Варианты подключения удаленным способом

Как организовать удаленный доступ и не пострадать от хакеров

Когда руководство компании экстренно требует перевести всех сотрудников на удаленный доступ, вопросы безопасности зачастую отходят на второй план. Как результат – злоумышленники получают отличное поле для деятельности.

Безопасная публикация ресурсов

Публикуйте веб-ресурсы через Web Application Firewall (в простонародье – WAF). Для быстрого развертывания и базовой защиты достаточно будет использовать стандартные профили защиты по OWASP Top 10. В первое время придется много подкручивать гайки в части отлова false positive событий. Если прямо сейчас у вас нет WAF – не отчаивайтесь! Если у вас стоит на тестировании какая-то триальная версия WAF, попробуйте задействовать ее для решения этой задачи, либо установите open-source решение Nginx + ModSecurity.

Если воспользоваться WAF не удалось, то спешно (по возможности) переводите приклад на HTTPS, проверяйте все пароли (пользовательские, админские) для публикуемого приложения на соответствие установленной в компании парольной политике. Не забудьте проверить операционные системы и CMS на свежесть, а также присутствие всех необходимых патчей, словом – санитизируйте все участки будущего общедоступного сервиса. Разверните Kali Linux и воспользуйтесь встроенным набором утилит для сканирования уязвимостей, если времени на это нет – воспользуйтесь одним из публичных сканеров уязвимостей (Detectify, ImmuniWeb и др.).

Чего делать не надо? Не стоит выставлять на показ в Интернет ваш замечательный самописный приклад на HTTP, в котором могут быть тысячи уязвимостей. Не надо выставлять и доступ по SSH к серверу или сетевому оборудованию, если не хотите, чтобы на вас полился брутфорс, а также не нужно напрямую публиковать RDP до целевых станций (привет, esteemaudit). Если есть сомнения в конкретном приложении, до которого нужно обеспечить доступ, разместите его за VPN.

С публикацией ресурсов разобрались, перейдем к сервисам, доступ до которых опубликовать не удалось. Для этого нам понадобится организовать VPN.

Что следует учесть при организации VPN?

В первую очередь оцените, сможете ли вы быстро развернуть клиентское ПО VPN на рабочих местах, или лучше воспользоваться Clientless подходом. Есть ли у вас VPN-шлюз или межсетевой экран с возможностью организовать удаленный доступ?

Если, например, в вашей сети стоит межсетевой экран Fortinet или Check Point с любым бандлом (NGFW/NGTP/NGTX), поздравляю, поддержка функционала IPsec VPN идет «из коробки», и ничего дополнительного покупать и устанавливать вам не нужно. Останется только поставить клиенты на рабочие места и настроить межсетевой экран.

Если прямо сейчас у вас нет VPN-шлюза или межсетевого экрана, посмотрите в сторону open-source решений (OpenVPN, SoftEther VPN и т.п.), которые можно довольно быстро развернуть на любом сервере, благо, step-by-step гайдов в Интернете предостаточно.

Кроме того, желательно, чтобы ваш VPN-шлюз интегрировался с AD/RADIUS для централизованного управления учетными записями. Также не забудьте проверить парольную политику и настройте защиту от брутфорса.

Если вы решили идти по пути установки клиента удаленного доступа на рабочие места пользователей, нужно будет определиться, какой режим VPN использовать: Full Tunnel или Split Tunnel. Если доступ для отдельной группы пользователей предполагает работу с конфиденциальной или высококритичной информацией, то я бы порекомендовал использовать Full Tunnel режим. Таким образом весь трафик будет заруливаться в туннель, выход в Интернет для пользователей можно будет организовать через прокси, при желании трафик можно будет слушать еще и через DLP. В иных случаях можно ограничиться обычным Split Tunnel режимом, при котором трафик заруливается в туннель только до внутренних сетей компании.

После успешной аутентификации пользователей вам следует определиться с авторизацией: куда давать пользователям доступ, как и где это делать. Есть несколько вариантов.

1. Прямой доступ. Пользователь получил IP-адрес из своего VPN-пула и может идти напрямую к необходимым ресурсам (читай – через межсетевой экран). Здесь следует отметить, что если у вас стоит простой L4 межсетевой экран, на котором уже были настроены политики доступа (и их много!), то быстро адаптировать их к новым пулам IP-адресов может не получиться. Даже если у вас стоит NGFW с политиками по пользователям или группам пользователей, лог-оны в AD не будут зафиксированы (если только у вас не стоит специальный клиент на каждом рабочем месте), и политики тоже не будут работать. В таком случае политики придется создавать непосредственно на VPN-шлюзе либо использовать RADIUS при аутентификации и интегрировать его с клиентом межсетевого экрана для трекинга лог-онов пользователей.
2. Терминальный доступ. Если у вас есть NGFW с политиками по пользователям и терминальный сервер, то можно сделать так. При реализации терминального доступа (например, с помощью MS RDS) пользователь, получивший удаленный доступ, логинится на терминальный сервер. Поставьте на него специальный агент от производителя межсетевых экранов (например, FSSO TS). Этот агент будет сообщать межсетевому экрану IP-адрес залогинившегося пользователя, в результате чего написанные политики безопасности по пользователям или группам пользователей останутся без изменений, и не придется спешно менять политики на NGFW.

Рабочие места пользователей – защищены?

Перейдем к безопасности рабочих мест.

Оцените безопасность рабочих мест удаленных пользователей: вы даете им рабочие станции с установленным золотым образом со всеми необходимыми фичами безопасности (antivirus, host-based IPS/Sandbox и т.п.), или они сидят со своих домашних ноутбуков с неизвестно каким софтом? Если ответ на этот вопрос – домашние устройства, то лучше бы после предоставления удаленного доступа зарулить трафик на NGFW с IDS/IPS, а в идеале еще и на сетевую «песочницу».

Одним из хороших вариантов также будет публикация на VDI конкретного приложения для работы (браузера, почтового клиента и т.п.). Это позволит разрешить доступ только к конкретным используемым приложениям.

Если у вас в компании запрещено подключение съемных носителей, то в случае удаленного доступа об этом также не стоит забывать, ограничив такую возможность для свежевыданных корпоративных ноутбуков.

Как обычно, убедитесь, что отключены небезопасные протоколы и службы, нелишним будет включить шифрование диска (вдруг ваш пользователь пойдет поработать в коворкинг, и его корпоративный ноутбук украдут?), не забудьте отобрать права привилегированного доступа (если ноутбук корпоративный).

Аутентификация

Используйте централизованное управление учетными записями при удаленном доступе (AD/RADIUS), а также не забудьте продумать сценарии, при которых ваш Identity Store будет недоступен (например, создайте дополнительно локальные учетные записи).

Хорошей практикой будет использование клиентских сертификатов, самоподписные сертификаты можно выпустить и на Microsoft CA.

Предположим, что в связи с непредвиденными обстоятельствами у ваших удаленных пользователей все-таки увели учетные данные. Двухфакторная аутентификация поможет справиться и с этой напастью (OTP-пуши на мобильных устройствах, SMS). А вот двухфакторную аутентификацию через корпоративный email я бы не рекомендовал (зачастую для аутентификации при удаленном доступе используются такие же учетные записи, как и в электронной почте, и, стало быть, ваш второй фактор легко будет вытащить). Если нужно быстро организовать двухфакторную аутентификацию, можно посмотреть в сторону публичных сервисов – например, Google Authenticator.

Эксплуатация

Продумайте, как ваш ИТ-департамент будет эксплуатировать удаленные рабочие места и помогать пользователям в решении повседневных проблем. Явно потребуется удаленный доступ сотрудников техподдержки к удаленным рабочим местам пользователей.

Желательно, чтобы рабочие станции «разливались» из золотого образа, и вам не пришлось пытаться восстанавливать работоспособность домашних компьютеров сотрудников из-за того, что они поставили что-то не то, или, чего доброго, поймали какой-то ransomware. Лучше выдайте корпоративные ноутбуки с заранее известными мощностями и составом установленного ПО, чтобы не получить головную боль с домашними ПК сотрудников, ведь ими могут пользоваться дети, на них может дико тормозить система или может не быть необходимых средств защиты.

Нелишним будет напомнить пользователям перед переходом на удаленную работу существующие в компании политики безопасности: мало ли как захочется рядовому пользователю расслабиться в обеденный перерыв дома.

Источник

Как подключиться к удаленному компьютеру

Варианты удалённого подключения

В основном решения поставленной сегодня задачи предоставляет специализированное программное обеспечение, как платное, так и бесплатное. В некоторых случаях может пригодиться и встроенный в Виндовс инструментарий. Рассмотрим все возможные варианты по порядку.

Способ 1: TeamViewer

TeamViewer – это бесплатный (для некоммерческого использования) инструмент, который предоставляет пользователю полный набор функций для удаленного администрирования. Кроме того, с помощью этой программы можно настроить удаленный доступ к компьютеру в несколько кликов. Но прежде чем подключиться, потребуется скачать программу, причем сделать это нужно будет не только на нашем ПК, но и на том, к которому мы будем подключаться.

1. Запустите исполняемый файл после загрузки. Доступно три варианта – использование с установкой; установить только клиентскую часть и использование без установки. Если программа запущена на компьютере, которым планируется управлять удаленно, можно выбрать второй вариант «Установить, чтобы потом управлять этим компьютером удаленно». В этом случае TeamViewer установит модуль для подключения. Если же запуск планируется на ПК, с которого будет осуществляться управление другими устройствами, подойдут как первый, так и третий варианты. Для единичного использования подойдёт также вариант «Личное/некоммерческое использование». Установив нужные опции, нажимайте «Принять — завершить».

Далее будет открыто главное окно программы, где нас будут интересовать два поля — «Ваш ID» и «Пароль». Эти данные будут использоваться для подключения к компьютеру.

Как только программа будет запущена и на клиентском компьютере, можно приступать к подключению. Для этого в поле «ID партнера» необходимо ввести соответствующий номер (ID) и нажать кнопку «Подключиться к партнёру». Затем программа попросит ввести пароль (отображается в поле «Пароль»). Далее будет установлено соединение с удаленным ПК.

ТимВивер представляет собой одно из самых популярных и удобных решений для удалённой работы. Картину портят разве что редкие баги соединения.

Способ 2: TightVNC

Ещё одним вариантом удаленного подключения к ПК будет задействование приложения TightVNC, которому тоже под силу решить поставленную сегодня задачу.

Загрузите установочный пакет программы и инсталлируйте её на оба целевых компьютера. В процессе появится предложение задать пароли для подключения и доступа к административным опциям – рекомендуем задать оба.

Первым делом проверьте, отмечены ли все пункты на вкладке «Server» – эти опции отвечают за работоспособность подключения.

Продвинутым пользователям также не помешает посетить раздел «Access Control», в котором можно задать диапазон IP-адресов, с которых будет идти подключение к этому компьютеру. Нажмите кнопку «Add», затем впишите в диалоговом окне адрес или пул адресов, после чего нажмите «OK».

Далее потребуется узнать IP-адрес машины-сервера. О том, как это сделать, можете узнать из статьи по ссылке ниже.

Подробнее: Узнаём IP-адрес компьютера
Для подключения откройте на клиентской машине программу TightVNC Viewer – сделать это можно через папку приложения в меню «Пуск».

В поле «Remote Host» введите адрес целевого ПК.

Кроме IP, в некоторых случаях может понадобиться дополнительно ввести также и порт подключения, если используется значение, отличное от установленного по умолчанию. В этом случае схема ввода несколько меняется – IP и порт вводятся через двоеточие:

Оба значения следует прописывать без звёздочек.
Проверьте корректность ввода нужных данных, затем нажимайте «Connect». Если для подключения задан пароль, потребуется его ввести.

Подождите, пока соединение будет установлено. Если всё сделано правильно, перед вами появится рабочий стол удалённого компьютера, с которым уже можно работать.

Как видим, ничего сложного – TightVNC очень прост в управлении и настройке, к тому же совершенно бесплатен.

Способ 3: Litemanager

Ещё одно приложение, посредством которого можно организовать удалённое подключение к другому компьютеру – Litemanager.

В отличие от предыдущего решения, у Лайтменеджер присутствуют отдельные инсталляторы для серверного и клиентского вариантов. Начать установку следует с первого – переместите файл «Litemanager Pro» – Server на машину, к которой нужно подключиться, и запустите его. В процессе появится окно с подтверждением автоматической настройки брандмауэра Windows – убедитесь, что нужная галочка отмечена.

В конце инсталляции появится предложение задать пароль для подключения, а также разрешить соединение посредством ID. Последнее напоминает аналогичное решение у TeamViewer.

Теперь следует установить версию-клиент на основной компьютер. Данная процедура не подразумевает наличия каких-либо специфических нюансов и выполняется так же, как и в случае с любым другим Windows-приложением.

Для установки соединения убедитесь, что на целевой машине запущен сервер Litemanager. По умолчанию он выключен – запустить приложение можно через одноимённый файл в папке программы в меню «Пуск».

После запуска сервер потребуется настроить. Для этого откройте системный трей, найдите значок Litemanager, кликните по нему правой кнопкой мыши и выберите вариант «Settings for LM Server».

Нажмите на кнопку «Настройки сервера» и выберите вариант «Безопасность».

На вкладке «Авторизация» убедитесь, что отмечен пункт «Защита паролем», затем нажмите «Сменить/Установить», после чего введите восьмизначный пароль в оба текстовых поля.

Для запуска сервера снова воспользуйтесь значком в трее, но на этот раз просто кликните по нему левой кнопкой. Появится маленькое окошко со значением ID, запомните его или запишите. Также здесь можно задать PIN-код для защиты от нежелательного соединения. Нажмите «Connect» для запуска сервера.

Клиентский вариант можно запустить с ярлыка на «Рабочем столе». В окне приложения дважды кликните левой кнопкой мыши по элементу «Добавить новое соединение».

Во всплывающем окне введите значение ID и PIN, если задали таковой на предыдущем этапе, и нажмите «ОК».

Потребуется ввести пароль, заданный в настройках сервера на предыдущем шаге.

С помощью меню «Режимы», расположенном в правой части менеджера клиента, выберите нужный вариант подключения – например, «Просмотр», затем дважды кликните левой кнопкой по подключённому соединению.

Теперь можно просматривать содержимое экрана удалённого компьютера.

Лайтменеджер представляет собой чуть более сложное решение, чем рассмотренные выше, однако обеспечивает неплохие настройки безопасности и общий функционал работы с удалённой машиной.

Способ 4: AnyDesk

Отличной альтернативой всем ранее упомянутым программам является AnyDesk. Для использования ее даже не понадобится устанавливать на компьютер.

1. Загрузите исполняемый файл для Windows и поместите сначала на машину-сервер, затем на машину-клиент.
2. Запускайте вариант на компьютере, к которому нужно подключиться. Найдите в левой части окна блок «Это рабочее место», а в нём — текстовую строку с ID ПК. Запишите или запомните эту последовательность.

Теперь запустите приложение на клиентском компьютере. В блоке «Удалённое рабочее место» введите данные идентификатора, полученные на предыдущем шаге, и нажимайте «Подключиться».

На серверной машине потребуется принять вызов на подключение.

После установки соединения удалённый компьютер будет доступен для манипуляций со стороны клиента.

Как видим, пользоваться AnyDesk куда проще, чем иными приложениями из сегодняшней статьи, однако это решение не предоставляет прямого соединения и использует собственный сервер, что может быть чревато угрозами безопасности.

Способ 5: Системное средство

В Windows 7 и выше компания Майкрософт встроила средство удалённого доступа к другим машинам в одной и той же локальной сети. Его использование осуществляется в два этапа — настройка и собственно подключение.

Настройка
Для начала настроим компьютер, к которому будем подключаться. Процесс заключается в установке статического IP для этой машины, а также включение функции удалённого доступа.

Воспользуйтесь «Поиском», чтобы найти и открыть «Панель управления».

Переключите отображение значков в «Крупные», затем откройте пункт «Центр управления сетями и общим доступом».

Найдите ссылку, которая соответствует адаптеру подключения к интернету, и кликните по ней левой кнопкой мыши.

Далее откройте «Сведения».

Скопируйте значения из позиций «Адрес IPv4», «Шлюз по умолчанию», «DNS-серверы», они нам понадобятся для следующего шага.

Закрывайте «Сведения» и нажмите на кнопку «Свойства».

Найдите в списке пункт «Internet Protocol Network v4», выделите его и нажмите «Свойства».

Переключитесь на ручной ввод адресов и введите в соответствующие поля значения, полученные в сведениях о подключении на предыдущем этапе.

Теперь нужно включить функцию удалённого доступа. На Windows 10 потребуется открыть «Параметры» (удобнее всего комбинацией Win+I), затем выбрать «Система».

В настройках системы находим пункт «Удалённый рабочий стол» и активируем переключатель.

Потребуется подтвердить операцию.

На Windows 7 и старше откройте «Панель управления», пункты «Система» – «Настройка удалённого доступа» и отметьте галочкой опцию «Разрешать подключения от компьютеров с любой версией удаленного рабочего стола…».

Удалённое подключение
После всех приготовлений можно переходить к установке соединения.

Вызовите средство «Выполнить» сочетанием клавиш Win+R, введите команду mstsc и нажимайте «ОК».

Введите статический адрес компьютера, настроенный ранее, и нажимайте «Подключить».

Появится предложение ввести учётные данные аккаунта с целевого компьютера. Введите имя и пароль, и нажимайте «ОК».

Подождите, пока будет установлено соединение, затем перед вами появится окно с удалённым рабочим столом.

У системного метода имеется один очевидный недостаток – он работает только для компьютеров в локальной сети. Существует вариант включения этого средства для работы через интернет, однако он требует от пользователя некоторых специфичных навыков и небезопасен.

Заключение

Мы рассмотрели несколько способов удалённого подключения к другому компьютеру. Напоследок хотим напомнить – будьте внимательны, используя предложенные решения, поскольку существует риск потери личной информации.

Помимо этой статьи, на сайте еще 12415 инструкций.
Добавьте сайт Lumpics.ru в закладки (CTRL+D) и мы точно еще пригодимся вам.

Отблагодарите автора, поделитесь статьей в социальных сетях.

Источник