Главная » Разное

Удаленный доступ способы подключения

Содержание
  1. Как организовать удаленный доступ и не пострадать от хакеров
  2. Безопасная публикация ресурсов
  3. Рабочие места пользователей – защищены?
  4. Аутентификация
  5. Эксплуатация
  6. Удаленное управление компьютером через интернет
  7. Удаленный рабочий стол Windows
  8. Подключение разрешения
  9. Настройка интернет подключения к удаленному компьютеру
  10. Создание VPN-канала в Windows
  11. Проброс портов на роутере
  12. Получение статичного IP-адреса
  13. Преимущества удаленного рабочего стола Windows
  14. TeamViewer
  15. Удаленный рабочий стол для Google Chrome
  16. Ammyy Admin

Как организовать удаленный доступ и не пострадать от хакеров

Когда руководство компании экстренно требует перевести всех сотрудников на удаленный доступ, вопросы безопасности зачастую отходят на второй план. Как результат – злоумышленники получают отличное поле для деятельности.

Безопасная публикация ресурсов

Публикуйте веб-ресурсы через Web Application Firewall (в простонародье – WAF). Для быстрого развертывания и базовой защиты достаточно будет использовать стандартные профили защиты по OWASP Top 10. В первое время придется много подкручивать гайки в части отлова false positive событий. Если прямо сейчас у вас нет WAF – не отчаивайтесь! Если у вас стоит на тестировании какая-то триальная версия WAF, попробуйте задействовать ее для решения этой задачи, либо установите open-source решение Nginx + ModSecurity.

Если воспользоваться WAF не удалось, то спешно (по возможности) переводите приклад на HTTPS, проверяйте все пароли (пользовательские, админские) для публикуемого приложения на соответствие установленной в компании парольной политике. Не забудьте проверить операционные системы и CMS на свежесть, а также присутствие всех необходимых патчей, словом – санитизируйте все участки будущего общедоступного сервиса. Разверните Kali Linux и воспользуйтесь встроенным набором утилит для сканирования уязвимостей, если времени на это нет – воспользуйтесь одним из публичных сканеров уязвимостей (Detectify, ImmuniWeb и др.).

Чего делать не надо? Не стоит выставлять на показ в Интернет ваш замечательный самописный приклад на HTTP, в котором могут быть тысячи уязвимостей. Не надо выставлять и доступ по SSH к серверу или сетевому оборудованию, если не хотите, чтобы на вас полился брутфорс, а также не нужно напрямую публиковать RDP до целевых станций (привет, esteemaudit). Если есть сомнения в конкретном приложении, до которого нужно обеспечить доступ, разместите его за VPN.

С публикацией ресурсов разобрались, перейдем к сервисам, доступ до которых опубликовать не удалось. Для этого нам понадобится организовать VPN.

Что следует учесть при организации VPN?

В первую очередь оцените, сможете ли вы быстро развернуть клиентское ПО VPN на рабочих местах, или лучше воспользоваться Clientless подходом. Есть ли у вас VPN-шлюз или межсетевой экран с возможностью организовать удаленный доступ?

Если, например, в вашей сети стоит межсетевой экран Fortinet или Check Point с любым бандлом (NGFW/NGTP/NGTX), поздравляю, поддержка функционала IPsec VPN идет «из коробки», и ничего дополнительного покупать и устанавливать вам не нужно. Останется только поставить клиенты на рабочие места и настроить межсетевой экран.

Если прямо сейчас у вас нет VPN-шлюза или межсетевого экрана, посмотрите в сторону open-source решений (OpenVPN, SoftEther VPN и т.п.), которые можно довольно быстро развернуть на любом сервере, благо, step-by-step гайдов в Интернете предостаточно.

Кроме того, желательно, чтобы ваш VPN-шлюз интегрировался с AD/RADIUS для централизованного управления учетными записями. Также не забудьте проверить парольную политику и настройте защиту от брутфорса.

Если вы решили идти по пути установки клиента удаленного доступа на рабочие места пользователей, нужно будет определиться, какой режим VPN использовать: Full Tunnel или Split Tunnel. Если доступ для отдельной группы пользователей предполагает работу с конфиденциальной или высококритичной информацией, то я бы порекомендовал использовать Full Tunnel режим. Таким образом весь трафик будет заруливаться в туннель, выход в Интернет для пользователей можно будет организовать через прокси, при желании трафик можно будет слушать еще и через DLP. В иных случаях можно ограничиться обычным Split Tunnel режимом, при котором трафик заруливается в туннель только до внутренних сетей компании.

После успешной аутентификации пользователей вам следует определиться с авторизацией: куда давать пользователям доступ, как и где это делать. Есть несколько вариантов.

  1. Прямой доступ. Пользователь получил IP-адрес из своего VPN-пула и может идти напрямую к необходимым ресурсам (читай – через межсетевой экран). Здесь следует отметить, что если у вас стоит простой L4 межсетевой экран, на котором уже были настроены политики доступа (и их много!), то быстро адаптировать их к новым пулам IP-адресов может не получиться. Даже если у вас стоит NGFW с политиками по пользователям или группам пользователей, лог-оны в AD не будут зафиксированы (если только у вас не стоит специальный клиент на каждом рабочем месте), и политики тоже не будут работать. В таком случае политики придется создавать непосредственно на VPN-шлюзе либо использовать RADIUS при аутентификации и интегрировать его с клиентом межсетевого экрана для трекинга лог-онов пользователей.
  2. Терминальный доступ. Если у вас есть NGFW с политиками по пользователям и терминальный сервер, то можно сделать так. При реализации терминального доступа (например, с помощью MS RDS) пользователь, получивший удаленный доступ, логинится на терминальный сервер. Поставьте на него специальный агент от производителя межсетевых экранов (например, FSSO TS). Этот агент будет сообщать межсетевому экрану IP-адрес залогинившегося пользователя, в результате чего написанные политики безопасности по пользователям или группам пользователей останутся без изменений, и не придется спешно менять политики на NGFW.
Читайте также:  Использование логопедических зондов при механическом способе исправления дислалии

Рабочие места пользователей – защищены?

Перейдем к безопасности рабочих мест.

Оцените безопасность рабочих мест удаленных пользователей: вы даете им рабочие станции с установленным золотым образом со всеми необходимыми фичами безопасности (antivirus, host-based IPS/Sandbox и т.п.), или они сидят со своих домашних ноутбуков с неизвестно каким софтом? Если ответ на этот вопрос – домашние устройства, то лучше бы после предоставления удаленного доступа зарулить трафик на NGFW с IDS/IPS, а в идеале еще и на сетевую «песочницу».

Одним из хороших вариантов также будет публикация на VDI конкретного приложения для работы (браузера, почтового клиента и т.п.). Это позволит разрешить доступ только к конкретным используемым приложениям.

Если у вас в компании запрещено подключение съемных носителей, то в случае удаленного доступа об этом также не стоит забывать, ограничив такую возможность для свежевыданных корпоративных ноутбуков.

Как обычно, убедитесь, что отключены небезопасные протоколы и службы, нелишним будет включить шифрование диска (вдруг ваш пользователь пойдет поработать в коворкинг, и его корпоративный ноутбук украдут?), не забудьте отобрать права привилегированного доступа (если ноутбук корпоративный).

Аутентификация

Используйте централизованное управление учетными записями при удаленном доступе (AD/RADIUS), а также не забудьте продумать сценарии, при которых ваш Identity Store будет недоступен (например, создайте дополнительно локальные учетные записи).

Хорошей практикой будет использование клиентских сертификатов, самоподписные сертификаты можно выпустить и на Microsoft CA.

Предположим, что в связи с непредвиденными обстоятельствами у ваших удаленных пользователей все-таки увели учетные данные. Двухфакторная аутентификация поможет справиться и с этой напастью (OTP-пуши на мобильных устройствах, SMS). А вот двухфакторную аутентификацию через корпоративный email я бы не рекомендовал (зачастую для аутентификации при удаленном доступе используются такие же учетные записи, как и в электронной почте, и, стало быть, ваш второй фактор легко будет вытащить). Если нужно быстро организовать двухфакторную аутентификацию, можно посмотреть в сторону публичных сервисов – например, Google Authenticator.

Эксплуатация

Продумайте, как ваш ИТ-департамент будет эксплуатировать удаленные рабочие места и помогать пользователям в решении повседневных проблем. Явно потребуется удаленный доступ сотрудников техподдержки к удаленным рабочим местам пользователей.

Желательно, чтобы рабочие станции «разливались» из золотого образа, и вам не пришлось пытаться восстанавливать работоспособность домашних компьютеров сотрудников из-за того, что они поставили что-то не то, или, чего доброго, поймали какой-то ransomware. Лучше выдайте корпоративные ноутбуки с заранее известными мощностями и составом установленного ПО, чтобы не получить головную боль с домашними ПК сотрудников, ведь ими могут пользоваться дети, на них может дико тормозить система или может не быть необходимых средств защиты.

Нелишним будет напомнить пользователям перед переходом на удаленную работу существующие в компании политики безопасности: мало ли как захочется рядовому пользователю расслабиться в обеденный перерыв дома.

Источник

Удаленное управление компьютером через интернет

Зачастую многим из нас необходимо использовать свой домашний компьютер, находясь на рабочем месте или наоборот. Программа для удаленного управления компьютером решает эту проблему, поскольку она позволяет получить доступ к устройству, которое находится далеко от нас – нужно иметь лишь специальный пароль, и вы сможете работать на нём дистанционно.

Удалённый доступ позволяет управлять своим домашним компьютером из любой точки нашей планеты. Вам будут доступны многие функции, включая работу с содержимым диском, установленными приложениями, системными настройками и многое другое. Вы сможете так же наблюдать за действиями другого оператора, который в данный момент использует то самое устройство.

Удаленный рабочий стол Windows

Если вас интересует то, как настроить удаленный доступ к компьютеру от Windows, то проблем у вас не возникнет. Системное приложение для дистанционного управления компьютеров есть в любой серии ОС Windows, при чём второе устройство может находиться под управлением iOS, macOS или Android. Приложение Microsoft Remote Desktop можно скачать бесплатно для Android и Apple в Google Play и, соответственно, в App Store.

Читайте также:  Нахождение натуральной величины треугольника способом вращения

Успешное удалённое соединение будет установлено при наличии разрешения на удалённое управление устройством — которое необходимо настроить на компьютере, которым вы собираетесь управлять дистанционно. Также потребуется учётная запись с администраторскими правами, подключенный интернет на двух устройствах и открытый порт TCP 3389 на той стороне, которая принимает.

Подключение разрешения

Инструкция для Windows 10:

1. Делаем щелчок по правой кнопке мыши по иконке «Этот компьютер» и выбираем раздел «Свойства»;

2. Находясь в разделе «Система», переходим в «Настройку удалённого доступа»:

  1. В подразделе «Удалённый рабочий стол» ставим флажок на варианте «Разрешить», а далее нажимаем «Выбор пользователей»:
  2. Далее вводим название учётной записи пользователя, которому необходимо разрешить удаленное управление компьютером через интернет. У вас при этом должен быть пароль от неё. Теперь проверяем всю информацию и щёлкаем по кнопке «ОК» для завершения настройки.
  3. При работе с управляющим компьютером сперва вам необходимо найти «Подключение к удалённому рабочему столу» через поиск в «Панели задач»:

  1. После того, как мы открыли все настройки выбором опции «Показать параметры», необходимо щёлкнуть по вкладке «Общие» и выбрать действие сохранения параметров подключения в файл:

  1. Во вкладке – «Экран» мы можем изменять свойства изображения экрана компьютера, к которому подключен удалённый доступ;
  2. Задавать настройки звука, изменять условия сокращений клавиатуры, работать с принтером и буфером обмена того же компьютера можно через вкладку «Локальные ресурсы»:

  1. Изменить быстроту соединения и качество демонстрации изображения с удалённого компьютера можно в разделе «Взаимодействие»;
  2. Вкладка «Дополнительно» даёт возможность обозначить алгоритм действий при неудавшейся проверке подлинности удалённой машины и указать нужные параметры соединения при подключении со шлюзом;
  3. Когда все настройки произведены, мы можем приступать к сеансу удалённой работы. Выбираем «Подключить» и внимательно вводим наш пароль.

Когда соединение будет установлено, рабочий сеанс текущего пользователя компьютера завершится, и управление в ту же минуту перейдёт к вам. На экране расположится заставка, поэтому для пользователя удалённого компьютера будет закрыт его рабочий стол.

Настройка интернет подключения к удаленному компьютеру

Существует два способа как подключить удаленный доступ к компьютеру через интернет. Вы можете создать канал VPN – тогда устройства смогут видеть друг друга так, как будто те находятся в одной сети. Также есть возможность перенаправить порт 3389 в локальную сеть и изменить динамический IP адрес удалённого компьютера на статический.

Создание VPN-канала в Windows

На удалённом устройстве нужно произвести следующие действия:

  1. В настройках параметров адаптера найдите папку «Сетевые подключения»:

2. После того, как вы нажали кнопку Alt на клавиатуре, щёлкните по разделу «Файл» и выберите опцию «Новое входящее подключение»:

3. Выберите пользователей компьютера, которым вы даёте разрешение на подключение:

  1. Обозначьте способ подключения «через Интернет». Затем разрешите доступ нажатием соответствующей кнопки.

После всех действий в папке сетевых подключений вы увидите значок «Входящие подключения» — это и есть новый VPN-канал. Для того, чтобы не произошло блокировки, создайте порт TCP 1723. Если же сервис получил локальный IP-адрес, то необходимо будет перенаправить его во внешнюю сеть.

Клиентский компьютер настраивается ещё легче. Нужно включить утилиту «Параметры, а далее в разделе «Сети и Интернет» и подразделе «ВПН» найдите действие «Добавить ВПН-подключение»:

Окно «Параметры» необходимо настроить следующим образом:

· Услуги поставляются «Windows»;

· Имя подключение «Любое»;

· Имя или адрес сервера содержат IP или доменное имя сервера, созданные вами прежде;

· Автоматически определённый тип VPN, либо «PPTP»;

· Окно «тип данных для входа» должны содержать ваш логин и пароль:

Проброс портов на роутере

Перенаправление портов на различных устройствах происходит по-разному, но можно заметить один общий принцип. Продемонстрируем, как это выполняется на маршрутизаторе TP-Link:

  1. В админ-панели роутера необходимо открыть раздел «Переадресация» и подраздел «Виртуальные серверы»:
  2. Нажимаем на кнопку «Добавить или изменить запись» в правом окошке и настраиваем следующие параметры:

· Порт сервиса – «3389» («1723» при настройке VPN);

· Внутренний порт – остаётся тем же;

· IP-адрес – вводим адрес компьютера или доменное имя;

· Протокол: TCP или все;

· Можно оставить прежним так же и стандартный порт сервиса.

  1. Сохраняем настройки, нажав соответствующую кнопку:

Получение статичного IP-адреса

Есть простой и не дорогой переход с изменяемого IP к постоянному через сервисы DDNS. Они присваивают компьютеру с динамическим сетевым адресом постоянное доменное имя. Сохраните для себя список бесплатных DDNS-сервисов:

Как пользоваться сервисами:

  1. Регистрируете учётную запись;
  2. Подтверждаете адрес электронной почты;
  3. Регистрируете и активируете доменное имя компьютера.

Теперь у вашего компьютера есть собственное имя в интернете, которое нужно вписать в настройках подключения там, где указан IP-адрес или имя локальной сети.

Читайте также:  Способ заваривания чая вектор

Преимущества удаленного рабочего стола Windows

У вас не будет никаких серверов-посредников при подключении, поэтому утечки данных бояться не стоит.

Наличие широкого спектра настроек, можно идеально подстроить под каждого пользователя:

· Не нужно скачивать что-либо дополнительно; · Нет никаких ограничений по времени длительности сессии; · Можно создать любое количество подключений; · Экономичность. Из недостатков можно назвать только сложный процесс настройки для соединения через интернет и чувствительность к «Pass the Hash» атакам.

TeamViewer

Одним из самых популярных приложений, которое способно установить удаленный доступ к компьютеру или мобильному устройству, является TeamViewer. Программа устанавливается на многие операционные системы, включая Chrome OS и BlackBerry. TeamViewer может быть инсталирован на компьютер или же работать без установки, если пользователю удобно использовать портативную версию.

Существует широкий перечень продуктов для решения различных задач, например, версия TeamViewer QuickSupport удобна для получения быстрой технической поддержки, а TeamViewer Host может быть использован для круглосуточного мониторинга удалённых устройств. Полный список продуктов указан на официальном сайте данного программного обеспечения.

Функционал программы TeamVIewer, как позволяет пользователю персонализировать дизайн, так и имеет множество других полезных опций. Стоит отметить, что использовать программный продукт в личных некоммерческих целях можно бесплатно, но с некоторыми ограничениями.

Чтобы обеспечить единовременное соединение, пользователь может не производить никаких настроек, а только лишь вписать ID и пароль в соответствующие поля раздела «Управлять компьютером», которые сообщит другой пользователь отдалённого устройства, а затем нажать кнопку «Подключиться к партнеру».

После успешного соединения вы сможете, как удалённо управлять компьютером другого оператора, так и своим, наблюдая через экран своего устройства рабочий стол другого дистанционного. Второй пользователь будет при этом наблюдать за вашими шагами.

Чтобы соединиться с другим компьютером без запроса ID и пароля, TeamViewer может присвоить ему постоянный пароль. Для этого:

  1. Нажмите кнопку «Подключение» в главном окне программы, затем выберите «Настроить неконтролируемый доступ»:

2. Введите имя и пароль используемого вами устройства в окне «Неконтролируемый доступ»;

  1. Далее будет предложено создание учётной записи пользователя TeamViewer. Это действие не обязательно к срочному выполнению, потому что постоянный пароль работает независимо от учетной записи.

Отныне дистанционный доступ к этому компьютеру со второго устройства работает без запроса ID и пароля, нужно лишь выбрать его в списке «Мои компьютеры» (стрелка справа от главного окна TeamViewer) и ввести ранее указанный пароль.

Для успешного соединения должны быть выполнены три простых условия: удаленное устройство должно быть включено, подключено к интернету и на нем должен быть запущен TeamViewer.

Удаленный рабочий стол для Google Chrome

Браузер Google Chrome может расширить свои функции при помощи установки бесплатного расширения «Удалённый рабочий стол». Данное полезное новшество разработано для дистанционного управления устройствами и сравнимо с известным TeamViewer. Некоторые пользователи полагают, что приложение от Google Chrome не хуже своего аналога и является более простым в использовании.

Для установки расширения, используя Google Chrome, войдите в магазин с названием браузера, наберите в поисковой строке «Удаленный рабочий стол Chrome» и кликните по «Установить»:

После этого иконка запуска появится в разделе браузера chrome://apps/ (сервисы Гугл).

Условие соединения удаленных устройств — наличие программы «Рабочий стол Google» на каждой из задействованных машин. Чтобы соединяться с компьютером через мобильный телефон, нужно установить отдельное приложение под названием Chrome Remote Desktop. Приложение ставится на операционные системы iOS и Android.

Для полноценного использования сервиса нужно создать учётную запись Google, либо пройти авторизацию в самом браузере Google Chrome.

Главное окно «Рабочего стола Chrome» схоже по функциям с TeamViewer и содержит два раздела:

· Раздел «Удаленная поддержка» контролирует разовое подключение к другим машинам;

· Раздел «Мои компьютеры» запоминает ранее подключенные устройства и предлагает соединяться с ними быстро с использованием пин-кода.

Чтобы соединиться с другим устройством, нужно ввести 12-значный код доступа сгенерированный другим пользователем. Для того чтобы получить код, нужно нажать «Поделиться» в разделе «Удаленная поддержка».

Процесс установления связи между устройствами сопровождается установкой дополнительного компонента на удаленный компьютер. Через пару минут на экране высветится код, который нужно ввести в соответствующее поле и нажать «подключение».

Аналогично программе TeamViewer пользователь отдалённого устройства видит все действия, которые вы выполняете.

Напротив, если вы желаете открыть доступ к своему устройству другому пользователю, нужно нажать «Поделиться» и сообщить ему секретный 12-значный код.

Ammyy Admin

Простая и безопасная утилита, которая способна, как сделать удаленный доступ к компьютеру под управлением Windows, так и к компьютеру под управлением Linux. Из плюсов можно назвать:

Источник

Оцените статью
Разные способы
© 2024 Разные способы.
Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.