В 2008 г. Ричард Столлман, известный как основатель движения свободного программного обеспечения, в интервью газете "Гардиан" (The Guardian) заявил, что "одна из причин по которой нам не следует использовать Web-приложения для осуществления собственных вычислений, состоит в том, что мы теряем контроль над ними". Обобщая слова Столлмана, можно утверждать, что использование любого удаленного сервиса ограничивает свободу пользователя.

Иван Чижов
Начальник отдела разработки
средств защиты "Инлайн Технолоджис",
к.ф.-м.н.

История терминального доступа

Все началось с продукта WinFrame, молодой на тот момент компании Citrix. Эта программа была не чем иным, как ОС Windows NT 3.51 с поддержкой многопользовательского режима. Чуть позже, в 1998 г., на базе WinFrame компанией Microsoft была разработана первая ОС Windows NT 4.0 Terminal Server Edition, которая позволяла пользователям вести удаленную работу. То есть программы выполнялись на некоем сервере, а пользователю на рабочую станцию транслировалась только картинка. В основу удаленной работы пользователей был положен протокол RDP 4.0, получивший в дальнейшем широкое распространение. Это привело к тому, что хакеры стали уделять особое внимание поиску уязвимостей в нем, которых на поверку оказалось немало. В определенный момент администраторы стали отказываться от применения этого протокола, опасаясь взлома серверов. И только возможность использовать для его защиты протокол TLS подарила RDP вторую жизнь.

Протокол RDP

Текущая версия протокола RDP имеет номер 7.1. В ней исправлены многие ошибки, недостатки и уязвимости младших версий. Среди основных ее особенностей можно отметить:

Ограничение свободы - существенный недостаток для пользователя, но достоинство для хозяина сервиса, так как он получает возможность производить тотальный контроль за действиями пользователя в системе. Это подводит к мысли, что терминальный доступ может стать отличным инструментом для создания системы защиты частных автоматизированных систем.

  • возможность публикации приложений для пользователя;
  • поддержку аутентификации сетевого уровня;
  • увеличение производительности;
  • снижение длительности задержки при воспроизведении аудио и видео.

Благодаря расширенному функционалу по контролю за действиями пользователя, у протокола RDP открывается "третье дыхание" - возможность организации защищенного терминального доступа удаленных пользователей к автоматизированным системам со снижением издержек на средства защиты и их дальнейшее обслуживание.

Следует отметить, что наряду с RDP развивались и другие протоколы терминального доступа. Одним из старейших и достаточно популярных протоколов является протокол ICA, который лежит в основе линейки продуктов компании Citrix. Основной его недостаток - он является собственностью компании Citrix, поэтому провести независимое исследование протокола на наличие в нем уязвимостей и недокументированных возможностей практически невозможно. А проведение таких исследований необходимо, например, в том случае, если система обрабатывает ПДн класса К1. В связи с этим использовать этот протокол повсеместно не всегда представляется возможным.


С точки зрения ИБ технология терминального доступа имеет ряд привлекательных особенностей:

  • терминалы, или тонкие клиенты, с которых можно получать доступ к ресурсам системы, не имеют жесткого диска;
  • используют специализированную ОС, одна из задач которой - организовать сессию с терминальным сервером для работы пользователя;
  • не имеют в своем составе подвижных деталей;
  • исполняются в специализированных корпусах с полностью пассивным охлаждением.

Идея терминального доступа возникла давно, еще когда компьютеры были медленными и занимали огромные помещения. В 1970 г. один из создателей сети ARPANET - дедушка современной сети Интернет - говорил, что когда-нибудь каждый человек на Земле будет подключен к сети, из которой он сможет получать не только необходимые ему данные, но и программы для их обработки. Еще раньше, в 1961 г.. Джон Маккарти, основоположник функционального программирования и искусственного интеллекта, предположил, что в будущем компьютерная мощь и даже приложения смогут продаваться так же, как в сфере коммунальных услуг продается электричество или вода.

А значит, пользователь, работая за терминалом, не может ничего записать, так как у него нет жесткого диска. Используемую ОС можно урезать до единственной функции - установления RDP-сессии, что позволяет существенно ограничить действия на рабочей станции. Подключение к терминалу внешних накопителей не позволит пользователю записать на них информацию, поскольку в ОС отсутствует функциональность по монтированию подобных устройств на сервер приложений. Монолитность терминала усложняет доступ пользователя к его внутренностям. ОС и ПО, которые использует терминал, практически не требуют обновления, поэтому их можно зафиксировать, сертифицировать и забыть, не тратя деньги на сертификацию новых версий и обновлений. Покупая такое ПО, можно быть уверенным, что в течение длительного времени не потребуется изменений и обновлений. Кроме того, указанная монолитность и некоторая "статичность" терминала позволяют не использовать для защиты терминальных станций антивирусное ПО.

Применение протокола RDP позволяет реализовать систему, состоящую из различных контуров безопасности. Рассмотрим, например, такую проблему: имеется ряд рабочих станций, которые обрабатывают конфиденциальную информацию. По служебным обязанностям пользователям, помимо прочего, требуется доступ в сеть Интернет. При этом владелец системы не хочет, чтобы пользователи одновременно работали в Глобальной сети и обрабатывали конфиденциальные данные, в связи с чем приходится отключать рабочие станции от сети Интернет и организовывать выход в Интернет с отдельных выделенных рабочих мест. Как использование RDP может помочь нам решить эту проблему?

Возьмем два сервера приложений и установим на один интернет-браузер все программы, которые необходимы для работы пользователей в сети Интернет, а на другой - установим программы обработки конфиденциальной информации. Вместо рабочих станций установим пользователям терминалы (тонкие клиенты). И предположим, что в качестве ОС на терминале используется Linux с поддержкой двух рабочих столов. И они полностью изолированы друг от друга, а обмен информацией между ними невозможен. Установим на первом рабочем столе RDP-сессию к первому серверу приложений, а на втором - ко второму. Таким образом, за одним и тем же терминалом на одном рабочем столе пользователь сидит в Интернете, а на другом - обрабатывает конфиденциальную информацию. Владелец системы спит спокойно, не переживая о возможной утечке конфиденциальных данных.

Сказанное выше наглядно демонстрирует, что терминальный доступ является эффективным решением для людей, которые задумываются о безопасности своей информации и не хотят тратить много денег на построение комплексной СБ.

Типовая архитектура системы защиты терминального доступа

  • использовать протокол SSLTTLS для защиты данных;
  • включить аутентификацию пользователей, например через домен по логину и паролю.

Однако зачастую такой подход не оправдан. Особенно это касается систем, в которых применяются повышенные требования к защите информации.

Рассмотрим типовую архитектуру защиты системы, построенной на основе технологии терминального доступа (рис. 1).

Предположим, что имеется ферма терминальных серверов приложений и множество клиентских устройств (терминалов), которые взаимодействуют по протоколу RDP и предоставляют возможность использования приложений, необходимых пользователям. Как сделать так, чтобы описанная система стала защищенной?

Требование к разграничению доступа

В системе обязательно должен быть реализован механизм разграничения доступа к ресурсам. Он должен основываться на заданиях правил доступа на основе групповых характеристик пользователей, запускаемых ими программ и объектов. Как правило, рассматриваются следующие права доступа: чтение, запись, удаление и выполнение.

Требования к информационной безопасности системы
Все требования можно разделить на пять больших групп:
1) к идентификации и аутентификации;
2) к разграничению доступа;
3) к регистрации и учету;
4) к обеспечению целостности;
5) по защите передаваемой и хранимой информации.

В состав ресурсов, в отношении которых обычно реализуются функции разграничения доступа, входят: файлы и каталоги, расположенные как на локальных, так и на сетевых дисках (включая ресурсы совместного доступа); встроенные и внешние устройства; встроенные порты ввода-вывода; ветви и записи реестра.

Разграничение доступа должно носить запретительный характер, то есть пользователю должны быть недоступны ресурсы, к которым явно не определен какой-либо доступ. Разграничение доступа должно применяться ко всем пользователям без исключения. Ни один пользователь не должен обладать правами администратора, имеющего доступ ко всем ресурсам в обход подсистемы защиты.

Требования к идентификации
В типовой среднестатистической системе требуется осуществление идентификации и аутентификации субъектов доступа при входе в систему по логину и паролю. Кроме того, должна осуществляться идентификация терминалов, внешних устройств терминалов по логическим именам. Требуется идентификация программ, каталогов, файлов, записей и полей записей по именам.

Кроме того, очень часто в системах встает проблема контроля подключения внешних носителей, таких как USB-флешки. Пользователь может использовать в системе только проверенную флешку. Он не может принести из дома любую и использовать.

В системе необходимо обеспечить контроль доступа к приложениям. Пользователям доступны те, которые явно назначены им администратором безопасности, и не доступны те, которые не назначены для запуска. В идеале они не должны быть даже видны пользователю.

В случае использования RDP-доступа возникает ситуация, когда на одном сервере могут выполняться приложения разных пользователей. В связи с этим необходимо обеспечить доверенную изоляцию приложений, выполняемых под одним пользователем, от приложений, выполняемых под другим, на одном и том же сервере приложений.

Необходимо также запретить пользователю загружать собственную ОС на терминале.

Требования к регистрации и учету

Требования по защите передаваемой и хранимой информации
В системе это самое простое, но одновременно и самое сложное требование. Обычно в системах требуется шифрование всех данных, передаваемых по незащищенным каналам связи.

Обычно системе регистрации и учета подвергаются:

  • подключение пользователей к системе;
  • запуск приложений;
  • доступ к контролируемым объектам доступа;
  • создание защищаемых объектов доступа;
  • изменение полномочий субъектов доступа.

После очистки первой записью в регистрационном протоколе должен автоматически регистрироваться факт очистки с указанием даты, времени и информации о лице, производившем эту операцию. Указанное требование предназначено для контроля администраторов. Проверить работу администратора в системе можно, только анализируя протокол событий, поэтому необходим инструмент, который бы не позволял недобросовестным администраторам изменять журнал аудита, в том числе и очищать его.

Требования к обеспечению целостности

  1. По обеспечению целостности программных средств защиты.
  2. По неизменности программной среды.

При этом ее целостность может обеспечиваться отсутствием в системе трансляторов с языков высокого уровня и отладки программ. Однако этот механизм недостаточно эффективен, так как нарушить программную среду можно, например, путем внесения какой-либо сторонней программы в ОС, в обход системы разграничения доступа. Получается, что обеспечить целостность можно только в связке с идеальной системой контроля доступа. В некоторых случаях эта привязка является нежелательной. И тогда обычно применяются аппаратно-программные модули доверенной загрузки (АПМДЗ). В силу того что в системе имеется необходимость устанавливать собственные программы, приходится каждый раз перенастраивать эти аппаратные средства либо осуществлять контроль только над ядром ОС. В случае использования терминала вместо рабочей станции можно вообще жестко зафиксировать ОС.

Архитектура системы защиты

Фиксацию результатов регистрации и учета в электронном виде в регистрационном протоколе должна быть доступна только на чтение и только администратору безопасности. При этом он может осуществлять только просмотр, копирование и полную очистку регистрационного протокола.

Как с учетом этих требований построить эффективную систему защиты терминального доступа? Подход здесь должен быть комплексным. В силу того что терминальный доступ предполагает централизацию, то и в архитектуре системы защиты должна прослеживаться ярко выраженная централизованность.

Из этого следует, что в системе должна быть единственная точка входа: некоторый сервис, который управляет системой защиты и выполняет функции по идентификации пользователей и компонентов системы. Из требований к целостности ОС терминала вытекает решение, при котором она имеет очень маленький размер и хранится на выделенном сервере. После подключения терминала и аутентификации пользователя и терминала в системе, ОС передается ему по каналу связи, то есть используется сетевая загрузка. При этом проверяется целостность ОС.

Требования и архитектура терминального доступа подсказывают, что в системе должны быть как минимум следующие компоненты:

  • сервис аутентификации - единая точка входа в систему - точка централизации;
  • консоль администратора системы - управление системой защиты;
  • сервис балансировки нагрузки - для построения системы защиты промышленного уровня все сервисы безопасности необходимо кластеризовать;
  • сервис распространения терминальной ОС - хранит актуальную версию ОС терминала;
  • модуль безопасности - минимально необходимая прошивка терминала, чтобы начать взаимодействовать с системой;
  • терминальная ОС;
  • компонент "Сервер приложений" - выполняет, в частности, функции по разграничению доступа пользователей в системе;
  • модули шифрования IP-трафика - необходимы для обеспечения шифрования данных.

Внедрение средств терминального доступа в последнее время вызывает немалый интерес у руководителей многих компаний — ведь эта категория продуктов при грамотном применении способна обеспечить значительное снижение как затрат на сопровождение корпоративного программного обеспечения, так и издержек на регулярное обновление аппаратного обеспечения. В настоящей статье мы поговорим о том, что может дать применение этой категории продуктов небольшим компаниям.

Что такое терминальный доступ

огда-то давно, когда человечеству еще не были известны персональные компьютеры, типичной архитектурой любого корпоративного приложения была та, что использовала мэйнфрейм (или, в случае компании победнее, мини-ЭВМ) и некоторое количество управляемых тем же мэйнфреймом (или мини-ЭВМ) неинтеллектуальных внешних устройств-терминалов. Такой подход, основанный на полной централизации ресурсов, данных и приложений, обладал определенными преимуществами — при всех своих недостатках и дороговизне вычислительной техники тех лет он, во-первых, позволял решать задачи, которые и не снились пользователям первых персональных компьютеров, а во-вторых, отличался относительной (естественно, для того времени) простотой эксплуатации — ведь вся вычислительная техника физически располагалась в одном месте, а пользователи совместно эксплуатировали общие процессор, память, внешние устройства, многозадачную операционную систему и набор приложений.

Современные средства терминального доступа, применяющиеся на персональных компьютерах, специализированых терминальных рабочих станциях и карманных устройствах, основаны на похожем принципе централизации вычислений и коллективизации ресурсов. Пользователь в этом случае запускает на рабочей станции клиентскую часть средства терминального доступа и с его помощью обращается к удаленному компьютеру-серверу, содержащему соответствующую серверную часть данного средства. При успешной аутентификации серверная часть средства терминального доступа создает для пользователя собственный сеанс работы, в котором либо им самим вручную, либо автоматически (это зависит от настроек сеанса и от прав доступа) в адресном пространстве сервера запускаются нужные ему приложения. Пользовательский интерфейс запущенных таким образом приложений доступен пользователю рабочей станции в окне клиентской части средства терминального доступа, и тот может с помощью клавиатуры и мыши рабочей станции управлять данным приложением — сведения о нажатых клавишах и движении мыши (а нередко и содержимое буфера обмена) передаются сеансу данного пользователя на сервере, а обратно поступают изменения в пользовательском интерфейсе приложения. По окончании сеанса пользователя все выполнявшиеся в нем приложения закрываются.

Терминальный доступ и затраты на IT-инфраструктуру

реимущества применения терминального доступа становятся очевидны при наличии большого количества рабочих станций или при повышенных требованиях к безопасности и к централизации хранения данных. Если доступ к приложениям осуществляется с помощью средства терминального доступа, то на рабочие станции устанавливатся только операционная система и клиентская часть этого средства, а сами приложения, с которыми работают пользователи, устанавливаются на терминальный сервер. В этом случае затраты на сопровождение рабочих станций оказываются значительно ниже, чем при полном их оснащении клиентскими частями корпоративных приложений, офисными пакетами, почтовыми клиентами и иными применяющимися в компании продуктами, да и требования к аппаратному обеспечению таких рабочих станций весьма умеренны. Кроме того, существуют и специальные рабочие станции под управлением Windows CE, предназначенные для работы именно в этом режиме. Правда, требования к аппаратному обеспечению терминального сервера могут быть весьма высокими — они зависят от числа одновременно работающих пользователей. Но современные средства терминального доступа, как правило, способны работать с кластерами серверов и осуществлять баланс загрузки.

Если экономию затрат на приобретение, обновление и сопровождение рабочих станций можно рассчитать довольно легко, то экономия, связанная с обеспечением дополнительной безопасности доступа к корпоративным данным, становится очевидна не сразу. Коль скоро приложения выполняются на удаленном сервере, на рабочей станции конечного пользователя нет ни клиенской части применяемых в компании серверных СУБД, ни тем более доступа к файлам настольных СУБД, и это существенно снижает риск несанкционированного доступа к корпоративным данным — иначе как штатными средствами (то есть с помощью корпоративного приложения) обратиться к ним не удастся.

Ведущие поставщики средств терминального доступа

Microsoft

Простейшие средства терминального доступа, называемые терминальными службами, входят в состав серверных версий Windows. Терминальные службы доступны для Windows NT Server 4.0, Terminal Server Edition (первая версия средств терминального доступа, созданная совместно с компанией Citrix), Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server, Windows Server 2003 (все редакции).

Средства управления параметрами работы терминальных служб Windows сравнительно просты. При применении Windows Server 2003, Enterprise Edition можно осуществить баланс загрузки серверов; возможно динамическое управление параметрами сессии; клиентским сеансам доступны разрешения экрана до 1600Ѕ1200 и режим True Color, а клиенты терминальных служб Windows Server 2003 могут иметь доступ к своим локальным ресурсам (внешним устройствам, дискам и т.д.) изнутри терминального сеанса. Вот, собственно, и все доступные на сегодня возможности терминальных служб Windows. Тем не менее эти службы нередко используются администраторами сетей для осуществления удаленного управления серверами, а также в компаниях-разработчиках и в отделах разработки ПО для обращения к приложениям, установленным на других компьютерах.

Лицензирование доступа через терминальные службы осуществляется следующим образом. Все устройства, использующие доступ к терминальным службам, должны быть снабжены лицензией Windows Server 2003 Terminal Server Device (CAL), предоставляющей право доступа к Windows Server 2003 для устройства, либо их пользватель должен иметь лицензию Windows Server 2003 Terminal Server User CAL. Помимо этого существует лицензия Windows Server 2003 Terminal Server External Connector License, позволяющая осуществлять анонимные одновременные соединения с терминальными службами через Интернет и предназначенная для провайдеров приложений.

Citrix

Лидером рынка средств терминального доступа сегодня по праву считается компания Citrix. Эта компания выпускает средства терминального доступа для Windows и UNIX; при этом указанный набор средств отличается от терминальных служб Windows (лицензированных в свое время у той же Citrix) весьма широким спектром как возможностей настройки клиентских сессий, так и средств управления терминальными серверами и иными сетевыми ресурсами, задействованными при применении терминального доступа, а также исчерпывающим набором интегрированных между собой сопутствующих инструментов и технологий, например средств управления паролями, защищенным доступом, роумингом терминальных соединений при перемещении клиента с одного места на другое. Так, с помощью инструментов, входящих в состав Citrix Access Suite, работающего поверх терминальных служб Windows, можно установить весьма широкий спектр параметров сеанса (размер окна, разрешение экрана, количество цветов, правила работы с аудиоданными), вплоть до создания сеансов, запускающих в оконном режиме всего одно конкретное приложение и завершающихся по окончании его работы, осуществить подробный мониторинг всей распределенной системы и анализ использования ресурсов в пользовательских сеансах, реализовать оптимальное управление так называемыми серверными фермами — кластерами серверов, содержащих однотипные приложения, за счет балансировки их нагрузки.

Отметим, что при применении технологий Citrix (в частности, архитектуры ICA — Independent Computing Architecture) по сети передаются только сведения о манипуляциях мышью и клавиатурном вводе, а также об изменениях в изображении на экране, что ограничивает необходимую для сеанса полосу пропускания до менее чем 20 Кбит/с.

Citrix Access Suite поддерживает доступ к терминальным серверам с рабочих станций на платформе DOS, Windows, Mac OS, UNIX, Linux, OS/2, Java из браузеров, использующих модули расширения Netscape или элементы управления Active X для Internet Explorer, а также с широкого спектра мобильных устройств.

Сопровождающие продукты

ачав применять терминальный доступ, компании нередко сталкиваются и с другими задачами, такими как управление доступом к приложениям, многочисленными паролями пользователей, защита передаваемых данных, обеспечение доступа, не зависящего от инфраструктуры и от типа устройства, взаимодействие пользователей между собой и эффективное обслуживание их IT-службой. Для этой цели им могут понадобиться средства управления паролями, организации конференций, удаленного управления рабочими станциями и их интерфейсом. Все эти продукты доступны в составе Citrix Access Suite, выход которого позволит говорить о полностью интегрированном решении, обеспечивающем создание единой инфраструктуры доступа пользователей к приложениям.

Терминальный доступ на небольших предприятиях

радиционно считалось, что средства терминального доступа целесообразно внедрять на крупных предприятиях с большим количеством однотипных рабочих станций, и в отчетах о наиболее известных проектах по внедрению таких средств речь нередко идет о десятках тысяч рабочих мест и об огромных бюджетах. Однако существуют продукты этой категории, которые имеет смысл внедрять и на малых и средних предприятиях.

Из новинок в этой области в первую очередь отметим ориентированный на данный сегмент рынка продукт Citrix Access Essentials. Этот продукт может обслуживать компании, использующие платформу Microsoft Windows с количеством терминальных рабочих мест, не превышающим 75 (включая переносные и мобильные устройства), и соответствует требованиям, предъявляемым небольшими компаниями, — его приобретение и внедрение обойдется сравнительно дешево за счет недорогих лицензий (менее 250 долл. за одно рабочее место, куда уже включена лицензия на применение терминальных служб Windows — Windows Terminal Server Client Access License) и простоты развертывания и администрирования.

Технические особенности Citrix Access Essentials

Citrix Access Essentials представляет собой серверное приложение, выполняющееся под управлением Windows Server 2003 и предоставляющее доступ к установленным на этом сервере приложениям через Web-интерфейс. Для применения данного продукта требуется один сервер с операционной системой Microsoft Windows Server 2003 Standard или Enterprise Edition, сетевое подключение между устройствами пользователей и сервером и Web-браузер на каждом подключенном устройстве.

Citrix Access Essentials поддерживает два варианта эксплуатации: эксплуатацию на одном сервере (рис. 1) и эксплуатацию с применением аппаратного обеспечения Citrix Access Gateway (рис. 2). В первом случае удаленные пользователи могут обращаться к терминальному серверу через брандмауэр, во втором — через сервер виртуальной частной сети Access Gateway VPN (при этом терминальный сервер устанавливается в демилитаризованной зоне, что обеспечивает повышенную безопасность доступа к приложениям).

Для обеспечения безопасности доступа к серверу Citrix Access Essentials поддерживает несколько способов аутентификации пользователей, включая применение средств шифрования.

Развертывание сервера Citrix Access Essentials максимально упрощено — для этой цели в комплект поставки продукта включена утилита Quick Start, представляющая собой мастер установки и настройки сервера, регистрации лицензий, генерации дистрибутивов клиентских частей и публикации приложений на сервере. Клиентские части доступны для всех версий Windows, Windows CE, Pocket PC 2003, Mac OS X, Linux, Solaris, а также для устройств, поддерживающих Java.

Средства управления сервером, изменения конфигурации, управления доступом пользователей, входящие в состав Citrix Access Essentials, также максимально просты: их освоение, на мой взгляд, не должно вызвать никаких затруднений у специалистов, занимающихся администрированием сетей небольших компаний (рис. 3). Они позволяют выполнить практически любые операции, вплоть до настройки внешнего вида интерфейса клиентской части этого продукта (рис. 4). Кроме того, продукт снабжен весьма подробной документацией, описывающей каждое действие администратора, начиная с установки сервера и заканчивая оптимизацией его производительности, настройкой параметров безопасности и доступа к внешним устройствам.

Иными словами, данный продукт действительно создан с учетом особенностей небольших компаний, включая ограниченность средств на применение услуг высококвалифицированных (и соответственно дорогостоящих) IT-специалистов.

Лицензирование

Лицензирование Citrix Access Essentials осуществляется следующим образом. Продукт доступен в виде именованных лицензий, приобретаемых для каждого пользователя, который будет применять программное обеспечение. Данный продукт не поддерживает ни параллельное использование, ни лицензирование на устройство или сервер. Продукт может быть приобретен как с подпиской на обновления (Subscription Advantage), так и без нее.

При применении Citrix Access Essentials (как и любых других средств терминального доступа) следует также соблюдать правила лицензирования программного обеспечения, обращение к которому будет осуществляться в терминальном режиме — лицензионые соглашения современных программных средств обычно предусматривают определеные правила применения продуктов в подобном режиме. В частности, нередко при работе в таком режиме число приобретаемых лицензий должно быть равно числу подключаемых рабочих станций, несмотря на то, что реально на сервер устанавливается всего одна копия приложения.

Citrix Access Essentials и снижение затрат

Каких затрат поможет избежать малым и средним предприятиям внедрение Citrix Access Essentials? Стандартные преимущества применения средств терминального доступа, такие как снижение затрат на сопровождение однотипных рабочих станций, их аппаратное обеспечение, в случае небольших предприятий поначалу не кажутся столь очевидными. Но ведь и бюджет таких предприятий невелик, поэтому возможность избежать лишних расходов на сопровождение, пусть даже и не столь значительных, как на крупных преприятиях, для небольших компаний даже более актуальна. А обеспечение дополнительной безопасности доступа к корпоративным данным для небольших предприятий может быть жизненно важным — в случае их утечки последствия для небольших компаний могут оказаться намного более серьезными, нежели для крупных предприятий.

Из затрат, которых сумеют избежать именно небольшие компании, внедрившие у себя Citrix Access Essentials, в первую очередь следует выделить расходы на трансформацию существующей ИТ-инфраструктуры и на внедрение новых решений при расширении бизнеса, например при открытии новых офисов и филиалов. В этом случае внедрение терминального доступа к имеющимся в центральном офисе корпоративным ннформационным системам (таким как системы управления предприятием, средства складского, бухгалтерского или кадрового учета) обычно оказывается намного более простым и дешевым, нежели развертывание в филиале самостоятельной инфраструктуры и организация синхронизации данных с центральным офисом. Кроме того, сравнительно большая часть современных предприятий малого и среднего бизнеса имеет в штате так называемых мобильных сотрудников, обеспечение для которых связи с офисами, безопасности доступа к корпоративным приложениям и данным, а также контроль указанных процессов представляет собой весьма непростую задачу, решить которую также поможет Citrix Access Essentials. Учитывая потенциальное снижение вышеупомянутых затрат, руководителям IT-подразделений небольших компаний стоит внимательнее присмотреться к этому продукту — возможно, именно он сумеет решить проблемы, стоящие перед некоторыми из них.

Другим распространенным вариантом удаленного доступа являются две разновидности практически одного и того же режима - удаленное управление (remote control) и терминальный доступ (terminal access) . При этом способе удаленный компьютер становится, в сущности, виртуальным терминалом компьютера - хоста, который может быть, а может и не быть подключен к сети. Этот вариант позволяет запустить любое приложение на компьютере - хосте, а также получить доступ к любым данным этого хоста. Если компьютер - хост подключен к сети, то и удаленные его пользователи становятся полноправными членами сети, действуя как пользователи компьютера - хоста.

Выше уже было сказано, что отличия удаленного управления от терминального доступа только в том, что при удаленном управлении пользователь связывается с операционной системой, не рассчитанной на поддержку многотерминального режима (MS-DOS, Windows 3.1, Windows 95/98, Windows NT, OS/2 Warp), а терминальный доступ осуществляется к операционным системам, для которых многотерминальный режим является основным (Unix, IBM, 1MB OS-400, VAX VMS).

Удаленное управление или терминальный доступ нужны тогда, когда удаленный пользователь работает с приложениями, не оптимизированными для работы в сети, например с традиционными СУБД персональных компьютеров типа dBase, Paradox или Access. Иначе, когда такое приложение находится на одном компьютере, а файлы баз данных - на другом, в сети создается чрезмерно интенсивный трафик.

Централизованная схема удаленного управления требует установки в локальной сети предприятия специального программного продукта - сервера удаленного управления, например сервера WinFrame компании Citrix. На клиентских удаленных компьютерах также нужно установить дополнительное программное обеспечение - клиента удаленного управления.

Протоколы, используемые программами удаленного управления для передачи информации об обновлении экрана, нажатиях клавиш и перемещениях мыши, являются нестандартными - поэтому нужно устанавливать серверную и клиентские части удаленного управления от одного производителя. Например, пользователи программного клиента удаленного доступа Norton pcAnywhere не смогут дозвониться до хоста, работающего под управлением программ ReachOut, LapLink for Windows, Carbon Copy, Remotely Possible или Close-Up.

При терминальном доступе также желательно установить в центральной сети специальный продукт - терминальный сервер. Можно обойтись и без него, но тогда на каждый компьютер, к которому нужно подключиться в режиме удаленного терминала, нужно ставить модем и выделять ему отдельный телефонный номер. Терминальный сервер принимает запросы на связь с определенным компьютером и передает по локальной сети коды нажатия клавиш и символы, подлежащие отображению на экране пользовательского терминала. Для взаимодействия по локальной сети с многотерминальными ОС терминальный сервер использует стандартные протоколы эмуляции терминала, например telnet для Unix, DEC LAT для VAX VMS.

Почта

Почта является еще одним видом удаленного доступа. Почтовые шлюзы, доступные по коммутируемым телефонным линиям, и клиентское почтовое обеспечение удаленного доступа могут быть достаточными для удовлетворения потребностей многих обычных пользователей. Такие почтовые шлюзы позволяют удаленным пользователям или даже удаленным офисам звонить в почтовую систему центрального отделения, обмениваться входящими и исходящими сообщениями и файлами, а затем отключаться.

Продукты, предназначенные для этих целей, варьируются от клиентских программ для одного пользователя, таких как cc:mail Mobile фирмы Lotus, до полномасштабных шлюзов, которые организуют почтовый обмен между удаленными серверами и корпоративной локальной сетью (например, Exchange компании Microsoft).

Почтовые шлюзы могут быть полезны в случае, когда количество данных, которыми обмениваются удаленные пользователи с центральным офисом, не очень большое. Из-за того, что среднее время сессии пользователь - шлюз сравнительно невелико, шлюз центральной сети не должен поддерживать большое количество телефонных линий. Обычно почтовое соединение легко устанавливается, а стоимость программного обеспечения шлюза незначительна.

Шлюзы работают в автоматическом режиме без вмешательства человека. Если в удаленном офисе работают один или два сотрудника и им не нужен доступ к корпоративным данным в реальном масштабе времени, то почтовый шлюз может быть хорошим решением. Некоторые приложения автоматически принимают запросы в виде писем электронной почты, а затем посылают в таком же виде ответы. Так, например, работают многие СУБД.

Не только почта, но и другие приложения, написанные для локальной вычислительной сети, могут иметь специфические программные модули, предназначенные для удаленных соединений. Такие программы устанавливают соединения между собой с помощью нестандартных протоколов и часто увеличивают эффективность соединения за счет специальных приемов, например путем передачи только обновлений между удаленным компьютером и хостом. Примером продуктов этого класса являются программные системы коллективной работы.

Одним из самых популярных сегодня способов взаимодействия сетей, приложений и компьютеров является удалённый доступ. Существует несколько видов этой услуги, среди которых хочется выделить терминальный доступ. При таком доступе пользователь запускает на своём ПК клиент-серверные программы (например, 1С), установленные на удалённом компьютере, и видит на своём мониторе только результат их выполнения. Данный способ организации работы компании позволяет руководству контролировать и эффективно использовать время сотрудников, а также сократить расходы на администрирование пользователей, так как все приложения запускаются централизовано - на терминальном сервере.

Для чего нужен терминальный доступ к серверу?

В терминальном режиме можно поддерживать работу всего программного обеспечения компании. Наиболее востребованная возможность терминального доступа – доступ к приложениям Windows. На компьютерах пользователей используется программа-клиент, задача которой - подключаться к терминальному серверу. Для пользователя работа в любом приложении, запускаемом удалённо на сервере, выглядит точно так же, как если бы ПО было установлена на его компьютере.

Что изменится в работе компании после перехода на терминальный доступ?

  • Управление всеми лицензиями компании станет централизованным. Это приводит к единому виду рабочих мест и упрощает установку обновлений. Даже для обслуживания сотни рабочих мест нужен только один администратор.
  • Сотрудники получат возможность работать из любого удалённого места (из дома, командировки, отпуска) с теми же приложениями и данными, что и в офисе.
  • Работа клиент-серверных приложений станет более оперативной и надёжной. Например, быстрее будут выполняться задачи 1С. Связано это с тем, что улучшается связь между серверной и клиентской частями программы, так как сетевой трафик не покидает пределы центра обработки данных.
  • Возможен переход на тонкие клиенты. У компании больше нет необходимости держать на рабочих местах полноценные персональные компьютеры, для удалённого терминального доступа достаточно тонких клиентов (небольшие бездисковые устройства, которые намного проще обслуживать, чем ПК).
  • Экономия на трафике.Трафик передачи изображения удалённого экрана намного экономичнее в плане ширины и стоимости канала, чем трафик между клиентскими станциями и серверами.

Терминальный доступ к серверу имеет свои преимущества и для пользователя, и для администратора системы. Пользователи оценят более стабильную и быструю работу с корпоративными программами. Системные администраторы смогут быстрее закрывать задачи, связанные с обслуживанием рабочих мест (обновление программ, разворачивание новых рабочих столов и т.д.). Подключение к терминальному доступу Windows Server включает лицензии на использование терминального сервера и услугу резервирования данных.

Итак, переход на терминальный доступ даёт существенный прирост эффективности работы компании за счёт:

  • переноса данных с локальных компьютеров пользователей в общее информационное пространство терминального сервера;
  • возможности удалённой работы всех пользователей в том же формате и объёме, что и в офисе;
  • повышения эффективности администрирования пользователей, что существенно сокращает время простоя работников.

6.1. Общие сведения о технологии терминального доступа

Изначально терминальный режим работы появился и использовался на мэйнфреймах. Пользователи работали с терминалами, обеспечивавшими связь с терминальным сервером и отображение информации, полученной с главного компьютера. Все вычисления осуществлялись главным компьютером. На се- годняшний день суть терминального доступа не претерпела никаких идейных изменений. В современных схемах организации вычислительных процессов вместо специального аппаратного комплекса используются программы- клиенты, которые обеспечивают взаимодействие с сервером и отображение полученной от него информации. Всю вычислительную нагрузку также несет сервер.

Технология терминального доступа позволяет перенести вычислитель-

ные затраты с рабочих станций на сервер, решая ряд проблем:

Вся обработка данных выполняется на сервере, нет необходимости в се-

тевой передаче файлов, с сервера на рабочие станции передается лишь изме- ненное содержимое информационных окон текстовых редакторов или СУБД, что упрощает защиту сетевого трафика и позволяет использовать в качестве рабочих станций практически любые компьютеры с любой ОС, в том числе бездисковые станции;

Отсутствует необходимость предоставлять пользователям потенциально опасный сетевой доступ к хранящимся на сервере файлам данных;

Магнитные, а также внешние носители, на которых может оказаться полная или частичная копия защищаемых файлов данных, расположены толь- ко на сервере и могут полностью контролироваться администратором.

Предполагается следующая схема использования технологии терми- нального доступа. На сервере устанавливается служба терминального доступа, развертываются приложения, необходимые для работы пользователей. Сервер

терминального доступа не должен выполнять иных сетевых функций кроме обслуживания терминального режима, а именно, исключаются совместно предоставляемые сетевые ресурсы, включая принтеры. Перечень сетевых

служб, функционирующих на сервере и доступных из сети, ограничивается только терминальной службой и, при необходимости, службой, обеспечи- вающей шифрование сетевого трафика.

На рабочих станциях пользователей устанавливается клиент терминала и настраивается на подключение к терминальному серверу. Запуск клиента терминала может осуществляться либо из основной ОС, установленной на компьютере пользователя, либо из ОС, запускаемой с внешнего носителя

(дискеты или CD-ROM) или загружаемой с помощью сетевой карты удален-

ной загрузки.

В первом случае для работы с защищаемыми данными пользователь из основной ОС запускает клиента терминального доступа. При этом на компью- тере могут быть установлены средства защиты информации от несанкциони- рованного доступа. Преимуществом данного способа является возможность организации дополнительной защиты (шифрования) сетевого трафика путем использования протокола IPSec (в ОС Windows XP) либо специализированных СЗИ.

Во втором случае пользователь для работы с защищаемыми данными загружает компьютер со специально подготовленного носителя (CD-ROM или

дискеты), на который записывается ОС Linux с клиентом терминального сер- вера. Может быть применена бездисковая станция, загружаемая с сервера при помощи сетевого адаптера, разрешающего удаленную загрузку. Отрицатель-

ным свойством этого решения является невозможность применения дополни- тельных средств шифрования трафика. Причина заключается в том, что не из- вестны сертифицированные средства защиты информации, загружаемые с

внешнего носителя или по сети.

Для обработки защищаемых данных пользователь запускает программу-

клиента терминала, регистрируется на терминальном сервере с использовани-

ем рядовой учетной записи. Особенностью настройки терминального сервера является установка ряда запретов для пользователей, наиболее важным из ко- торых является запрет использования совместного буфера обмена. Благодаря данному запрету решается проблема несанкционированного копирования за- щищаемых данных на носители рабочих станций. Пользователь терминала может выделить и скопировать в буфер обмена терминальной Windows как файл с данными, так и содержимое информационного окна. Однако операцию вставки можно выполнить только в окне терминального сервера. В окне рабо- чей станции возможность вставки из буфера будет заблокирована.

Таким образом, копирование всей защищаемой информации либо ее части может быть осуществлено лишь на носители, физически подключенные

к серверу. Это накладывает некоторые ограничения на возможность экспор-

та/импорта данных, так как операции экспорта и импорта также осуществля-

ются только через носители, установленные на сервере. Основным преимуще- ством является то, что все носители, включая внешние, на которых может ока- заться полная или частичная копия защищаемых данных, расположены только на сервере под контролем администратора. Это упрощает централизованный антивирусный контроль и блокирует возможность появления вредоносных программ.

Проблема образования технологического «мусора» на рабочих станциях также решается автоматически. Для каждого терминального сеанса на сервере

создается временный каталог. Если установлены соответствующие настройки,

то по окончании сеанса этот каталог будет удален. Таким образом, технологи-

ческий «мусор» остается лишь на носителях терминального сервера.

Проблема передачи открытого сетевого трафика решается прежде всего тем, что в технологии терминального доступа вся обработка защищаемых данных выполняется на сервере, а на рабочие станции передается лишь изме- ненное содержимое информационных окон соответствующих приложений. Кроме того, возможно шифрование трафика средствами терминального серве- ра. Терминальный сервер поддерживает несколько уровней безопасности, ка- ждый из которых определяет направление шифруемого трафика и длину клю- ча, используемого при шифровании.

В состав Windows Server 2003 включена служба Microsoft Terminal Ser- vices (MSTS) . Она предоставляет возможность либо удаленно админист-

рировать сервер, либо превратить его в сервер приложений (терминальный

сервер). Кроме того, существует надстройка над данной службой, разработан-

ная компанией Citrix, которая вводит ряд дополнительных возможностей и увеличивает число поддерживаемых платформ.

Следует отметить, что сама реализация MSTS не свободна от недостат-

ков, которые потенциально могут быть применены злоумышленниками для нарушения безопасности данных. Так как все пользователи, подключающиеся к серверу в терминальном режиме, по сути, осуществляют интерактивный вход в систему, то они могут зарегистрироваться в системе с консоли сервера. Следовательно, использование терминального сервера предъявляет повышен- ные требования к администрированию и к выполнению необходимых настро- ек безопасности применяемого программного обеспечения.

Безопасность режима терминального доступа обеспечивается совокуп- ностью настроек ОС Windows Server 2003, серверной части MSTS и протоко- ла терминального доступа - RDP. В каждом из этих компонентов реализова-

ны различные механизмы защиты, но в то же время каждый компонент имеет собственные уязвимости, которые могут быть использованы злоумышленни- ками.

Основными группами уязвимостей ОС Windows Server 2003, которые представляются актуальными для защиты в терминальном режиме, являются:

Возможность сетевого доступа к обрабатываемой сервером информации;

Возможность расширения полномочий при осуществлении локального доступа.