Удаленный доступ к сети — подробное руководство
Компании все чаще сталкиваются с вариантами использования, требующими доступа к ресурсам — будь то приложения, файлы, серверы и т. д. — по сети. ИТ-администраторам нужна эта возможность управлять серверами и сетевым оборудованием, не находясь физически в центре обработки данных. Агентам колл-центра это также необходимо для использования размещенных на сервере рабочих столов и приложений с тонких клиентов. И в последнее время сотрудники также нуждаются в этой возможности доступа к корпоративным файлам из дома. Эта возможность, значение которой в период пандемии возросло в геометрической прогрессии, метко известна как удаленный доступ к сети или удаленный доступ.
В этой статье я собираюсь определить, что такое удаленный доступ к сети. Затем я расскажу о некоторых протоколах удаленного доступа. Я также рассмотрю типы удаленного доступа и расскажу о других связанных темах. Начнем сначала с определений.
Что такое удаленный доступ к сети?
Удаленный доступ к сети — это возможность доступа к различным ресурсам через сеть. Эти ресурсы могут быть файлами, виртуальными приложениями, виртуальными рабочими столами, виртуальными серверами, физическими серверами, сетевыми устройствами и даже физическими рабочими столами, среди прочего. С другой стороны, вышеупомянутая сеть может быть локальной сетью (LAN), но также может быть глобальной сетью (WAN), такой как Интернет.
Возможность удаленного доступа к сети позволила людям получить доступ к ресурсам из любого места, даже со всего мира. В свою очередь, сети удаленного доступа проложили путь для различных форм удаленной работы, а также для процессов, охватывающих несколько мест. Используя удаленный доступ к сети, сотрудники теперь могут выполнять задачи, связанные с компьютером, практически из любого места.
При выполнении удаленного доступа к сети могут вступить в действие один или несколько протоколов удаленного доступа к сети. Теперь поговорим об этих протоколах.
Что такое протоколы удаленного доступа к сети?
Протоколы удаленного доступа — это набор правил, определяющих, как данные должны передаваться между двумя устройствами, обычно клиентом, запрашивающим удаленный доступ, и хостом, обеспечивающим удаленный доступ. У вас есть несколько протоколов удаленного доступа. Вот некоторые из наиболее распространенных:
Протокол точка-точка (PPP)
PPP — это протокол для прямой связи, например, по выделенной линии или коммутируемому соединению, отсюда и термин «точка-точка». Он может работать с широким спектром сетевых средств связи, включая телефонные линии, последовательные кабели, сотовые сети, оптоволоконные линии, SONET, ISDN и другие.
Вы можете использовать PPP для связи между двумя компьютерными системами (например, одной в филиале и одной в вашей штаб-квартире). Если вы являетесь поставщиком услуг Интернета (ISP), вы также можете использовать его как способ передачи IP-пакетов между двумя модемами (например, от домашнего модема к модему поставщика услуг Интернета).
Безопасность интернет-протокола (IPSec)
IPSec — это набор протоколов безопасности для защиты данных, передаваемых по общедоступным сетям, таким как Интернет. Он поддерживает такие функции, как целостность данных, аутентификация и шифрование. IPSec часто сочетается с протоколами туннелирования VPN, такими как L2TP (см. ниже). В этом случае IPSec обеспечивает безопасность VPN-подключения при удаленном доступе к устройствам.
IPSec может быть очень безопасным, если вы знаете, как его настроить, но его довольно сложно настроить. Например, вам нужны обходные пути, чтобы заставить его работать с брандмауэром преобразования сетевых адресов (NAT). Прежде чем развертывать решение с поддержкой IPSec в рабочей среде, проверьте совместимость с существующими решениями или решениями, которые вы собираетесь с ним использовать.
Протокол туннелирования точка-точка (PPTP)
PPTP — это протокол удаленного доступа к сети, основанный на PPP, который используется для реализации виртуальных частных сетей (VPN). Однако он не поддерживает шифрование или аутентификацию, поэтому не рекомендуется для производственных сред.
Хотя некоторые предприятия все еще используют PPTP (надеюсь, для неконфиденциальных подключений удаленного доступа ) из-за его скорости и совместимости, я предлагаю вам поискать другие варианты.
Протокол туннелирования второго уровня (L2TP)
Как и PPTP, L2TP также является протоколом, используемым для реализации VPN. На самом деле, он ведет свои корни к первому. Он немного более безопасен, чем PPTP, потому что, по крайней мере, шифрует свои управляющие данные. Однако он не шифрует само содержимое. Вот почему он обычно сочетается с IPSec, так как последний обеспечивает необходимую безопасность.
Соединения удаленного доступа L2TP/IPSec достаточно безопасны, поэтому стоит рассмотреть этот протокол удаленного доступа, если вы оцениваете решение VPN для удаленного доступа к устройствам.
Служба удаленной аутентификации пользователей по телефону (RADIUS)
RADIUS — это протокол для аутентификации и авторизации пользователей, запрашивающих удаленный сетевой доступ к определенным серверам. Эти серверы обычно представляют собой серверы доступа к сети (NAS), серверы коммутируемого доступа, серверы VPN, точки беспроводного доступа и другие серверы доступа к сети. По сути, когда пользователь запрашивает подключение к своему NAS, этот NAS запрашивает аутентификацию и авторизацию на сервере RADIUS. Если пользователь аутентифицируется, он получает доступ к ресурсу, для которого у него есть авторизация.
Сервер RADIUS также может обеспечивать управление доступом на основе ролей. Поэтому, если вы пытаетесь внедрить нулевой уровень доверия и принцип наименьших привилегий в процессы удаленного доступа, стоит рассмотреть решение RADIUS.
Контроллер доступа к терминалу Система контроля доступа Plus (TACACS+)
Как и RADIUS, TACACS+ — это протокол, используемый для аутентификации и авторизации при удаленном доступе. Однако RADIUS в основном используется для аутентификации удаленных пользователей. И наоборот, TACACS в основном аутентифицирует администраторов, которые запрашивают доступ к сетевым устройствам, таким как маршрутизаторы и коммутаторы.
TACACS+ — более продвинутый протокол. Он обеспечивает лучшие функции шифрования. Он также поддерживает большее количество протоколов. Если вы рассматриваете RADIUS как вариант, вам также следует изучить TACACS+. По сути, оцените, что лучше подходит для вашего бизнеса.
Интернет-протокол последовательной линии (SLIP)
SLIP раньше был стандартом де-факто для передачи IP-пакетов по последовательному каналу. Он был популярен в эпоху коммутируемого доступа, когда пользователи подключались к интернет-провайдерам через модем. SLIP не имеет адресации пакетов, проверки ошибок и других возможностей, которые есть у PPP. В результате он устарел и был заменен PPP.
Возможно, я что-то упускаю из виду, но я не могу придумать вариант использования сетевого доступа, который требует SLIP в наши дни.
Протокол точка-точка через Ethernet (PPPoE)
PPPoE — это протокол, который инкапсулирует PPP, чтобы его можно было использовать через Ethernet, технологию, обычно используемую для проводных локальных и глобальных сетей. Обратите внимание, что PPP не поддерживает Ethernet сам по себе. Однако с помощью PPPoE несколько хостов могут запускать сеансы PPP по одному каналу Ethernet для подключения к удаленному сайту через обычное соединение DSL.
Если вам нужен только один хост для подключения к вашему интернет-провайдеру, то PPP будет достаточно. Но если вам нужно несколько хостов (предположительно в локальной сети) для одновременного подключения, вам понадобится PPPoE.
Протокол удаленного рабочего стола (RDP)
RDP — это протокол, который позволяет людям взаимодействовать с системой Windows из удаленного места. Он часто используется домашними или удаленными работниками для доступа к файлам и приложениям на своих офисных ПК с Windows. Он также используется сотрудниками технической поддержки для устранения неполадок устройств конечных пользователей из удаленного места.
RDP поддерживает несколько функций, которые позволяют удаленным пользователям взаимодействовать с системами Windows, как если бы они находились в одном физическом месте. Вы также можете использовать его для копирования и вставки содержимого между удаленной и локальной средами, печати на локальных принтерах из удаленного сеанса и использования нескольких дисплеев, среди других задач.
Теперь, когда у вас есть обзор наиболее часто используемых протоколов удаленного доступа, давайте поговорим о том, как работает типичный процесс удаленного доступа к сети.
Как работает удаленный доступ к сети?
Когда пользователь извлекает файлы или загружает виртуальный рабочий стол с удаленного сайта, в игру вступает ряд компонентов. Удаленный доступ к сети работает через комбинацию программного обеспечения, оборудования и сети, в которой работают программные и аппаратные компоненты.
Поговорим подробнее о каждом компоненте, начиная с программного обеспечения.
Программного обеспечения
Как правило, вам потребуется программное обеспечение, которое реализует протокол сетевого доступа, такой как PPP, L2TP, RDP и т. д. Вам следует установить это программное обеспечение (или запрограммировать его как прошивку) на обоих концах двух устройств, на которых вы хотите установить некоторые форма удаленного доступа. Конкретное программное обеспечение, установленное на одном устройстве , не всегда будет тем же самым программным обеспечением, установленным на другом устройстве. Например, в архитектуре клиент-сервер программное обеспечение, установленное на клиенте, отличается от программного обеспечения, установленного на сервере. Однако они должны поддерживать один и тот же протокол для связи друг с другом, так что имейте это в виду.
Аппаратное обеспечение
Если другой конец не является виртуальной машиной в облаке, это программное обеспечение должно работать на определенном типе оборудования. Этим оборудованием может быть ПК, ноутбук, телефон, сервер, маршрутизатор или другое конечное устройство. Независимо от типа оборудования, эта часть оборудования должна иметь какой-либо интерфейс, встроенный или подключенный (например, сетевая карта), который подключает его к сети.
Сеть
Это может быть практически любая сеть, если аппаратное и программное обеспечение ее поддерживает. Так, например, это может быть локальная сеть, глобальная сеть или Интернет. Сеть также может быть средством связи любого типа, например, телефонными линиями, последовательными кабелями, сотовыми сетями, оптоволоконными линиями, SONET, ISDN — опять же при условии, что аппаратное и программное обеспечение поддерживает это.
Советы профессионалов
- При выборе программного обеспечения для удаленного доступа к сети вы должны сначала установить, к чему вы хотите получить доступ. Например, это что-то, что требует хорошей безопасности? Вам потребуется протокол (например, IPsec или SSL/TLS), поддерживающий функции шифрования, аутентификации и авторизации. Вы хотите получить доступ ко всем рабочим столам или приложениям? Вам, вероятно, понадобится что-то вроде RDP.
- Рекомендуется провести аудит существующей ИТ-инфраструктуры, когда вы думаете о настройке удаленного доступа к сети. Возможно, у вас уже есть программное и аппаратное обеспечение, поддерживающее определенные протоколы доступа к сети. Если вам действительно необходимо приобрести дополнительные решения, попробуйте найти совместимые решения, которые работают с вашей текущей инфраструктурой.
Хотя удаленный доступ к сети — это широкий термин, охватывающий различные способы доступа к ресурсам по сети, у вас есть определенные типы удаленного доступа, которые широко используются сегодня. Давайте поговорим о них сейчас.
Каковы наиболее распространенные типы удаленного доступа к сети?
В настоящее время у вас есть три различных типа удаленного доступа, которые сегодня популярны. Это удаленный доступ к рабочим столам, удаленный доступ к приложениям и удаленный доступ к файлам. Хотя у вас также есть некоторые решения для удаленного доступа (например, инфраструктура виртуальных рабочих столов — подробнее об этом позже), которые поддерживают все три, некоторые решения (например, серверы передачи файлов) ориентированы только на конкретный вариант использования. В следующих разделах я расскажу об этих типах удаленного доступа более подробно. Давайте сначала поговорим об удаленном доступе к рабочим столам.
Удаленный доступ к рабочим столам
При использовании в этом контексте термин «рабочий стол» относится к операционной системе на физической или виртуальной машине, работающей в месте , географически отделенном от человека, осуществляющего к ней доступ. Например, человек в Лондоне может пытаться получить доступ к рабочему столу Windows в Париже. Затем предполагается, что этот человек взаимодействует с рабочим столом (например, запускает Excel, а затем создает или редактирует электронную таблицу), как если бы он работал локально.
Итак, как вы можете получить удаленный доступ к компьютеру в другой сети ? Хотя для этой цели вы можете использовать встроенный в Windows протокол RDP, вы также можете рассмотреть и другие решения. Такие решения, как Citrix Virtual Apps and Desktops, VMware Horizon и Parallels RAS, также предоставляют эту функциональность, но предлагают дополнительные функции (например, поддержку клиентов, отличных от Windows). Конечно, эти решения требуют дополнительных затрат, поэтому вы также должны учитывать это при выборе решения для доступа к удаленному рабочему столу.
Удаленный доступ к приложениям
Это следует той же концепции, что и выше, за исключением того, что вместо доступа ко всему удаленному рабочему столу пользователь получает доступ только к определенному приложению. Пользователю не нужно, скажем, запускать удаленный рабочий стол Windows и перемещаться по нему, чтобы запустить Microsoft Excel, работающий на этом рабочем столе. Вместо этого пользователь просто открывает специальное клиентское программное обеспечение или веб-браузер, а затем запускает Excel (конечно, удаленно) прямо оттуда.
Для этой цели вы можете использовать те же решения, которые позволяют получить доступ к удаленным рабочим столам. Мы упоминали об этих решениях ранее, когда говорили об удаленном доступе к рабочим столам. В большинстве случаев все, что вам нужно сделать, это настроить их для отображения определенных приложений, а не целых рабочих столов.
Удаленный доступ к файлам
Не все предприятия должны предоставлять пользователям доступ к удаленным рабочим столам или удаленным приложениям. Во многих случаях вы хотите, чтобы ваши пользователи имели доступ только к файлам компании. В этом случае вам не нужен RDP или другие решения, подобные RDP, о которых я упоминал ранее. Вместо этого вам понадобится VPN-решение.
VPN позволяют предоставлять пользователям удаленный сетевой доступ к файлам через безопасное соединение, даже если они делают это через Интернет. Большинство VPN имеют встроенное шифрование, поэтому данные, которые вы отправляете через него, не могут быть перехвачены и просмотрены злоумышленниками. У вас есть несколько вариантов защиты VPN-подключения, но два самых популярных — это SSL и IPSec. Это то, о чем я буду говорить дальше.
SSL и IPSec VPN
Использование VPN, возможно, является наиболее широко используемым методом обеспечения безопасного удаленного сетевого доступа к файлам. Из различных вариантов выделяются два — SSL VPN и IPSec. У нас есть отдельная статья о SSL VPN и IPsec, поэтому, пожалуйста, нажмите на эту ссылку, если хотите глубже погрузиться в это обсуждение.
Наиболее заметным различием между ними являются уровни модели OSI, в которой они работают. IPSec работает на уровне 3 (сетевой уровень), в то время как SSL VPN работает в основном на уровне 4 (транспортный уровень), но также может работать на уровнях 5-7 (сеансовый, презентационный и прикладной уровни).
По этой причине SSL VPN обеспечивают безопасность на более детальном уровне. IPSec защищает трафик (посредством шифрования) между VPN-клиентами и VPN-сервером. После успешной аутентификации VPN-клиент может получить доступ ко всем системам за этим VPN-сервером. С другой стороны, SSL VPN защищает трафик между VPN-клиентами и отдельными приложениями.
Прежде чем я закончу эту статью, я хотел бы поделиться с вами несколькими инструментами, которые вы можете использовать для задач удаленного доступа к сети.
3 инструмента удаленного доступа к сети, о которых стоит подумать
При выборе этих трех инструментов удаленного доступа к сети я отдавал предпочтение безопасности, доступности и простоте использования. Так что если эти качества важны для вас, читайте дальше.
1. КериоКонтроль
KerioControl — это инструмент доступа к сети 4-в-1, который включает в себя все возможности брандмауэра нового поколения, системы обнаружения и предотвращения вторжений (IDS/IPS), решения для фильтрации контента и VPN. Каждый из этих инструментов предназначен для борьбы с различными типами угроз. Это означает, что с помощью одного инструмента вы можете реализовать стратегию глубокоэшелонированной защиты для процессов удаленного доступа. Вы также можете использовать KerioControl для контроля входящего и исходящего сетевого трафика, мониторинга трафика на наличие угроз, предотвращения посещения пользователями вредоносных сайтов и защиты доступа к сети от перехватчиков.
2. Parallels Remote Application Server (RAS)
Parallels Remote Application Server (RAS) — это простое в развертывании решение для инфраструктуры виртуальных рабочих столов (VDI). Он позволяет размещать операционные системы и приложения в центральном расположении (например, в вашем центре обработки данных или общедоступном облаке) и делать их доступными для пользователей с любого устройства и из любого места. Поскольку решения VDI не хранят данные на конечных устройствах (где они могут быть подвержены риску в случае компрометации устройства), вы можете использовать Parallels RAS в качестве безопасного способа поддержки удаленных рабочих сред.
3. Сервер JAPE MFT
JAPE MFT Server — это безопасный сервер передачи файлов, который поддерживает несколько протоколов передачи файлов, включая FTP, FTPS, SFTP, HTTP, HTTPS и многие другие. Вы можете использовать его для предоставления удаленным пользователям доступа к файлам на сервере в вашем локальном центре обработки данных. Кроме того, вы можете развернуть его в общедоступном облаке и предоставить пользователям доступ к нему оттуда.
Это было много информации для восприятия, не так ли? Не волнуйтесь, я дам вам краткий обзор сейчас.
Заключительные слова
В связи с более широким внедрением методов удаленной работы большинству компаний теперь требуется какая-либо форма удаленного доступа к сети. Однако, прежде чем вы начнете создавать инфраструктуру для поддержки этой возможности, важно понять основные концепции, связанные с ней.
В этой статье вы познакомились с определением удаленного доступа к сети, рядом протоколов удаленного доступа, основными компонентами, обеспечивающими работу удаленного доступа, распространенными типами удаленного доступа и несколькими инструментами удаленного доступа. Идея заключалась в том, чтобы дать вам достаточно информации, чтобы помочь вам понять, что нужно для того, чтобы начать работу по удаленному доступу к сети.
Если вам нужны дополнительные пояснения относительно некоторых терминов, с которыми вы столкнулись в статье, ознакомьтесь с разделами часто задаваемых вопросов и ресурсов ниже.
Часто задаваемые вопросы
Что такое IDS/IPS?
Система обнаружения вторжений/система предотвращения вторжений — это решение для обеспечения безопасности, использующее несколько методов для обнаружения сетевых угроз и предотвращения их проникновения в вашу сеть. Некоторые из этих методов включают обнаружение на основе сигнатур, обнаружение на основе аномалий и анализ протокола с отслеживанием состояния. Многие решения поддерживают только одну функцию, т. е. IDS или IPS. KerioControl, о котором мы упоминали ранее, является одним из решений, которое поддерживает и то, и другое.
Что означает глубокоэшелонированная защита?
Глубокая защита — это концепция безопасности, при которой вы защищаете свою инфраструктуру, используя несколько уровней безопасности. Это особенно важно для сетевой безопасности, поскольку сети очень подвержены самым разнообразным угрозам. Ни одно решение по обеспечению безопасности не способно противостоять всем этим угрозам. Для устранения этих угроз вы можете реализовать стратегию глубокоэшелонированной защиты. Вы можете сделать это, настроив брандмауэр, IDS/IPS, решение для защиты от вредоносных программ и некоторую форму шифрования.
Что такое фильтрация контента?
Фильтрация контента — это функция современных брандмауэров, которая фильтрует тип контента, к которому пользователи обращаются в Интернете. Вы можете использовать его, чтобы заблокировать доступ к веб-сайтам социальных сетей, порнографическим веб-сайтам, игровым веб-сайтам и другим типам контента, который вы считаете оскорбительным или непригодным для работы. Модули фильтрации контента могут иногда непреднамеренно блокировать законные сайты, поэтому помните о правилах фильтрации.
Что такое ВДИ?
Инфраструктура виртуальных рабочих столов (VDI) — это технология, позволяющая размещать рабочие столы, приложения и данные в одном месте, например, в локальном центре обработки данных или в облачной инфраструктуре. Затем он делает эти ресурсы доступными для пользователей через Интернет практически с любого конечного устройства, включая ПК, ноутбуки, тонкие клиенты, телефоны и планшеты.
Что такое брандмауэр нового поколения (NGFW)?
NGFW — это тип брандмауэра, который добавляет расширенные функции безопасности, такие как глубокая проверка пакетов, IDS/IPS и защита от вредоносных программ, а также базовые функции, такие как фильтрация пакетов и проверка состояния. Он может работать на нескольких уровнях (например, уровнях 3, 4 и 7) модели OSI и, следовательно, может противостоять более широкому спектру угроз, чем обычные брандмауэры.