Средства удаленного администрирования
- 13.01.12, 10:36
Программы удаленного администрирования – программы, с помощью которых можно полностью управлять серверами и рабочими станциями через сеть. Свое начало они берут еще с тех времен, когда компьютеры были огромными, на несколько комнат или этажей, и доступ осуществлялся исключительно через терминал. Позже, когда компьютер стал помещаться на рабочий стол, управлять большим количеством станций, подходя к каждому, было совершенно неудобно. И программисты создали программную эмуляцию того самого изначального терминала управления к обычному компьютеру.
С помощью этих программ можно выполнять любые функции на компьютере. Копировать и удалять файлы, выполнять функции администратора или надзора, устанавливать программное обеспечение или решать проблемы. Но вместе с тем, всегда таится угроза, что такой же доступ может получить человек, о котором даже и не думали, и не всегда с благими целями. А точнее, со злонамеренными целями. Использовать ваши вычислительные ресурсы для подбора паролей или рассылки спама, а может просто, чтоб использовать ваши кредитные карточки и другую информацию для собственного обогащения.
Обзор средств удаленного администрирования не цель для данной статьи. Мы поговорим о рисках, которые появляются в случае использования данных средств.
Для начала, посмотрим на самые часто встречающиеся цели установки таких средств:
- Упрощение системного администрирования – повышение качества обслуживания пользователей за счет сокращения времени решения проблем;
- Обеспечение терминального доступа с целью разделения ресурсов мощных компьютеров;
- Облегчение жизни – в этот сегмент мы отнесем тех, кто желает использовать два и более компьютера одновременно. Например, для закачки фильмов дома, во время работы, или на оборот.
Первый случай – это вполне легальное, с точки зрения лучших практик безопасности, использование. Но, если в компании не определено политикой использование только одной такой программы, и нет соответствующих правил на межсетевых экранах, то есть возможность запустить любое другое средство. Как правило, если это направление деятельности ИТ департамента регулируется – то выбирается лучшее средство. С хорошей защитой трафика шифрованием, с возможностью ограничить доступ к этому протоколу на межсетевых экранах нового поколения, таких как Palo Alto Networks. Если же установка ПО удаленного администрирования происходит хаотично, не регулируемо, и несколько администраторов используют разные понравившиеся программы – то проблема не заставит себя долго ждать.
- Первая – это наличие у администраторов клиентов ко всем используемым средствам;
- Вторая – это поддержка базы данных – на каком компьютере какое средство стоит;
- Третья – никто не знает, кто именно и что именно устанавливал. Легко спутать ПО установленное хакером – за новое ПО установленное другим администратором. И таким образом оставить хакера делать свои дела в вашей сети, еще на час-день-неделю...
В сухом остатке – если в вашей сети необходимо использовать средства удаленного администрирования – то должно быть определено только одно. Чтобы исключить возможность использования другого ПО, необходимо использовать межсетевые экраны нового поколения – которые позволят управлять доступом к выбранному вами ПО на сетевом уровне и отфильтровать трафик других средств удаленного администрирования.
Обеспечение терминального доступа – это очень эффективная и удобная мера по снижению затрат на предприятии. Но используя виртуализацию и всю мощь технического прогресса на сервере терминалов – вы оказываетесь перед выбором. Либо разные группы пользователей расселять на отдельные сервера, либо ограничивать доступ всем пользователям терминалов. Проблема в том, что все пользователи терминального сервера выходят в сеть с общим IP-адресом. Справиться с этой проблемой могут только межсетевые экраны нового поколения с идентификацией пользователей не зависимо от их сетевого адреса. То есть если вы используете хорошие сервера, и на них работает много пользователей – то вам необходимо использовать и хорошие фаерволы, чтоб управлять пользовательским сетевым доступом.
Теперь рассмотрим третий вариант использования средств удаленного администрирования для «облегчения жизни». Это наиболее наболевшая проблема для администраторов, которые строят высокий уровень безопасности сети в гармонии с бизнес-процессами. Закрыть полностью доступ пользователям нельзя, так как многие ограничения негативно отразятся на результатах деятельности предприятия. Проконтролировать деятельность большого количества пользователей тоже проблематично и, как правило, требует отдельных усилий и больших затрат времени. А пользователи будут искать самые разные уловки для того, чтоб скачать очередной фильм, помочь другу или еще тысячи других мыслей, с которыми они будут стараться подключиться домой, к соседу, из дому, и еще кто знает куда.
Основная проблема даже не в том, что они смогут подключиться и что-то сделать на другом компьютере. А в том, что подключаясь – они создают канал передачи данных в обход средств защиты предприятия. И если ваше предприятие тратит тысячи долларов на организацию сетевой защиты, то пользователь дома – в лучшем случае поставит антивирус, и то не факт, что обновленный. Взломать домашний компьютер для хакеров не составит труда. И устанавливая канал передачи данных с домашним компьютером – пользователь сам пригласит хакеров в вашу сеть.
Подводя итог, мы остановимся на решении обозначенных проблем. Современное использование мощных серверов неминуемо приведет и использованию средств удаленного администрирования и терминалов. Эти средства всегда будут использоваться в локальных вычислительных сетях так же эффективно, как и для решения задач по администрированию удаленных офисов. Но для снижения рисков, необходимо определить один пакет программного обеспечения. Для обеспечения сетевой безопасности – необходимо использовать межсетевые экраны нового поколения с идентификацией пользователей в сети и на терминальных серверах. Среди пользователей необходимо вести работу по разъяснению принципов построения защиты, чтоб свести к минимуму попытки обхода ваших средств.
Коментарі
crys
113.01.12, 10:59
так який пакет пропонується ?
для більшості ремоутадмінім необхідний білий IP-к
Азмус
213.01.12, 11:39Відповідь на 1 від crys
Пакет выбирается в зависимости от конфигурации сети и бизнес задач.
А не на основе продвигаемого ПО