamente seguro de acuerdo con el estándar actual. Como la clave privada no abandona nunca el ordenador cliente, se asegura por medio de este procedimiento que los ordenadores interconectados mantengan la seguridad.
Cada cliente de TeamViewer ha implementado ya la clave pública del cluster maestro y puede, de este modo, cifrar mensajes para el servidor maestro y comprobar la firma del mismo.
La PKI (Public Key Infrastructure) previene eficazmente los ataques de intermediario o MitM ("Hombre en el medio").
A pesar del cifrado, la contraseña no se envía nunca directamente, sino a través de un procedimiento de desafío-respuesta y únicamente se guarda en el ordenador local.
Seguridad en los procesos
¿Cómo se validan las ID de Teamviewer? Las ID de TeamViewer son generadas automáticamente por el mismo programa conforme a ciertas características de hardware.
Los servidores de TeamViewer comprueban la validez de la ID antes de realizar cualquier conexión, de modo que no es posible generar ni utilizar ID falsas.
Protección contra ataques de fuerza bruta
Cuando un cliente potencial pregunta sobre la seguridad de TeamViewer, seguramente se interesara también por el cifrado. Parece lógico que lo más temido sea el riesgo de que un tercero pueda llegar a conocer el mecanismo de conexión o de que se intercepten los datos de acceso a la aplicación.
En realidad, muy a menudo se trata de ataques muy elementales que suelen ser los más peligrosos. En el contexto de la seguridad informática, los ataques de fuerza bruta suelen consistir en intentos para averiguar por el método de tanteo una contraseña que protege un recurso. Con el crecimiento de la potencia de los ordenadores estándar, el tiempo necesario para averiguar incluso contraseñas largas se ha reducido considerablemente.
Como defensa contra los ataques de fuerza bruta, TV aumenta exponencialmente la latencia entre los intentos de conexión. Para 24 intentos se necesitan 17 horas. La latencia vuelve a iniciarse sólo tras introducir la contraseña correcta.
Firma del código (Code Signing)
Otra función adicional de seguridad es que todos nuestros productos de software van firmados con VeriSign Code Signing.
Gracias a ello, el origen del software siempre podrá ser fácilmente identificado. Si el mismo cambia, la firma digital queda automáticamente inutilizada.
¿Dónde se encuentra alojado TeamViewer?
Datacenter y backbone: Estos dos temas están relacionados tanto con la disponibilidad como la seguridad. El servidor central de TeamViewer está ubicado en un centro de datos ultramoderno con conexión portadora redundante múltiple y fuente de alimentación redundante. Se usa exclusivamente hardware de marca (Cisco, Foundry, Juniper). El acceso al centro de datos sólo es posible tras una comprobación exhaustiva de la identidad a través de una única puerta de entrada.
Nuestros servidores están protegidos contra ataques desde adentro mediante CCTV, detección de intrusos, vigilancia 24 horas y personal de seguridad in situ.
Seguridad de la aplicación en TeamViewer
Lista negra y lista blanca: Especialmente si se usa TeamViewer para el mantenimiento de ordenadores no ocupados (es decir, TeamViewer se instala como servicio de Windows), puede resultar interesante, aparte del resto de mecanismos para garantizar la seguridad, restringir el acceso a estos ordenadores a un número específico de clientes.
Con la función de lista blanca, se puede indicar expresamente qué ID de TeamViewer tienen permiso de acceso a este ordenador, mientras que con la función de lista negra se pueden bloquear determinadas ID del sistema.
No hay ninguna función que permita el funcionamiento de TeamViewer completamente en segundo plano.
Incluso si la aplicación funciona como servicio de Windows en segundo plano, TeamViewer estará siempre visible por medio de un icono en la bandeja del sistema. Tras establecer la conexión, habrá siempre un pequeño panel de control visible sobre la bandeja del sistema;
Infomación adicional importante:
No se ha diseñado para controlar de forma oculta ordenadores o personal.
Protección por contraseña
Para ayudar de forma espontánea a clientes, TV genera una contraseña de sesión (una contraseña de un solo uso).
Si un cliente le comunica su contraseña, podrá conectarse al ordenador introduciendo la ID y la contraseña.
Tras el reinicio del terminal del cliente se genera una nueva contraseña de sesión, de modo que otra persona sólo podrá acceder a sus ordenadores si se le invita explícitamente. Al utilizarlo para el soporte remoto de ordenadores no ocupados (p. ej. servidores), se fija una contraseña individual que asegura el acceso a este ordenador.
Control de acceso entrante y saliente
Puede configurar de modo individual los modos de conexión de TeamViewer. Así, por ejemplo, podrá configurar su soporte remoto u ordenador para presentaciones de forma que no sean posibles conexiones entrantes.
Al limitar la capacidad total sólo a las funciones realmente necesarias se están eliminando posibles puntos débiles para ataques potenciales.
Dentro de las particularidades de los sistemas remotos, habrá siempre desafíos a la hora de la vulnerabilidad, ya que en este medio de las comunicaciones y la tecnología no está nada dicho.
Con la última parte veremos el tercer producto analizado y un resumen de lo publicado en las tres ediciones. Las marcas y productos son marcas y productos registrados de sus propias empresas.
Para comunicarse con el autor escriba a [email protected]
Deje su comentario