Удаленный доступ. Установка, настройка и управление службами удаленного доступа

Возможности CredSSP можно использовать только в операционных системах Windows Vista и Windows 2008 Server. Данный протокол включается флагом Use Network Level Authentication в настройках сервера терминалов (Windows 2008 Server) или в настройках удаленного доступа (Windows Vista).

Система удаленного доступа VNC

VNC расшифровывается как Virtual Network Computing представляет собой систему удалённого доступа к рабочему столу компьютера. VNC необходима при управлении удалённой машиной через графический интерфейс. Использует протокол RFB (Remote FrameBuffer), работает в различных операционных системах: как в windows, так и в linux.

Система управления программы VNC, делится  на два компонента - клиент и сервер. Первая часть (серверная) работает непосредственно  на компьютере, к которому требуется удаленный доступ. На компьютере администратора или другого человека, с которого осуществляется этот доступ, работает управляющая часть.

Система VNC платформонезависима: VNC-клиент, называемый VNC viewer, запущенный на одной операционной системе, может подключаться к VNC-серверу, работающему на любой другой ОС. Существуют реализации клиентской и серверной части практически для всех операционных систем, в том числе и для Java (включая мобильную платформу J2ME). К одному VNC-серверу одновременно могут подключаться множественные клиенты. Наиболее популярные способы использования VNC — удалённая техническая поддержка и доступ к рабочему компьютеру из дома.

VNC состоит из двух частей: клиента  и сервера. Сервер — программа, предоставляющая доступ к экрану компьютера, на котором она запущена. Клиент (или viewer) — программа, получающая изображение экрана с сервера и взаимодействующая с ним по протоколу RFB.

Протокол RFB

RFB (англ. remote framebuffer) — простой клиент-серверный сетевой протокол прикладного уровня для удалённого доступа к графическому рабочему столу компьютера, используемый в VNC. Так как он работает на уровне кадрового буфера, то его можно применять для графических оконных систем, например X Window System, Windows, Quartz Compositor.

В начале своего развития RFB был относительно простым  протоколом, основанным на графических примитивах: «положить прямоугольник пиксельных данных на заданную координатами позицию». Сервер посылает небольшие прямоугольники клиенту. Такая схема в своей примитивной форме потребляет значительный трафик. Для снижения нагрузки на канал используются различные методы. Существуют различные кодировки — методы определения наиболее эффективного способа передачи этих прямоугольников. Протокол RFB позволяет клиенту и серверу «договориться» о том, какая кодировка будет использована. Самый простой метод кодирования, поддерживаемый всеми клиентами и серверами — «raw encoding» (рус. сырое кодирование), при котором пиксели передаются в порядке слева-направо, сверху-вниз, и после передачи первоначального состояния экрана передаются только изменившиеся пиксели. Этот метод работает очень хорошо при незначительных изменениях изображения на экране (движения указателя мыши по рабочему столу, набор текста под курсором), но загрузка канала становится очень высокой при одновременном изменении большого количества пикселей, например, при просмотре видео в полноэкранном режиме. За время своего развития протокол оброс различными дополнительными функциями и опциями, такими как передача файлов, сжатие, безопасность.

По умолчанию RFB использует диапазон TCP-портов с 5900 до 5906. Каждый порт представляет собой соответствующий экран X-сервера (порты с 5900 по 5906 ассоциированы с экранами с :0 по :6). Java-клиенты, доступные во многих реализациях, использующих встроенный веб-сервер для этой цели, например, в RealVNC, связаны с экранами таким же образом, но на диапазоне портов с 5800 до 5806. Многие компьютеры под управлением ОС Windows могут использовать лишь один порт из-за отсутствия многопользовательских свойств, присущих UNIX-системам. Для Windows-систем экран по умолчанию — :0, что соответствует порту 5900.

Также существует возможность обратного  подключения от сервера к клиенту. В этом случае клиент переводится в слушающий (англ. listening) режим и соединение инициируется сервером на 5500 TCP-порт клиента.

Система удаленного доступа Ammyy Admin

Ammyy Admin — система удалённого доступа и администрирования, разработанная компанией Ammyy Group, позволяет быстро и безопасно получить удаленный доступ через Интернет к компьютеру или серверу и управлять ими в режиме реального времени. C помощью Ammyy Admin можно контролировать клавиатуру и мышь, запускать программы, передавать файлы, общаться с партнером с помощью голосовой связи и пр.

Ammyy Admin работает  через NAT и не требует внешних IP- адресов, установки дополнительного ПО и настройки переадресации портов. Все передаваемые данные шифруются с помощью гибридного алгоритма Advanced Encryption Standard AES-256 + RSA с различными ключами для каждой сессии. Приложение прозрачно для всех известных сетевых экранов (Firewall). Работает через HTTPs Proxy.

Ammyy Admin полностью  совместим с VNC, Terminal Server и прочими программами удалённого доступа.

Особенности

• Не требуется установка программы.
• Не требуется перенастройки сетевых экранов и Firewall.
• Опция только для просмотра.
• Аутентификация прав на основе ID аппаратного обеспечения и/или по паролю.
• Совместима с существующими программами удалённого доступа: VNC, Terminal Server и другими.
• Поддержка Microsoft Remote Desktop Protocol (RDP).
• Может работать как системный сервис (удаленное администрирование серверов).
• Позволяет осуществлять удаленную перезагрузку, вход в систему, выход, смену пользователей.
• Аудио чат.
• Файловый менеджер (обмен файлами и папками).
• Автоматическая и ручная настройка скорости работы (качество изображения/быстродействие).

Безопасность

В Ammyy Admin реализованы следующие  функции безопасности:

• Все данные зашифрованы с помощью гибридного алгоритма шифрования по стандартам AES-256 + RSA, используются различные ключи для каждой сессии.
• Не открываются порты на локальном и удалённом компьютере.
• Защита от атак на перебор паролей.

Недостатки

• Не отображает окна программ с QtGUI.
• Срабатывание антивирусных программ (при настройках антивирусов «по умолчанию»).

 

Технология удаленного подключения  
с помощью Ammyy Admin

Поскольку в рамках данной контрольной  работы нет возможности рассмотреть  настройку и технологию подключения  всех описанных выше программ удаленного доступа, я остановлюсь на наиболее простой, с моей точки зрения. Краткое сравнение возможностей этих программ приведено в приложении 2 данной работы.

Внутренний и внешний IP адрес

Существует ряд программных  средств для организации удаленного администрирования в локальной  сети, например, Remote Desktop Connection, которая  входит в стандартный набор утилит ОС Windows. Подобные программы предназначены для установления соединения с компьютерами, IP адреса которых известны и доступны. И если в рамках одной локальной сети определение IP адресов не является проблемой, то в случае, если необходимо получить удаленный доступ к компьютеру через Интернет, все оказывается намного сложнее. Теоретически, можно попытаться воспользоваться такими программами и для настройки удаленного доступа к компьютерам через интернет, но в реальности это потребует достаточно много времени и определенных знаний, чтобы это можно было реализовать на практике.

Как правило, компьютеры, находящиеся  в локальных сетях, не имеют внешних (выделенных) IP адресов и находятся за интернет-шлюзом, со стороны интернета они фактически относятся к одному IP адресу самого интернет-шлюза с интегрированным NAT устройством.

Адреса внутри локальной сети присваиваются  компьютерам согласно документу RFC 1918, регламентирующим распределение IP адресов в частных IP-сетях. Корректное распределение адресов обеспечивает полную связанность на сетевом уровне между хостами предприятий. В контексте данного документа предприятие рассматривается как автономная сеть на базе стека протоколов TCP/IP. В таком случае распределение адресов является внутренним делом предприятия.

Адреса частного диапазона запрещены  к использованию в глобальной сети и могут применяться только в локальных сетях. К диапазонам адресов для частного использования относятся:

• 10.0.0.0 - 10.255.255.255
• 172.16.0.0 - 172.31.255.255
• 192.168.0.0 - 192.168.255.255

 

Для лучшего понимания, почему установление соединения между компьютерами в  разных локальных сетях, подключенных к интернету через маршрутизатор, или соединение компьютеров из одной локальной сети с компьютером в Интернете, имеющим внешний IP адрес, необходимо более детально ознакомиться с механизмом работы протокола NAT.

Сетевое соединение компьютеров  
(проброс портов, настройка маршрутизатора)

В момент установления соединения одним  компьютером к другому, на компьютере-инициаторе открывается сокет, параметры которого включают IP адрес и порт источника, IP адрес и порт назначения, сетевой протокол.

Для номеров портов в формате IP-пакета предусмотрено поле длиной 2 байта, что позволяет определить максимальное количество портов равное 65 535. Первые 1023 порта являются общеизвестными и зарезервированы для таких популярных сервисов как Web, Telnet, SMTP, FTP и прочее. Оставшиеся порты могут использоваться для любых других целей.

Например, при обращении одного сетевого компьютера к серверу FTP (порт 21) система назначает сессии один из портов выше 1023, например, порт 2188. В этом случае отправляемый к FTP-серверу IP-пакет будет содержать IP адрес и порт (2188) отправителя, IP адрес и порт (21) получателя. IP адрес и порт отправителя впоследствии будут использоваться для ответа клиенту со стороны сервера.

При использовании маршрутизатора между внутренней сетью и Интернетом, механизм установления сессии несколько отличается. При установке связи с ПК из внешней сети системой открывается сокет, включающий IP адрес и порт источника, IP адрес и порт назначения, сетевой протокол. Приложение, передающее данные через данный сокет, указывает в IP-пакете в поле параметров источника IP адрес и порт источника, и, соответственно, в поле параметров получателя - IP адрес и порт назначения.

Например, ПК внутренней сети с IP адресом 192.168.0.1 подключается к Web-серверу, находящемуся в глобальной сети, с IP адресом 61.234.166.25. Операционная система компьютера, инициирующего соединение, может назначить порт источника 1255. Портом назначения устанавливается порт web-сервиса, 80. В этом случае отправляемый пакет будет иметь следующие атрибуты (рисунок 6):

Рис. 6. Атрибуты передаваемых пакетов.

Маршрутизатор производит процедуру  преобразования сетевых адресов (NAT), перехватывая исходящий трафик внутренней сети. Отправленный пакет данных заносится в таблицу сопоставления портов источника и получателя, при этом используются IP адрес и порт назначения, внешний IP адрес устройства NAT (WAN) и порт, используемый сетевой протокол, внутренние IP адрес и порт клиента.

После этого NAT-маршрутизатор заменяет внутренний IP адрес и порт клиента  на внешние (устройства NAT). Модифицированный пакет данных отправляется по внешней сети адресату, серверу с IP адресом 61.234.166.25.

После получения пакета сервер будет отсылать ответ на внешний IP адрес и порт NAT-маршрутизатора с указанием собственного IP адреса, порта отправителя и других атрибутов (рисунок 7).  

Рис. 7. Атрибуты пакетов после их получения сервером.

Далее NAT-маршрутизатор принимает  пакеты от сервера и анализирует  их, сопоставляя данные со своей  таблицей соответствия портов, и если значения IP адреса, порта и сетевого протокола удаленного узла будут совпадать с аналогичными значениями источника в таблице соответствия, то NAT-роутер произведет обратное преобразование и направит пакет данных уже на внутренний IP адрес и порт клиента локальной сети. В том случае, если в таблице не находится соответствия, то входящий пакет не принимается, и соединение разрывается.

Такая схема установки соединения имеет свои особенности, поскольку NAT-маршрутизатор позволяет создать  сессию только в том, случае если она инициируется компьютером внутренней сети. Если подключение будет инициироваться со стороны внешнего компьютера, маршрутизатор просто отвергнет это подключение.

Именно поэтому создать удаленное  подключение к компьютеру из внешней сети зачастую бывает непросто.. Наиболее часто для этих целей используют процедуру проброса портов, которая позволяет сделать доступными приложения, запущенные на компьютере локальной сети. Для этого осуществляется настройка маршрутизатора - на нем задается сопоставление портов, используемых определенными приложениями, с IP адресами компьютеров, на которых эти приложения запущены. В результате создается так называемые виртуальные серверы, и любые запросы из внешней сети на NAT-маршрутизатор по указанному порту будет автоматически перенаправляться на указанный виртуальный сервер локальной сети.

Для реализации такого способа организации  подключения в корпоративной  сети нужно согласие, воля и время системного администратора. В реальности это достаточно трудоемкая задача, исключающая возможность быстрого подключения к корпоративной сети извне.

Соединение компьютеров через  внешние роутеры Ammyy

Ammyy Admin позволяет организовать  подключение к удаленному  компьютеру, независимо от того, находится он в локальной сети за NAT или же имеет выделенный IP адрес, причем для этого не нужна настрока маршрутизатора.

В случае если, оба компьютера имеют  внешние IP адреса или же являются узлами одной локальной сети, подключение возможно напрямую по IP адресу.

Если один или оба компьютера не имеют внешних IP адресов или  находятся в разных локальных сетях за NAT, используется подключение с помощью одного из публичных серверов-посредников компании Ammyy, выполняющего роль ретранслятора и позволяющего обойти NAT.

Основной принцип обхода NAT используемый в Ammyy Admin заключается в том, что  подключаясь к публичному роутеру Ammyy, компьютер, находящийся в локальной  сети за NAT-маршрутизатором, сам инициирует сессию. Это происходит в момент запуска программы или нажатия кнопки "Запустить" в клиентской части программы. Попробовать подключение Вы можете, скачав и запустив программу Ammyy Admin.

При первом запуске программы, компьютеру присваивается уникальный идентификационный номер в глобальной сети Ammyy - Hardware ID, который генерируется в привязке к аппаратному обеспечению компьютера и не меняется при последующих запусках программы.

После установления соединения с Ammyy роутером подключение от или к удаленному компьютеру осуществляется посредством процедуры сопоставления ID компьютеров, их IP адресов и портов отправления и назначения.