РГР_Хританков_АВТ010. Удаленный доступ в глобальных сетях
Скачать 1.57 Mb.
|
Методы удаленного доступаМетоды организации удаленного доступа Удаленный доступ нужен для реализации взаимодействия узлов, которые не связанные общей локальной сетью. Удаленный доступ может быть представлен в следующих вариантах: Реализация доступа конкретным удаленным пользователям к ресурсам к глобальной сети через соединение провайдера Реализация доступа отдаленным пользователям к ресурсам локальной сети Связь двух и более локальных сетей, которые физически находятся на расстоянии друг от друга, но логически объединены в корпоративную сеть Соединение между парой узлов, которые находятся на расстоянии друг от друга Реализация удаленного доступа в виде транспортного средства работает с помощью глобальных сетей. Самые распространенные каналы это: коммутируемые, выделенные и телефонныетелефонные. Коммутируемые или выделенные каналы могут соединять конечные системы друг с другом через услуги глобальных сетей. Для одиночного узла нужна аппаратура удаленного доступа — модем, которые подключается к порту DTE(COM-, USB-, LPT-порту) и к каналу связи. Адаптеры для подключения к сети ISDN называют модемами, хотя это не корректно. Реализуемые протоколы как правило — PPP, который реализуется программными методами подключаемого узла (ОС). Для связи локальной сети с глобальной сетью, нужен маршрутизатор. Он размещается между коммуникационной аппаратурой и интерфейсами локальной сети. Модемы, которые связывают локальную сеть с внешним миром по коммутируемым каналам, могут реализовывать: Реализация исходящего соединения (dial-out) по инициативе пользователя. Этот сервис работает с помощью коммуникационного сервера, который поддерживает разделяемое использование подключенных к нему физических модемов клиентами сети. Пользователю видна иллюзия того, что модем подключен к локальному COM-порту его компьютера. Ответ на входящие звонки (dial-in), реализуемый сервером удаленного доступа RAS (Remote Access Server). Такие соединения создаются по инициативе удаленных пользователе. Процедура авторизации пользователя может реализовывать обратный вызов (call back): пользователь вводит свой логин и пароль, после чего сервер ложит трубку и сам создает соединение с пользователем. Если с помощью удаленного доступа объедено несколько локальных сетей в одну, то вместо двухточечных соединений, можно реализовывать публичные глобальные сети. А проблему безопасности решить разрешает виртуальные частные сети (VPN). Принцип работы заключается в том, что организация в глобальной сети работает с коммутацией пакетов по туннелям — виртуальных каналам, где соединения уже реализовано двухточечное. С помощью одного подключения к сети можно организовать множество туннелей. Конфиденциальность транспортировки заключается в шифровании потока. Самое распространенное туннелирование — 2-го уровня, реализуется инкапсуляция кадров PPP, которые несут информацию 3-го уровня (IP, IPX..). Аппаратура удаленного доступа имеет разнообразие по функциям и возможностям. На рис.1.а виден пример подключения сети к Интернету по коммутируемому телефонному каналу. В основе лежит OfficeConnect 56K Lan Modem — комбинация модема, маршрутизатора, 4-портового повторителя 10BaseT со встроенными DNS и DHCP серверами. На рис.1.б видно подключения через сеть ISDN и Lan-модем [1]. Рисунок — 1, a — маленькая сеть, б — вариант развития Программные средства удаленного доступа Организация удаленного доступа к компьютеру через Интернет — мечта многих пользователей. Представьте себе: вы оставили дома компьютер включенным, пришли на работу и получили к нему полный доступ. Или наоборот: вы оставили на работе включенный компьютер, пришли домой и уже со своего домашнего компьютера получили полный доступ к своему рабочему ПК, с которого можно посмотреть фильм или просто скачать нужные файлы. Естественно, при этом предполагается, что домашний компьютер, равно как и рабочий, имеет постоянный выход в Интернет, что, в принципе, можно считать вполне типичной ситуацией. Ситуаций, когда требуется получить удаленный доступ к компьютеру, предостаточно. К примеру, на домашнем компьютере нет места для хранения фильмов. Не беда! Фильмотеку можно организовать и на рабочем компьютере или на сервере в корпоративной сети. Главное — иметь удаленный доступ к этим ресурсам. Или другой пример из жизни. Вам срочно потребовалось скопировать какой-нибудь дистрибутив или просто новый фильм с рабочего компьютера, но под рукой, как назло, нет ни DVD-болванки, ни подходящей по емкости флэшки. Нет ничего проще — достаточно оставить рабочий компьютер включенным и получить доступ к нему из дома. Еще один пример, когда требуется удаленный доступ к домашнему или рабочему компьютеру, — это командировки. Ведь в этом случае можно не только получать нужную информацию из своей корпоративной сети, но и просматривать почту. Cценариев, когда удаленный доступ к компьютеру был бы как нельзя кстати, более чем достаточно, но вот программных продуктов, позволяющих реализовать такой доступ, не так уж много [8]. Лет десять назад самой популярной программой для удаленного доступа была Radmin, она и сейчас есть (www.radmin.ru) — она никуда не подевалась за это время. С нее и начнем. Рис. 2. Окно настройки Radmin Server Программа состоит из двух частей: Server и Viewer. Первая запускается на удаленном компьютере (или удаленных компьютерах), а вторая — на твоем компьютере и используется для подключения к удаленным машинам, которые ты собираешься настраивать. На сайте разработчиков можно скачать как полный комплект, так и отдельные компоненты. Также есть portable-версия Viewer, работающая без установки, и версия Radmin Server 3.5 NTI — это специальная версия без пиктограммы в трее, то есть пользователь удаленного компьютера и не узнает, что на нем установлена Radmin, пока ты не начнешь управлять его компьютером. Рис. 3. Radmin Viewer Отмечу ключевые возможности: поддержка Windows 10 32/64 bit, поддержка переключения сессий пользователей в Windows XP/Vista/7/8/10, совместимость с Wine (Radmin может организовать удаленный доступ к ПК под управлением Linux через Wine), поддержка Telnet, удаленное выключение ПК, сканер серверов Radmin (позволяет найти все ПК, которыми ты можешь управлять в своей сети), передача файлов между Server и Viewer. Рис. 4. Брандмауэр заблокировал попытку подключения Выводы: Функционал программы: здесь и собственная аутентификация, и поддержка голосового чата, и возможность передачи файлов. Все очень удобно. Благодаря тому, что на удаленном компьютере установлен Server, не нужно присутствие пользователя, как в других подобных программах. Например, ты можешь администрировать удаленные ПК своих коллег, когда те ушли на обед. В других подобных программах необходимо или чтобы пользователь разрешил соединение, или же чтобы пользователь предоставил тебе пароль, который генерируется автоматически при каждом сеансе связи. Низкие системные требования, программа совсем не грузит процессор, что особо актуально для слабых пк или ноутбуков. Просто запустить Server недостаточно, нужно его еще и настраивать. Многие пользователи любят TeamViewer не за его функциональность, а за то, что он не требует каких-либо особых портов (по умолчанию он использует 80-й порт) и не требует настройки брандмауэра. Radmin Server использует порт 4899, и запустить его без настройки брандмауэра не получится. Нет мобильных клиентов. Не поддерживает другие ОС [2]. TeamViewer (freeware) Сейчас, наверное, из программ для удаленного доступа популярнее всех TeamViewer. Ты можешь скачать ее полную версию с официального сайта и при этом не заплатить ни копейки. Для некоммерческого использования программа абсолютно бесплатна. Рис. 5. TeamViewer запущен TeamViewer радует поддержкой Windows, OS X, Linux, которой так не хватало в Radmin. Также есть мобильные клиенты для Android, iPad/iPhone: ты можешь управлять удаленным компьютером со своего айфона. Также есть Portable-версия программы для Windows, что очень полезно для нечастого использования программы, причем Portable-версию можно запускать, как на «сервере», так и на «клиенте», в отличие от Radmin, где можно запустить только клиент (Viewer) без установки, а «серверную» часть нужно обязательно устанавливать. После запуска программы ты увидишь основное окно TeamViewer и окно «Компьютеры и контакты» (рис. 7). Если ты планируешь помогать сразу всем своим родственникам и коллегам, можешь нажать кнопку «Зарегистрироваться», создать аккаунт, и тогда в этом окне ты будешь видеть все многочисленные компьютеры, которые ты настраивал. Рис. 6. TeamViewer в действии Теперь разберемся, что есть что. Если нужно подключиться к твоему компьютеру, то удаленной стороне ты должен сообщить свой ID (в данном случае 969 930 547) и пароль (8229). Как сообщить, уже решай сам — можно скопировать и передать эти значения в мессенджер, SMS или просто продиктовать по телефону. Этот пароль меняется при каждом запуске программы. Если программа установлена на твоем компьютере, можно сделать постоянный личный пароль, но я не рекомендую: пароль может быть скомпрометирован и тогда кто угодно сможет подключиться к твоему компьютеру. Если нужно подключиться к удаленному компьютеру, то тебе нужно ввести ID удаленной стороны (в данном случае 411108007) и нажать кнопку «Подключиться к партнеру», после чего программа попросит ввести пароль, который ты получил от удаленной стороны. Вот и все — в появившемся окне можно производить настройку удаленного компьютера (рис. 6). Наверное, ты уже заметил основное отличие от Radmin: нужно передать пароль тому, кто настраивает компьютер, а в Radmin пароль указывается при создании учетки пользователя. Другими словами, нужно присутствие пользователя за компьютером. Спрашивается, а как же организовать домашний офис, когда ты из дома хочешь получить доступ к рабочему компьютеру, например, ночью. Все очень просто. Нужно организовать автозапуск TeamViewer (например, добавить в группу «Автозагрузка» или прописать в реестре в ключе Run) и задать «Личный пароль». Обрати внимание, что задать личный пароль нельзя, если программа не установлена на компьютере, а запущена без установки. Есть еще одна программа, о которой ты должен знать: TeamViewer Host. Она запускается как системная служба и используется для круглосуточного доступа к удаленному компьютеру, включая вход в систему / выход из нее. Получается, что TeamViewer Host позволяет организовать сервер терминалов, причем он поддерживает неограниченное число клиентов для одного сервера (число клиентов ограничено только вычислительными возможностями твоего компьютера). Также нужно отметить, что для установки TeamViewer Host нужны права администратора, которые не всегда есть, поэтому все равно в большинстве случаев будешь пользоваться обычным TeamViewer. Однако если нужно настроить всего один компьютер (или просто организовать к нему удаленный доступ, скажем из дому), то TeamViewer Host не нужен. Ради справедливости нужно отметить, что если на компьютере А запущен обычный TeamViewer (не Host), то к нему могут подключиться компьютеры Б, В, Г (число три приведено для примера) для совместного администрирования. Другое дело, что нужно согласовывать действия администраторов, поскольку клавиатура и мышь общие, но один может настраивать, остальные будут наблюдать. Как и Radmin, TeamViewer позволяет обмениваться файлами, голосовыми и текстовыми сообщениями, а также удаленно перезагружать компьютер (нужная команда находится в меню «Действия», см. рис. 5, просто перезагрузить компьютер недостаточно — ведь тогда не будет установлен сеанс связи TeamViewer, перегружать компьютер во время его настройки нужно только через меню «Действия»). Выводы: Простота (программа проще, чем Radmin, — огромное преимущество для неподготовленных пользователей, которым придется установить ее на удаленной стороне). Программа полностью не требует установки: как на клиенте, так и на сервере. Установка производится по желанию. Работает через порт 80 (и еще некоторые дополнительные порты), благодаря чему не требует настройки брандмауэра. Наличие версий для других ОС. Наличие мобильных клиентов для Android, iOS и Windows Phone. Возможность организации интерактивных конференций (до 25 участников). Не требует прав администратора для удаленного доступа. Грузит процессор заметно больше, чем Radmin. Мобильные клиенты хоть и есть, но они не очень удобны [2]. Когда-то была такая программулина — mRemote. Не знаю, что там произошло, но проект mRemote был закрыт, а разработчики взяли и создали другой проект — Royal TS. На сайте ты найдешь версии для Windows, OS X и iOS (можно запускать с iPhone и iPad). В Royal TS перед созданием подключения нужно создать документ, то есть одно подключение = один документ. Документы Royal TS весьма удобная штука, их можно передавать как обычные файлы, например другому админу. Он сможет открыть такой документ и сразу подключиться к удаленному компьютеру без необходимости создавать соединение вручную. У shareware-версии есть ограничение на число одновременно открытых документов — десять. Как по мне, то этого вполне достаточно для некоммерческого использования программы, поэтому на практике ты даже не заметишь, что тебе чего-то не хватает (если, конечно, ты не администрируешь удаленно огромную сеть компьютеров). Первым делом нужно сказать, что эта программа кардинально отличается от Radmin и TeamViewer. Обе эти программы сочетают в себе функциональность как сервера, так и клиента (в случае с Radmin сервер и клиент — это разные программы, в случае с TeamViewer — одна и та же программа). Другими словами, на одном из компьютеров ты можешь установить Radmin Server или TeamViewer, а на другом использовать Radmin Viewer или TeamViewer соответственно для подключения к этому удаленному компьютеру. Так вот, Royal TS — это что-то наподобие Radmin Viewer, то есть программа для подключения к удаленному серверу, но вот сервер придется создавать своими силами. Как ты это сделаешь — твои проблемы. Royal TS не поможет тебе создать такой сервер, а только даст подключиться к нему. Рис. 7. Royal TS для Windows Среди протоколов подключения к удаленному серверу, которые поддерживает Royal TS: RDP, Telnet, SSH, Citrix, VNC. Сами же серверы RDP/Telnet/SSH и прочие придется настраивать самостоятельно. С одной стороны, это выходит за рамки статьи, с другой — она была бы неполной, если бы я не привел пример настройки хотя бы одного из серверов, которые поддерживает Royal TS. SSH/Telnet-серверы, думаю, читателю будут не очень интересны. Хочется чего-то графического. Пусть у нас есть Linux (Ubuntu или ее клон) и нужно настроить VNC-сервер. Для этого сначала установим VNC-сервер командой: «sudo apt-get install vnc4server» После этого нужно его запустить — в первый раз без параметров: «sudo vnc4server» В процессе запуска команды «sudo vnc4server» нужно ввести пароль, который будет использоваться для подключения к этому VNC-серверу. Сам пароль будет сохранен в $HOME/.vnc/passwd. После первого запуска нужно запустить vnc4server, указав номер экрана: «sudo vnc4server :1» Далее в Royal TS нужно создать новый документ (на вкладке File), далее перейти на вкладку Edit и нажать кнопку VNC. В появившемся окне (рис. 10) нужно ввести имя дисплея (Display Name) — в нашем случае :1, IP-адрес VNC-сервера и указать номер порта (обычно 5900). Пароль будет запрошен при подключении к серверу. Рис. 8. Параметры подключения к VNC Выводы: Универсальный клиент для подключения к удаленному серверу по различным протоколам. Есть версии для Windows, OS X и iOS. Невозможно организовать удаленный доступ только средствами Royal TS, нужны дополнительные программы. Не подходит для удаленной настройки компьютеров неопытных пользователей — они просто не смогут настроить необходимые службы удаленного доступа [2]. Протоколы удаленного доступа Собственно для цели передачи команд администрирования и вывода экрана используются протоколы удалённого администрирования: RDP, Telnet, Rlogin, X11 и VNC. Для шифрования трафика в программах удалённого администрирования используются протоколы SSH, SSL. [5] Протокол RDP RDP (англ. Remote Desktop Protocol, протокол удалённого рабочего стола) — открытый протокол прикладного уровня, разработанный Microsoft и изначально предназначенный для подключения графических терминалов к Windows Terminal Server. Клиенты существуют практически для всех версий Windows (включая Windows CE и Mobile), Linux, Free BSD, Mac OS X. По-умолчанию используется порт TCP 3389. Офицальное название Майкрософт для клиентского ПО – Remote Desktop Connection или Terminal Services Client (TSC). RDP-клиент, – позволяет вам, находясь на одном компьютере, удаленно управлять другим. Например, если вам нужно зайти в свой компьютер, находящийся в офисе, из дома (предположим, что вы заблаговременно настроили свой рабочий компьютер), то вы можете с помощью инструмента Remote Desktop получить доступ ко всем данным, находящимся на рабочем компьютере, включая файлы, приложения и сетевые соединения. Вы даже можете слышать звук, с которым открываются файлы (спрашивается: зачем? прим. aag). Фактически Remote Desktop позволяет не только получать доступ к файлам удаленного компьютера, но и на самом деле видеть рабочий стол таким, какой он есть на удаленном компьютере. Более того, если удаленный компьютер работает в операционной системе Windows 2000 или .NET Server, то на нем могут удаленно работать несколько пользователей одновременно. Технология Terminal Services является основой для работы удаленного помощника , который позволяет вашему другу или работнику технической поддержки устанавливать соединение с вашим компьютером, видеть ваш рабочий стол и управлять компьютером. Для соединения инструмент Remote Desktop использует LAN, виртуальную частную сеть (VPN) или интернет-соединение. Работа удаленного рабочего стола сильно зависит от скорости установленного соединения. Remote Desktop поддерживает работу в двух режимах: Remote Desktop (Удаленный рабочий стол) – подходит для использования в локальной сети и требует установки программного обеспечения на компьютере-клиенте. Remote Desktop Web Connection (Интернет-подключение к удаленному рабочему столу) – требует на клиентской машине только наличия браузера Internet Explorer, но на сервере для нее необходимо установить и настроить большее количество программ. Remote Desktop поддерживает 24-битные цвета – это позволяет варьировать качество картинки в широких пределах. Переадресация ресурсов позволяет, например, использовать файловую систему удаленного компьютера в качестве сетевого ресурса общего доступа. Переадресация звуков позволяет компьютеру-клиенту воспроизводить звуки, которые генерируются на компьютере-сервере. При проигрывании звуков Remote Desktop также учитывает пропускную способность полосы частот. Вместо того чтобы перегружать соединение звуковым сигналом при изменении пропускной способности, Remote Desktop снижает качество звука. Remote Desktop-сервер и Remote Desktop-клиент пользуются общим буфером. Это позволяет им свободно обмениваться информацией [3]. |