Методы и средства удаленного доступа

Сервис  удаленного узла обеспечивает ему транспортное соединение с локальной сетью, поэтому  на удаленном узле могут использоваться все сервисы, которые доступны локальным  клиентам сети, например файл-сервис NetWare, сервис telnet или X-Window ОС UNIX, администрирование Windows NT.

В качестве средств удаленного доступа, встроенных в операционную систему в ходе прохождения практики было предложено использование операционной системы  Unix.

UNIX можно  назвать операционной системой, хорошо приспособленной для задач  системного и сетевого администрирования,  но гораздо хуже — для офисных  приложений. Поскольку речь идет  о системе удаленного администрирования,  а не о настольной системе,  можно сказать, что благодаря  сервисам telnet любой имеющий на то право пользователь может управлять сетью из любой точки земного шара, запустив на своем компьютере удаленный терминал. Единственный серьезный недостаток такого подхода — высокие требования к квалификации администратора: он должен хорошо владеть утилитами командной строки

При анализе  аппаратных средств удаленного доступа, используемых в организации, было выявлено, что необходимо использование дополнительных средств защиты. Следовательно, возникает  необходимость пересмотра   архитектуры  удаленного доступа, вследствие чего, в ходе прохождения практики были рассмотрены различные виды архитектур.

Оборудование  и протоколы надо выбирать с таким  расчетом, чтобы созданная на их основе архитектура была в состоянии  удовлетворить все запросы. (В  приложении Б приведены различные  методы удаленного доступа вместе с  приложениями, для которых они  наилучшим образом подходят.)

Архитектура удаленного доступа в исследуемой  организации  должна включать комплект низкоуровневых сетевых протоколов, достаточно надежных и гибких для  обслуживания различных методов  и приложений удаленного доступа. Сеть организации представляет смесь  сетей различных подразделений, развивавшихся изначально самостоятельно, поэтому  они могут не иметь  общего языка. Для передачи данных в  этом случае организации может иметь  несколько протоколов. Но для этого  достаточно серьезно необходимо подойти  в проблемам стандартизации.

При выборе протоколов прикладного  уровня предпочтительнее решения, базирующиеся на отраслевых стандартах, поскольку  в этом случае вы не будете зависеть от конкретного поставщика. Хотя закрытые протоколы для разделения файлов и печати в Windows 95 и Windows NT используются в сетях отдельных подразделений  и рабочих групп, они не подходят для применения в масштабах предприятия. Одна из причин здесь в том, что NetBEUI немаршрутизуемый протокол. Кроме того, такие протоколы являются частью стратегии Microsoft по "захвату" настольных систем, поэтому их использование  привяжет вас к платформам операционных систем Microsoft. Чтобы не стать заложником одного производителя, лучше применять такие широкораспространенные протоколы, как сетевая файловая система NFS и стандартный отраслевой протокол для совместной печати lpr/lpd. Когда Microsoft поднимет цены на Windows или Office или откажется поддерживать имеющееся оборудование, вы будете рады, что не связали себя ограничениями.

Аналогично, нестандартным  системам электронной почты, в частности Microsoft Exchange или cc:Mail и Notes компании Lotus, следует  предпочесть по возможности почтовые системы, отвечающие таким стандартам Internet, как SMTP, POP3 и IMAP. Нестандартные  почтовые системы требуют применения шлюзов и поддерживают лишь небольшое  количество аппаратных платформ.

Стандартные протоколы есть и для других распространенных операций в сети, например ftp и эмуляция терминала  мэйнфрейма TN3270 (несмотря на то что  он эмулирует устаревший терминал, TN3270 более чем адекватен для  доступа к программам на мэйнфрейме по сети TCP/IP). Для доступа к базам  данных можно использовать Web: практически  любая программа управления базой  данных имеет теперь внешний интерфейс  для доступа и ввода данных через обычный браузер Web. (В приложении Б перечислены открытые протоколы  для удаленного доступа.)

Выбор стандартных протоколов гарантирует, что пользователи получат доступ в сеть, однако гарантировать, что  кто-либо иной не сможет сделать то же самое, они, увы, не могут. Поэтому  при разработке стратегии удаленного доступа системе защиты сети следует  уделить особое внимание, ведь она  при всем при том ни в коей мере не должна представлять неудобства законным пользователям.

При создании системы защиты необходимо  первым делом оставить только одну точку  входа в сеть для данного узла. Это снижает шансы злоумышленника, что он сможет проникнуть через черный ход (например, через подключенный к  телефону сотрудника модем с помощью  программы удаленного доступа). Пользователи обычно соглашаются с этим при  условии, что у них не возникает  проблем с доступом. Установите программное  обеспечение для протоколирования доступа, ограничьте время доступа  пользователей рабочими часами и  обращайте внимание на очевидные признаки злонамеренных действий, например, несколько одновременных входов одного удаленного пользователя.

Наилучшая стратегия защиты - особенно если стратегия удаленного доступа предполагает интенсивное  использование Internet - состоит в применении программного обеспечения для шифрования каждого байта перед его передачей  между сетью и удаленным клиентом. При небольшом числе таких  приложений для электронной почты  еще не все платформы ими охвачены, так что придется ограничить доступ из Internet или использовать специальные  маршрутизаторы для создания виртуальных  частных сетей.

В области аппаратного обеспечения  удаленного доступа конкуренция  весьма жесткая, поэтому в вариантах  недостатка нет. Cisco, Bay Networks, Shiva, U.S. Robotics, Multi-Tech, Perle Systems, Black Box, Proteon, IBM, Cabletron Systems, 3Com и Ungermann-Bass - вот только некоторые, кто поставляет серверы под ключ для доступа по PPP.

В качестве программного обеспечения удаленного доступа в организации было предложено использование Anyplace Control.

К достоинствам Anyplace Control можно отнести то обстоятельство, что Host-модуль программы может запускаться вручную как отдельная программа и как служба одновременно с загрузкой операционной системы. Кроме того, Host-модуль может устанавливаться удаленным образом с компьютера, на котором установлен Admin-модуль. Естественно, удаленная установка Host-модуля возможна только в пределах локальной сети и для этого необходимо иметь права администратора.

Программа Anyplace Control 4.0.8.4 позволяет  работать в двух режимах: в режиме удаленного управления компьютерами в  локальной сети, когда и управляемые  компьютеры, и компьютер, с которого производится управление, находятся  в составе одной локальной  сети, и в режиме удаленного управления компьютерами через Интернет.

В режиме удаленного управления компьютерами в локальной сети между  ними устанавливается так называемое прямое соединение (direct connect). В данном режиме встроенный в программу сетевой  сканер позволяет отображать все  компьютеры локальной сети (домена или рабочей группы), причем можно настроить фильтр на отображение только тех ПК, которые имеют установленную клиентскую часть программы, то есть тех, к которым можно подключиться.

В случае, когда требуется  получить удаленное управление компьютерами через Интернет, используется так  называемое Account-соединение. Данное решение  позволяет соединять через Интернет компьютеры, которые не имеют внешнего (публичного) IP-адреса и находятся  в составе разных локальных сетей. Соединение между компьютерами через  Интернет устанавливается не напрямую, а через специальный шлюз (Gateway Server), который играет роль посредника (ретранслятора) при обмене данными  между компьютерами. Соединение компьютеров  со шлюзом происходит по протоколу HTTPS, что позволяет избежать проблем  с использованием брандмауэров и/или  маршрутизаторов (приложение В).

Функциональные возможности  программы Anyplace Control 4.0.8.4 в режиме установления прямого соединения между компьютерами (в пределах одной локальной сети) и в режиме Account-соединения через  Интернет ничем не различаются.

Программа может работать в режиме просмотра и в режиме управления. В режиме просмотра имеется  возможность отображать на экране рабочий  стол удаленного ПК и наблюдать за действиями пользователя, а в режиме управления — полностью перехватывать  управление удаленным ПК. Интересной особенностью режима удаленного управления является то, что работа самого пользователя удаленного ПК при этом не блокируется.

К несомненным достоинствам данной утилиты можно отнести  то обстоятельство, что она позволяет  удаленно управлять одновременно несколькими  ПК. При этом имеется возможность  одновременного выполнения на управляемых  ПК таких команд, как выключение, перезагрузка и завершение сеанса пользователя.

Для предотвращения несанкционированного доступа у  ПК в настройках Host-модуля программы  можно задать пароль доступа к  управляемому компьютеру, установить опцию запроса разрешения на установление подключения, разрешить полный доступ к ПК или только режим просмотра и настроить фильтр IP-адресов, с которых разрешен доступ к ПК (только для режима прямого подключения).

В ходе прохождения  практики было выявлено, что в организации  необходимо использование сервера  удаленного доступа.

Выбирая сервер удаленного доступа, нужно принимать во внимание некоторые факторы. Перечислим основные из них и дадим краткий комментарий.

Масштабируемость — важнейшее  преимущество интегрированного решения. Необходимо учитывать, как будет  использоваться сервер непосредственно  после покупки и с течением времени (при развитии компании). Быстрые  темпы технического прогресса заставляют сделать все возможное для  увеличения срока морального устаревания  оборудования. Сервер удаленного доступа  должен поддерживать самые разнообразные  протоколы и платформы, а соответственно — системные и прикладные программы, развертываемые пользователями. Требуется  также поддержка максимально  широкого спектра видов связи, что  позволит применять разные аналоговые и цифровые каналы.

Одна из главных привлекательных  сторон современных серверов — наличие  встроенных интеллектуальных функций, значительно упрощающих эксплуатацию системы в целом. Это, например, функции  аутентификации пользователей (такие  как обратный вызов, поддержка протоколов RADIUS, PAP/CHAP и т. п.). Некоторые серверы  оснащены встроенными функциями  учета использования ресурсов, обеспечивающими  автоматизированную выписку счетов пользователям. Впрочем, следует помнить, что само по себе функциональное богатство  — не самоцель; возможности оборудования должны соответствовать уровню решаемых задач.

Необходимо, чтобы сервер удаленного доступа был достаточно прост в установке и эксплуатации — даже для тех, кто не обладает серьезной технической квалификацией. Хотя услуги удаленного доступа через  коммутируемую сеть по самой своей  природе имеют довольно высокий  уровень сложности, эту сложность  нужно постараться сделать "прозрачной". Пользователи должны быть избавлены  от изучения сложных команд или значительных затрат времени на поддержку. Весьма важно также (особенно для Internet-провайдеров, которым часто приходится устанавливать серверы на таких точках, куда затруднен доступ персонала), чтобы как можно большее количество функций управления устройством выполнялось в удаленном режиме.

Производительность и  надежность оборудования во многом определяет успех развертываемой системы. Ее производительность зависит от параметров не только самого сервера доступа, но и ряда других элементов цепи обмена данными —  в первую очередь, используемого  приложения и канала связи. Совершенно бессмысленно применять дорогой  высокопроизводительный сервер, если вы располагаете каналами передачи данных с такой пропускной способностью, которая не позволит реализовать  его преимущества. Надежность оборудования очень существенна для провайдеров  услуг Internet: с одной стороны, они  несут ответственность перед  клиентами за качество предоставляемых  услуг, а с другой, нередко вынуждены  устанавливать серверы доступа  на труднодоступных (в силу территориальной  удаленности или режимных ограничений) площадках.

Оценивая стоимость решения  удаленного доступа, необходимо помнить, что затраты на само оборудование составляют лишь малую часть от общих вложений. Попытайтесь определить стоимость владения, в которую входят расходы на поддержку и ремонт оборудования, а также на аренду каналов связи. При создании корпоративной системы удаленного доступа последний фактор особенно важен, поскольку Internet-провайдер может переложить на клиента свои расходы на доставку данных к серверу. Впрочем, снизив эти расходы, он сумеет успешнее конкурировать с другими провайдерами.

Необходимо  обратить внимание и на соответствие оборудования международным стандартам. Интероперабельность весьма значима  для Internet-провайдеров; при построении корпоративной сети можно принять  некий "местный" стандарт, но пользователям Internet не прикажешь обзавестись модемами одного и того же производителя.

Заключение

В ходе прохождения  практики были получены следующие умения и навыки.

Был проведен анализ организации, выделены моменты, в которой организации необходимо использование удаленного доступа.

Был проведен анализ методов и средств удаленного доступа, используемые в исследуемой  организации.

Были  рассмотрены средства удаленного администрирования, используемые в организации. В организации используется управление настольными системами на базе Windows, созданных разработчиками фирмы Microsoft. В данной системе был выделен ряд недостатков, а именно - нет поддержки инсталляции драйверов принтеров; функция блокирования конфигурирования ПО на клиентских компьютерах не включена в консоль пакета; отсутствуют встроенные средства защиты от вирусов. Вследствие чего, организации было предложено использование операционной системы Unix, которая обладает возможностью устранения выявленных недостатков, но обладает более сложной системой управления.