През 2008 г. Ричард Столман, известен като основателят на безплатните софтуер, в интервю за The Guardian, каза, че „една от причините, поради които не трябва да използваме уеб приложения, за да извършваме собствени изчисления, е защото губим контрол над тях“. Обобщавайки думите на Столман, може да се твърди, че използването на всяка отдалечена услуга ограничава свободата на потребителя.

Иван Чижов
Началник отдел Развитие
средства за защита "Inline Technologies",
Доцент доктор.

История на терминалния достъп

Всичко започна с продукта WinFrame, млада компания Citrix по това време. Тази програма не беше нищо повече от Windows NT 3.51 с многопотребителска поддръжка. Малко по-късно, през 1998 г., на базата на WinFrame, Microsoft разработи първото Windows NT 4.0 Terminal Server Edition, което позволява на потребителите да дистанционна работа. Тоест, програмите се изпълняват на определен сървър и само картината се излъчва на потребителя на работната станция. Дистанционната работа на потребителите се основава на протокола RDP 4.0, който по-късно стана широко разпространен. Това доведе до факта, че хакерите започнаха да обръщат специално внимание на търсенето на уязвимости в него, които се оказаха доста. AT определен моментадминистраторите започнаха да изоставят използването на този протокол, страхувайки се, че сървърите ще бъдат хакнати. И само възможността за използване на протокола TLS за защита му даде втори живот на RDP.

RDP протокол

Текущата версия на RDP протокола е 7.1. Коригира много грешки, недостатъци и уязвимости на по-младите версии. Сред основните му характеристики са:

Ограничаването на свободата е значителен недостатък за потребителя, но предимство за собственика на услугата, тъй като той получава възможността да упражнява пълен контрол върху действията на потребителя в системата. Това води до идеята, че терминалният достъп може да бъде отличен инструмент за създаване на система за защита на частни автоматизирани системи.

  • възможност за публикуване на приложения за потребителя;
  • поддръжка за удостоверяване на мрежовия слой;
  • увеличаване на производителността;
  • намаляване на забавянето при възпроизвеждане на аудио и видео.

Благодарение на разширената функционалност за наблюдение на действията на потребителите, протоколът RDP има "трета вятър" - възможност за организиране на защитен терминален достъп за отдалечени потребители до автоматизирани системи с намалени разходи за инструменти за защита и тяхната по-нататъшна поддръжка.

Трябва да се отбележи, че заедно с RDP са се развили и други протоколи за достъп до терминал. Един от най-старите и доста популярни протоколи е протоколът ICA, който е в основата на продуктовата линия на Citrix. Основният му недостатък е, че е собственост на Citrix, така че е почти невъзможно да се проведе независимо проучване на протокола за наличие на уязвимости и недокументирани функции в него. И такива изследвания са необходими, например, ако системата обработва PD от клас K1. В тази връзка не винаги е възможно този протокол да се използва навсякъде.


От гледна точка на информационната сигурност технологията за терминален достъп има редица привлекателни характеристики:

  • терминали или тънки клиенти, от които можете да получите достъп до системните ресурси, нямат харддиск;
  • използвайте специализирана ОС, една от задачите на която е да организира сесия с терминален сървър, за да работи потребителят;
  • не съдържат движещи се части;
  • се изпълняват в специализирани корпуси с изцяло пасивно охлаждане.

Идеята за терминален достъп възникна отдавна, когато компютрите бяха бавни и заемаха огромни стаи. През 1970 г. един от създателите на мрежата ARPANET - дядото на съвременния Интернет - каза, че някой ден всеки човек на Земята ще бъде свързан към мрежа, от която ще може да получава не само данните, от които се нуждае, но и програми за обработката им. Още по-рано, през 1961 г., Джон Маккарти, основателят на функционалното програмиране и изкуствения интелект, предположи, че в бъдеще компютърната мощност и дори приложенията могат да се продават по същия начин, както в областта на комунални услугипродажба на ток или вода.

Това означава, че потребителят, работещ на терминала, не може да напише нищо, тъй като няма твърд диск. Използваната ОС може да бъде намалена до една функция - установяване на RDP сесия, която ви позволява значително да ограничите действията работна станция. Свързване към терминал външни дисковеняма да позволи на потребителя да записва информация в тях, тъй като операционната система няма функционалността да монтира такива устройства на сървъра на приложения. Здравината на терминала усложнява достъпа на потребителя до вътрешността му. Операционната система и софтуерът, които терминалът използва, практически не изискват актуализации, така че могат да бъдат коригирани, сертифицирани и забравени, без да харчите пари за сертифициране на нови версии и актуализации. Купувайки такъв софтуер, можете да сте сигурни, че промените и актуализациите няма да са необходими дълго време. В допълнение, споменатата здравина и известна "статичност" на терминала позволяват да не се използва антивирусен софтуер за защита на терминалните станции.

Използването на протокола RDP прави възможно внедряването на система, състояща се от различни вериги за сигурност. Помислете например за следния проблем: има няколко работни станции, които обработват конфиденциална информация. Поради служебни задължения потребителите, наред с други неща, изискват достъп до интернет. В същото време собственикът на системата не иска потребителите едновременно да работят в глобалната мрежа и да обработват поверителни данни, поради което е необходимо да се изключат работните станции от интернет и да се организира достъп до интернет от отделни специални работни станции. Как използването на RDP може да ни помогне да разрешим този проблем?

Да вземем два сървъра за приложения и да инсталираме на един интернет браузър всички програми, които са необходими на потребителите за работа в Интернет, а на другия инсталираме програми за обработка на поверителна информация. Вместо работни станции ще инсталираме терминали (тънки клиенти) за потребителите. И да предположим, че операционната система на терминала е Linux с поддръжка на два десктопа. И те са напълно изолирани един от друг и обменът на информация между тях е невъзможен. Нека установим RDP сесия към първия сървър на приложения на първия работен плот и към втория на втория. По този начин, на един и същ терминал на един работен плот, потребителят седи в Интернет, а от друга - обработва поверителна информация. Собственикът на системата спи спокойно, без да се тревожи за възможно изтичане на поверителни данни.

Горното ясно демонстрира, че терминалният достъп е ефективно решение за хора, които мислят за сигурността на своята информация и не искат да харчат много пари за изграждане на интегрирана система за сигурност.

Типична архитектура на система за защита на терминален достъп

  • използване на протокола SSLTTLS за защита на данните;
  • активирайте удостоверяване на потребителя, например чрез домейн чрез потребителско име и парола.

Този подход обаче често не е оправдан. Това важи особено за системи, в които се прилагат повишени изисквания за информационна сигурност.

Нека разгледаме типична архитектура за сигурност на система, изградена на базата на технология за терминален достъп (фиг. 1).

Да приемем, че имаме група от терминални сървъри за приложения и набор от клиентски устройства (терминали), които комуникират чрез протокола RDP и предоставят възможност за използване на приложения, от които потребителите се нуждаят. Как да направим описаната система защитена?

Изискване за контрол на достъпа

Системата трябва да въведе механизъм за ограничаване на достъпа до ресурси. Тя трябва да се основава на задаване на правила за достъп въз основа на груповите характеристики на потребителите, програмите и обектите, които изпълняват. Обикновено се вземат предвид следните разрешения: четене, запис, изтриване и изпълнение.

Изисквания към информационна сигурностсистеми
Всички изисквания могат да бъдат разделени на пет големи групи:
1) за идентификация и удостоверяване;
2) за контрол на достъпа;
3) на регистрация и счетоводство;
4) за осигуряване на почтеност;
5) за защита на предаваната и съхранявана информация.

Ресурсите, за които обикновено се изпълняват функции за контрол на достъпа, включват: файлове и директории, разположени както на локално, така и на мрежови устройства(включително споделени ресурси); вградени и външни устройства; вградени входно-изходни портове; клонове и записи в регистъра.

Контролът на достъпа трябва да бъде непосилен, т.е. ресурсите, до които не е изрично дефиниран достъп, трябва да бъдат недостъпни за потребителя. Контролът на достъпа трябва да се прилага за всички потребители без изключение. Никой потребител не трябва да има администраторски права, като има достъп до всички ресурси, заобикаляйки подсистемата за защита.

Изисквания за идентификация
В типична средностатистическа система се изисква идентификация и удостоверяване на субектите на достъп при влизане с потребителско име и парола. Освен това трябва да се извърши идентификация на терминали, външни устройства на терминали чрез логически имена. Изисква се идентифициране на програми, директории, файлове, записи и полета за записи по име.

В допълнение, много често в системите има проблем с контролирането на връзката на външни носители, като USB флаш устройства. Потребителят може да използва само проверено флаш устройство в системата. Не може да носи от вкъщи и да го използва.

Системата трябва да осигурява контрол на достъпа до приложенията. Потребителите имат достъп до тези, които са им изрично зададени от администратора по сигурността и не са достъпни за тези, които не са назначени да се изпълняват. В идеалния случай те дори не трябва да се виждат от потребителя.

В случай на използване на RDP достъп възниква ситуация, когато приложенията на различни потребители могат да работят на един и същ сървър. В тази връзка е необходимо да се осигури надеждна изолация на приложения, работещи под един потребител, от приложения, работещи под друг, на същия сървър на приложения.

Трябва също така да попречите на потребителя да зарежда собствената си операционна система на терминала.

Изисквания за регистрация и счетоводство

Изисквания за защита на предаваната и съхраняваната информация
В системата това е най-простото, но в същото време и най-сложното изискване. Обикновено системите изискват криптиране на всички данни, предавани по незащитени комуникационни канали.

Обикновено системата за регистрация и счетоводство се подчинява на:

  • свързване на потребителите към системата;
  • стартиране на приложение;
  • достъп до обекти с контролиран достъп;
  • създаване на защитени обекти за достъп;
  • промяна на правомощията на субектите на достъп.

След почистване, първият запис в регистрационния протокол трябва автоматично да запише факта на почистване, като посочи датата, часа и информацията за лицето, извършило тази операция. Това изискване е за администраторски контрол. Можете да проверите работата на администратора в системата само чрез анализ на регистъра на събитията, така че имате нужда от инструмент, който да не позволи на безскрупулни администратори да променят журнала за одит, включително да го изчистят.

Изисквания за почтеност

  1. Интегритет софтуерни инструментизащита.
  2. Чрез неизменност на софтуерната среда.

В същото време неговата цялост може да бъде осигурена от липсата на преводачи от езици на високо ниво и отстраняване на грешки в системата в системата. Този механизъм обаче не е достатъчно ефективен, тъй като е възможно да се разбие софтуерната среда, например чрез въвеждане на някои програма на трета странав операционната система, заобикаляйки системата за контрол на достъпа. Оказва се, че целостта може да бъде осигурена само във връзка с идеална система за контрол на достъпа. В някои случаи това обвързване не е желателно. И след това обикновено прилагайте хардуер- софтуерни модулиНадеждно зареждане (APMBD). Поради факта, че системата трябва да се инсталира собствени програми, трябва да преконфигурирате този хардуер всеки път или да упражнявате контрол само върху ядрото на ОС. В случай на използване на терминал вместо работна станция, обикновено можете да поправите трудно операционната система.

Архитектура на системата за защита

Записването на резултатите от регистрацията и отчитането в електронен вид в регистрационния протокол трябва да бъде достъпно само за четене и само за администратора по сигурността. В същото време той може само да преглежда, копира и изчиства напълно регистрационния протокол.

Как да строим с тези изисквания ефективна системазащита на терминалния достъп? Подходът тук трябва да е комплексен. Поради факта, че терминалният достъп предполага централизация, трябва да се проследи изразена централизация и в архитектурата на системата за защита.

От това следва, че системата трябва да има една входна точка: някаква услуга, която управлява системата за защита и изпълнява функциите за идентифициране на потребители и компоненти на системата. От изискванията за целостта на терминалната ОС следва решение, при което има много малък размери се съхранява на специален сървър. След като терминалът е свързан и потребителят и терминалът са удостоверени в системата, ОС се прехвърля към него чрез комуникационен канал, тоест се използва мрежово зареждане. Това проверява целостта на ОС.

Изискванията и архитектурата на терминалния достъп предполагат, че системата трябва да има поне следните компоненти:

  • услуга за удостоверяване - единна точка на влизане в системата - централна точка;
  • конзола за системен администратор - управление на системата за защита;
  • услуга за балансиране на натоварването - за да се изгради система за защита на индустриално ниво, всички услуги за сигурност трябва да бъдат групирани;
  • услуга за разпространение на терминални ОС - магазини сегашна версиятерминална ОС;
  • охранителен модул - минимум необходим фърмуертерминал за започване на взаимодействие със системата;
  • терминална ОС;
  • компонент "Сървър за приложения" - изпълнява по-специално функциите за ограничаване на потребителския достъп в системата;
  • Модули за криптиране на IP трафик - необходими за осигуряване на криптиране на данни.

Въвеждането на инструменти за терминален достъп напоследък предизвика значителен интерес сред ръководителите на много компании, тъй като тази категория продукти, ако се прилагат правилно, могат да осигурят значително намаляване както на разходите за поддръжка на корпоративния софтуер, така и на разходите за редовни актуализации на хардуера. В тази статия ще говорим за това какво може да даде използването на тази категория продукти на малки компании.

Какво е терминален достъп

някога, когато човечеството още не е осъзнавало персонални компютри, типичната архитектура за всяко корпоративно приложение е тази, която използва мейнфрейм (или, в случай на по-бедна компания, миникомпютър) и редица неинтелигентни външни терминални устройства, управлявани от същия мейнфрейм (или миникомпютър). Такъв подход, основан на пълната централизация на ресурси, данни и приложения, имаше определени предимства, въпреки всичките си недостатъци и високата цена на компютърната технология от онези години, той, на първо място, направи възможно решаването на проблеми, които потребителите на първите лични компютрите никога не са мечтали, и второ, се отличаваше с относителна (естествено, за онова време) лекота на работа, тъй като цялото изчислително оборудване беше физически разположено на едно място и потребителите съвместно използваха общ процесор, памет, външни устройства, многозадачна операционна система и набор от приложения.

Съвременните инструменти за терминален достъп, използвани на персонални компютри, специализирани терминални работни станции и преносими устройства, се основават на подобен принцип на централизация на изчисленията и колективизация на ресурсите. В този случай потребителят стартира клиентската част на инструмента за терминален достъп на работната станция и го използва за достъп до отдалечения сървърен компютър, съдържащ съответната сървърна част на този инструмент. При успешна автентификация, сървърната част на инструмента за терминален достъп създава собствена сесия за потребителя, в която потребителят ръчно или автоматично (в зависимост от настройките на сесията и правата за достъп) стартира нужните му приложения в адресното пространство на сървъра. Потребителският интерфейс на приложенията, стартирани по този начин, е достъпен за потребителя на работната станция в прозореца на клиентската част на инструмента за терминален достъп и той може да управлява това приложение с помощта на клавиатурата и мишката на работната станция, информация за натиснатите клавиши и движението на мишката (и често съдържанието на клипборда) се прехвърлят към сесията този потребителна сървъра и промените се изпращат обратно на потребителски интерфейсприложения. Когато потребителска сесия приключи, всички работещи в нея приложения се затварят.

Разходи за терминален достъп и ИТ инфраструктура

Предимствата на използването на терминален достъп стават очевидни при наличие на голям брой работни станции или при повишени изисквания за сигурност и централизация на съхранението на данни. Ако достъпът до приложенията се извършва с помощта на инструмент за терминален достъп, само операционната система и клиентската част на този инструмент ще бъдат инсталирани на работните станции, докато самите приложения, с които работят потребителите, са инсталирани на терминалния сървър. В този случай разходите за поддръжка на работните станции са значително по-ниски, отколкото когато са напълно оборудвани с клиентски части на корпоративни приложения, офис пакети, пощенски клиентии други продукти, използвани в компанията, като изискванията към хардуера на такива работни станции са много умерени. Освен това има специални работни станции за Windows контрол CE, проектиран да работи в този режим. Вярно е, че изискванията към хардуера на терминалния сървър могат да бъдат доста високи в зависимост от броя на едновременните потребители. Но модерни съоръжениятерминален достъп, като правило, могат да работят със сървърни клъстери и да извършват балансиране на натоварването.

Докато икономиите на разходи за придобиване, актуализиране и поддръжка на работни станции могат да бъдат изчислени доста лесно, спестяванията, свързани с допълнителна сигурност за достъп до корпоративни данни, не са очевидни веднага. Тъй като приложенията се изпълняват на отдалечен сървър, работната станция на крайния потребител няма нито клиентската част на сървърната СУБД, използвана в компанията, още по-малко достъп до настолни СУБД файлове, и това значително намалява риска от неоторизиран достъп до корпоративни данни, освен чрез обикновени средства (т.е. с помощта на корпоративно приложение) няма да имате достъп до тях.

Водещи доставчици на терминален достъп

Microsoft

Най-простите инструменти за терминален достъп, наречени терминални услуги, са част от сървъра Windows версии. Terminal Services се предлага за Windows NT Server 4.0, Terminal Server Edition (първата версия на Terminal Access, създадена с Citrix), Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server, Windows сървър 2003 (всички издания).

Инструменти за управление на работните параметри на терминала Windows услугиотносително проста. Когато използвате Windows Server 2003, Enterprise Edition, можете да балансирате натоварването на сървърите; възможно динамично управление на параметрите на сесията; разделителни способности на екрана до 1600X1200 и режим True Color са достъпни за клиентските сесии, а клиентите на Windows Server 2003 Terminal Services имат достъп до своите локални ресурси ( външни устройства, дискове и т.н.) от терминална сесия. Това всъщност са всички възможности на Windows Terminal Services, налични днес. Тези услуги обаче често се използват от мрежови администратори за дистанционно управление на сървъри и от софтуерни компании и отдели за достъп до приложения, инсталирани на други компютри.

Лицензирането на достъп чрез терминални услуги се извършва по следния начин. Всички устройства, които имат достъп до терминалните услуги, трябва да имат Windows Server 2003 Terminal Server Device License (CAL), който предоставя достъп до Windows Server 2003 за устройството, или потребителят трябва да има Windows Server 2003 Terminal Server User CAL. В допълнение към това има Windows лиценз Server 2003 Terminal Server External Connector License, който позволява анонимни едновременни връзки към терминални услуги през Интернет и е предназначен за доставчици на приложения.

Citrix

Citrix с право се счита за пазарен лидер в терминалния достъп днес. Тази компания произвежда инструменти за терминален достъп за Windows и UNIX; в същото време този набор от инструменти се различава от терминалните услуги на Windows (лицензирани по едно време от същия Citrix) в много широк диапазон както от опции за конфигуриране на клиентска сесия, така и от инструменти за управление на терминални сървъри и други мрежови ресурси, включени в използването на достъп до терминал , както и изчерпателен набор от свързани инструменти и технологии, интегрирани помежду си, например инструменти за управление на пароли, защитен достъп, роуминг на терминални връзки при преместване на клиент от едно място на друго. По този начин, като използвате инструментите, включени в Citrix Access Suite, работещ върху Windows Terminal Services, можете да зададете много широк диапазон от параметри на сесията (размер на прозореца, разделителна способност на екрана, брой цветове, правила за работа с аудио данни), до създаване на сесии, които се изпълняват в прозоречен режим само на едно конкретно приложение и приключват в края на работата му, за извършване на детайлен мониторинг на цялата разпределена система и анализ на използването на ресурсите в потребителските сесии, за осъществяване на оптимално управление на т.н. наречени сървърни ферми сървърни клъстери, съдържащи приложения от същия тип, чрез балансиране на натоварването им.

Обърнете внимание, че когато използвате технологиите на Citrix (по-специално ICA Independent Computing Architecture), по мрежата се предава само информация за въвеждане на мишката и клавиатурата, както и промени в изображението на екрана, което ограничава честотната лента, необходима за сесията, до по-малко от 20 kbps.

Citrix Access Suite поддържа достъп до терминални сървъри от DOS, Windows, Mac OS, UNIX, Linux, OS/2, Java работни станции от браузъри, използващи плъгини на Netscape или Active X контроли за Internet Explorer, както и от широка гама мобилни устройства.

Съпътстващи продукти

Започвайки да използват терминален достъп, компаниите често се сблъскват с други предизвикателства, като управление на достъпа до приложения, множество потребителски пароли, защита на предаваните данни, предоставяне на достъп, който не зависи от инфраструктурата и вида на устройството, взаимодействие на потребителите помежду си и ефективна поддръжка на техните ИТ услуги. За тази цел може да се нуждаят от инструменти за управление на пароли, организиране на конференции, дистанционно управление на работни станции и техния интерфейс. Всички тези продукти са налични като част от Citrix Access Suite, чието пускане ще ни позволи да говорим за напълно интегрирано решение, което предоставя единна инфраструктура за потребителски достъп до приложения.

Терминален достъп за малки фирми

Традиционно се смяташе, че инструментите за терминален достъп трябва да се прилагат в големи предприятия с голям брой еднотипни работни станции, а докладите за най-известните проекти за въвеждане на такива инструменти често включват десетки хиляди работни места и огромни бюджети. Въпреки това има продукти в тази категория, които има смисъл да бъдат внедрени в малки и средни предприятия.

От новостите в тази област, на първо място, отбелязваме фокусирани върху този сегментпазарен продукт Citrix Access Essentials. Този продукт може да служи на компании, използващи платформата Microsoft Windowsс броя на крайните работни станции не повече от 75 (включително преносими и мобилни устройства) и отговаря на изискванията на малки компании, ще бъде сравнително евтин за придобиване и внедряване поради евтините лицензи (по-малко от $ 250 на работно място, което вече включва лиценз за използване на Windows Terminal Services Windows Terminal Server Client Access License) и лекотата на внедряване и администриране.

Технически характеристики на Citrix Access Essentials

Citrix Access Essentials е сървърно приложение, което работи на Windows Server 2003 и осигурява достъп до приложения, инсталирани на този сървър чрез уеб интерфейс. Този продукт изисква един сървър с операционна Microsoft система Windows Server 2003 Standard или Enterprise Edition, мрежова връзкамежду устройствата на потребителите и сървъра и уеб браузър на всяко свързано устройство.

Citrix Access Essentials поддържа два режима на работа: работа с един сървър (Фигура 1) и работа с помощта на хардуера Citrix Access Gateway (Фигура 2). В първия случай отдалечените потребители имат достъп до терминалния сървър през защитна стена, във втория случай чрез виртуален сървър. частна мрежа Access Gateway VPN (в този случай терминалният сървър е инсталиран в DMZ, което осигурява повишена сигурност на достъпа до приложенията).

За да осигури достъп до сървъра, Citrix Access Essentials поддържа няколко метода за удостоверяване на потребителя, включително използването на криптиране.

Внедряването на сървъра Citrix Access Essentials е възможно най-просто - за тази цел в продуктовия пакет е включена помощната програма Quick Start, която представлява съветник за инсталиране и конфигуриране на сървъра, регистриране на лицензи, генериране на комплекти за разпространение на клиентски части и публикуване приложения на сървъра. Клиентските части са налични за всички версии на Windows, Windows CE, Pocket PC 2003, Mac OS X, Linux, Solaris и устройства, които поддържат Java.

Инструментите за управление на сървъра, промяна на конфигурацията и управление на потребителския достъп, които са част от Citrix Access Essentials, също са възможно най-прости: според мен овладяването им не трябва да създава никакви затруднения на специалистите, участващи в администрирането на мрежи на малки компании ( Фиг. 3). Те ви позволяват да извършвате почти всяка операция, до настройка външен видинтерфейс на клиентската част на този продукт (фиг. 4). В допълнение, продуктът е снабден с много подробна документация, описваща всяко действие на администратора, от инсталирането на сървъра до оптимизирането на неговата производителност, конфигуриране на настройките за сигурност и достъп до външни устройства.

С други думи, този продукт наистина е създаден, като се вземат предвид характеристиките на малките компании, включително ограничените средства за използване на услуги на висококвалифицирани (и следователно скъпи) ИТ специалисти.

Лицензиране

Citrix Access Essentials е лицензиран, както следва. Продуктът се предлага като поименни лицензи, закупени за всеки потребител, който ще използва софтуера. Този продукт не поддържа успоредно използване или лицензиране на устройство или сървър. Продуктът може да бъде закупен със или без абонаментно предимство.

Когато използвате Citrix Access Essentials (както при всеки друг инструмент за павилионен достъп), трябва също да спазвате правилата за лицензиране на софтуер, който ще бъде достъпен в павилионен режим Съвременните лицензионни споразумения за софтуер обикновено предоставят конкретни правила за използване на продукти в павилионен режим. По-специално, често при работа в този режим броят на закупените лицензи трябва да бъде равен на броя на свързаните работни станции, въпреки факта, че на сървъра действително е инсталирано само едно копие на приложението.

Citrix Access Essentials и намаляване на разходите

Какви разходи могат да избегнат малките и средни предприятия чрез внедряване на Citrix Access Essentials? Стандартните предимства от използването на инструменти за терминален достъп, като например по-ниски разходи за поддръжка на същия тип работни станции, техните Хардуер, в случай на малки предприятия на пръв поглед не изглеждат толкова очевидни. Но в крайна сметка бюджетът на такива предприятия е малък, така че възможността да се избегнат ненужни разходи за поддръжка, дори и не толкова значителни, колкото в големите предприятия, е още по-актуална за малките компании. И осигуряването на допълнителна сигурност за достъп до корпоративни данни за малкия бизнес може да бъде жизненоважно, ако данните изтекат, последствията за малките компании могат да бъдат много по-сериозни, отколкото за големите предприятия.

От разходите, които малките компании, внедрили Citrix Access Essentials, ще могат да избегнат, на първо място е необходимо да се разпределят разходите за трансформиране на съществуващата ИТ инфраструктура и въвеждане на нови решения при разширяване на бизнеса им, например при откриване на нови офиси и клонове. В този случай внедряването на терминален достъп до наличните в централния офис корпоративни информационни системи (като системи за управление на предприятието, склад, счетоводство или досиета на персонала) обикновено се оказва много по-просто и по-евтино от разполагането на независима инфраструктура в клона и организиране на синхронизиране на данни с централния офис. Освен това сравнително голяма част от съвременния малък и среден бизнес наемат т. нар. мобилни служители, осигуряването на които комуникацията с офисите, сигурността на достъпа до корпоративните приложения и данни, както и контролът на тези процеси е много трудна задача , което също ще помогне на Citrix Access Essentials. Като се имат предвид потенциалните спестявания на разходи, споменати по-горе, ИТ лидерите в по-малките компании трябва да разгледат по-отблизо този продукт, тъй като може да е в състояние да реши проблемите, с които се сблъскват някои от тях.

Друга често срещана опция за отдалечен достъп е два варианта на почти един и същи режим - дистанционнои терминален достъп. С този метод отдалеченият компютър се превръща на практика във виртуален терминал на хост компютъра, който може или не може да бъде свързан към мрежата. Тази опция ви позволява да стартирате всяко приложение на хост компютъра, както и достъп до всякакви данни на този хост. Ако хост компютърът е свързан към мрежата, тогава неговите отдалечени потребители стават пълноправни членове на мрежата, действайки като потребители на хост компютъра.

Вече беше казано по-горе, че единствената разлика между дистанционно управление и терминален достъп е, че по време на дистанционно управление потребителят се свързва с операционна система, която не е проектирана да поддържа многотерминален режим (MS-DOS, Windows 3.1, Windows 95/98 , Windows NT, OS / 2 Warp) и се осъществява терминален достъп до операционна система, за които мултитерминалният режим е основен (Unix, IBM, 1MB OS-400, VAX VMS).

Дистанционно управление или терминален достъп са необходими, когато отдалечен потребител работи с приложения, които не са оптимизирани за работа в мрежа, като традиционните СУБД за персонални компютри като dBase, Paradox или Access. В противен случай, когато такова приложение е на един компютър, а файловете на базата данни са на друг, мрежата генерира прекомерен трафик.

Централизираната схема за дистанционно управление изисква инсталирането на специален софтуерен продукт в локалната мрежа на предприятието - сървър за дистанционно управление, например WinFrame сървър от Citrix. На клиентски отдалечени компютри също трябва да инсталирате допълнителен софтуер - клиент за дистанционно управление.

Протоколите, използвани от програмите за дистанционно управление за предаване на информация за актуализации на екрана, натискания на клавиши и движения на мишката, са нестандартни - така че трябва да инсталирате сървърни и клиентски части за дистанционно управление от един и същи производител. Например потребителите на софтуерния клиент за отдалечен достъп Norton pcAnywhere няма да могат да се свързват с хост, работещ с ReachOut, LapLink за Windows, въглеродно копие, възможно от разстояние или близък план.

При терминален достъп също е желателно да се инсталира специален продукт в централната мрежа - терминален сървър. Можете да го направите без него, но тогава за всеки компютър, към който искате да се свържете в режим на отдалечен терминал, трябва да инсталирате модем и да разпределите отделен телефонен номер. Терминалният сървър получава заявки за комуникация с определен компютър и предава по локалната мрежа кодове за натискане на клавиши и символи, които да бъдат показани на екрана на потребителския терминал. За да комуникира с многотерминални операционни системи през локална мрежа, терминалният сървър използва стандартни протоколи за емулация на терминал, като telnet за Unix, DEC LAT за VAX VMS.

поща

Пощата е друг вид отдалечен достъп. Комутируемите пощенски шлюзове и пощенските клиенти за отдалечен достъп може да са достатъчни, за да отговорят на нуждите на много хора обикновени потребители. Тези пощенски шлюзове позволяват на отдалечени потребители или дори отдалечени офиси да се свързват с пощенската система на централния офис, да обменят входящи и изходящи съобщения и файлове и след това да прекъсват връзката.

Продуктите, предназначени за тази цел, варират от клиентски програми за един потребител като cc:mail Mobile на Lotus до пълноценни шлюзове, които улесняват обмена на поща между отдалечени сървъри и корпоративни локална мрежа(например Exchange на Microsoft).

Шлюзовете за поща могат да бъдат полезни, когато количеството данни, които отдалечените потребители обменят с централния офис, не е много голямо. Тъй като средното време на сесия потребител-шлюз е сравнително кратко, шлюзът на основната мрежа не трябва да поддържа голям брой телефонни линии. Обикновено пощенската връзка е лесна за настройка и цената на софтуера на шлюза е незначителна.

Шлюзовете работят в автоматичен режимбез човешка намеса. Ако един или двама служители работят в отдалечен офис и не се нуждаят от достъп в реално време до корпоративни данни, тогава пощенският шлюз може да бъде добро решение. Някои приложения автоматично приемат заявки под формата на имейли електронна пощаи след това изпратете същите отговори. Така например работят много СУБД.

Не само поща, но и други приложения, написани за местни компютърна мрежа, може да има специфични софтуерни модули, предназначени за отдалечени връзки. Такива програми установяват връзки помежду си чрез нестандартни протоколи и често повишават ефективността на връзката чрез специални трикове, като например предаване само на актуализации между отдалечения компютър и хоста. Пример за този клас продукти са софтуерни системиколективна работа.

Един от най-популярните начини за взаимодействие на мрежи, приложения и компютри днес е отдалечен достъп. Има няколко вида на тази услуга, сред които бих искал да подчертая терминалния достъп. С този достъп потребителят стартира на своя компютър клиент-сървър програми (например 1C), инсталирани на отдалечен компютър, и вижда на монитора си само резултата от тяхното изпълнение. Този начин на организация на работата на компанията позволява на ръководството да контролира и ефективно да използва времето на служителите, както и да намали разходите за администриране на потребителите, тъй като всички приложения се стартират централно - на терминалния сървър.

Защо ви е необходим терминален достъп до сървъра?

В терминален режим можете да поддържате работата на целия софтуер на компанията. Най-търсената функция за терминален достъп е достъп до Windows приложения. На компютрите на потребителите се използва клиентска програма, чиято задача е да се свърже с терминалния сървър. За потребителя работата във всяко приложение, стартирано дистанционно на сървъра, изглежда точно така, както ако софтуерът е инсталиран на неговия компютър.

Какво ще се промени в работата на компанията след преминаването към терминален достъп?

  • Управлението на всички фирмени лицензи ще стане централизирано. Това води до унифициран изглед на заданията и улеснява инсталирането на актуализации. Дори за да обслужва стотици работни места, е необходим само един администратор.
  • Служителите ще могат да работят от всяко отдалечено място (от дома, командировки, почивки) със същите приложения и данни, както в офиса.
  • Работата на приложенията клиент-сървър ще стане по-ефективна и надеждна. Например задачите на 1C ще бъдат изпълнени по-бързо. Това се дължи на факта, че връзката между сървърната и клиентската част на програмата се подобрява, тъй като мрежовият трафик не напуска центъра за данни.
  • Възможна е миграция към тънки клиенти. Компанията вече няма нужда да поддържа пълноценни персонални компютри на работните си места; за отдалечен терминален достъп е достатъчно тънки клиенти(малки бездискови устройства, които се поддържат много по-лесно от персонални компютри).
  • Спестете трафик.Трафикът за предаване на изображения на отдалечен екран е много по-икономичен по отношение на честотната лента и честотната лента, отколкото трафика между клиентски станции и сървъри.

Терминалният достъп до сървъра има своите предимства както за потребителя, така и за системния администратор. Потребителите ще оценят по-стабилни и бърза работас корпоративни програми. Системни администраторище може бързо да затваря задачи, свързани с поддръжката на работни места (актуализиране на програми, внедряване на нови настолни компютри и т.н.). Свързване към терминал Windows достъпСървърът включва лицензи за използване на терминален сървър и услуга за архивиране на данни.

И така, преходът към терминален достъп дава значително увеличение на ефективността на компанията поради:

  • прехвърляне на данни от локални компютрипотребители към общото информационно пространство на терминалния сървър;
  • възможности дистанционна работавсички потребители в същия формат и обем като в офиса;
  • повишаване на ефективността на администрирането на потребителите, което значително намалява времето на престой на работниците.

6.1. Главна информацияотносно технологията за терминален достъп

Първоначално терминалният режим на работа се появява и се използва на мейнфрейми. Потребителите работеха с терминали, които осигуряваха комуникация с терминалния сървър и показване на информация, получена от хост компютъра. Всички изчисления бяха извършени от главния компютър. Към днешна дата същността на терминалния достъп не е претърпяла никакви идеологически промени. В съвременните схеми за организиране на изчислителни процеси, вместо специален хардуерен комплекс, клиентски програми, които осигуряват взаимодействие със сървъра и показват получената от него информация. Цялото изчислително натоварване също се носи от сървъра.

Технологията за терминален достъп ви позволява да прехвърляте изчисления

високи разходи от работните станции до сървъра, решавайки редица проблеми:

Цялата обработка на данни се извършва на сървъра, няма нужда от

Прехвърляне на файлове, само промененото съдържание на информационните прозорци се прехвърля от сървъра към работните станции текстови редакториили СУБД, което опростява защитата на мрежовия трафик и ви позволява да използвате почти всеки компютър с всяка ОС като работни станции, включително бездискови станции;

Няма нужда да предоставяте на потребителите потенциално опасен мрежов достъп до файлове с данни, съхранявани на сървъра;

Магнитни и външни носители, които могат да съдържат пълно или частично копие на защитени файлове с данни, се намират само на сървъра и могат да бъдат напълно контролирани от администратора.

Предполага се следната схема за използване на технологията за терминален достъп. Услугата за терминален достъп е инсталирана на сървъра, приложенията, необходими за работата на потребителите, са разположени. сървър

терминалният достъп не трябва да извършва други мрежови функцииразлични от услуги в терминален режим, а именно споделени мрежови ресурси, включително принтери, са изключени. Списък на мрежата

услуги, изпълнявани на сървъра и достъпни от мрежата, е ограничено само до терминална услуга и, ако е необходимо, услуга, която осигурява криптиране на мрежовия трафик.

Терминален клиент е инсталиран на потребителски работни станции и конфигуриран да се свързва с терминален сървър. Терминалният клиент може да бъде стартиран или от основната операционна система, инсталирана на компютъра на потребителя, или от операционна система, стартирана от външен носител

(флопи или CD-ROM) или с възможност за стартиране мрежова картаотстранен-

Изтегли.

В първия случай, за да работи със защитени данни, потребителят от основната операционна система стартира клиент за терминален достъп. В същото време на компютъра могат да бъдат инсталирани средства за защита на информацията от неоторизиран достъп. предимство този методе възможността за организиране допълнителна защита(шифроване) мрежов трафик чрез използване IPSec протокол(в Windows XP OS) или специализирани средства за защита на информацията.

Във втория случай, за да работи със защитени данни, потребителят зарежда компютъра от специално подготвен носител (CD-ROM или

флопи дискове), на които е записана операционната система Linux с клиента на терминалния сървър. Може да се използва бездискова станция, заредена от сървъра с помощта на мрежов адаптер, което позволява дистанционно изтегляне. отрицателен-

Основната характеристика на това решение е невъзможността за използване на допълнителни средства за криптиране на трафика. Причината е, че няма изтеглени сертифицирани инструменти за защита на информацията

външен носител или по мрежата.

За да обработва защитени данни, потребителят стартира програмата -

терминален клиент, регистрира се на терминалния сървър с помощта на

Храня се лично сметка. Специфична характеристика на конфигурацията на терминалния сървър е настройката на редица ограничения за потребителите, най-важното от които е забраната за използване на споделения клипборд. Благодарение на тази забрана проблемът с неразрешеното копиране на защитени данни върху носител на работна станция е разрешен. Потребителят на терминала може да избере и копира както файла с данни, така и съдържанието на информационния прозорец в клипборда на Windows на терминала. Операцията за поставяне обаче може да се извърши само в прозорец на терминален сървър. В прозореца на работната станция възможността за поставяне от клипборда ще бъде блокирана.

По този начин копирането на цялата защитена информация или на част от нея може да се извършва само на носители, които са физически свързани

към сървъра. Това налага някои ограничения върху възможността за износ

това / импортиране на данни, тъй като се извършват и експортни и импортни операции

се предават само чрез носителя, инсталиран на сървъра. Основното предимство е, че всички носители, включително външни носители, които могат да съдържат пълно или частично копие на защитени данни, се намират само на сървъра под администраторски контрол. Това опростява централизирания антивирусен контрол и блокира възможността за злонамерен софтуер.

Проблемът с образуването на технологичен "боклук" на работните станции също се решава автоматично. За всяка терминална сесия на сървъра

създава се временна директория. Ако са зададени подходящите настройки,

след това в края на сесията тази директория ще бъде изтрита. Така технологията

chesky "боклук" остава само на носителя на терминалния сървър.

Проблемът с предаването на отворен мрежов трафик се решава главно от факта, че в технологията за терминален достъп цялата обработка на защитени данни се извършва на сървъра и само модифицираното съдържание на информационните прозорци на съответните приложения се предава на работните станции. Освен това е възможно да се шифрова трафик с помощта на терминален сървър. Терминалният сървър поддържа няколко нива на сигурност, всяко от които определя посоката на криптирания трафик и дължината на ключа, използван при криптирането.

Windows Server 2003 включва Microsoft Terminal Services (MSTS). Предоставя възможност за отдалечено администриране

rirovat сървър или го превърнете в сървър за приложения (терминал

сървър). Освен това има добавка за тази услуга, разработена от

от Citrix, който въвежда редица допълнителни функциии увеличава броя на поддържаните платформи.

Трябва да се отбележи, че самото изпълнение на MSTS не е лишено от недостатъци.

kov, който потенциално може да бъде използван от нападателите за компрометиране на сигурността на данните. Тъй като всички потребители, свързващи се към сървъра в терминален режим, всъщност влизат интерактивно, те могат да влязат в системата от конзолата на сървъра. Поради това използването на терминален сървър налага повишени изисквания към администрацията и към прилагането на необходимите настройки за сигурност на използвания софтуер.

Сигурността на режима на терминален достъп се осигурява от комбинация от настройки на операционната система Windows Server 2003, сървърната част MSTS и протокола за терминален достъп - RDP. Всеки от тези компоненти изпълнява

Има различни механизми за защита, но в същото време всеки компонент има свои собствени уязвимости, които могат да бъдат използвани от нападателите.

Основните групи уязвимости в Windows Server 2003, които изглеждат подходящи за защита в терминален режим, са:

Възможност достъп до мрежатакъм информацията, обработвана от сървъра;

Възможност за разширяване на правомощията при осъществяване на локален достъп.