Удаленный доступ в компьютерную сеть. Удаленная...

Удаленный терминальный доступ

Удаленный доступ в компьютерную сеть.

Удаленная работа с компьютерной системой.

Виртуальные машины.

УДАЛЕННЫЙ ДОСТУП

Удаленный доступ

Системы удаленного доступа (Remote Access) – это ряд технических решений, обеспечивающих «прозрачное» подключение к сети для удаленных клиентов или малых сетевых сегментов, как правило, расположенных за пределами локальной сети организации.

Удаленный доступ используется для подключения к сети организации мобильных или домашних компьютеров сотрудников. Технологии удаленного доступа используют поставщики услуг Интернет, для подключения к сети Интернет клиентов.

Задача системы удаленного доступа – обеспечить удаленному клиенту безопасную работу в локальной сети использованием требуемых протоколов сетевого и прикладного уровня (IPX, TCP/IP, AppleTalk и NetBEUI).

Routing and Remote Access Service (RRAS)

Удаленный доступ RAS

С помощью клиентского приложения для удаленного доступа (Remote Access Client), пользователи инициируют подключение к серверу удаленного доступа (Remote Access Server, RAS). RAS выполняет проверку подлинности пользователей и обслуживает сеанс связи на протяжении всего времени подключения, пока оно не будет завершено.

Через удаленное подключение клиенту доступны те же сетевые службы, которые доступны пользователям локальной сети (IP-адресация, DNS, DHCP, ActiveDirectory, файловые серверы, сетевые принтеры, веб-сервер, e-mail, Интернет и т.д.). Скорость работы через удаленное соединение, как правило, ниже локальной.


Средства защиты системы удаленного доступа

•Проверка подлинности и авторизация•Протокол расширенной проверки подлинности EAP (Extensible Authentication Protocol)•Шифрование данных•Код вызова•Блокировка учетной записи при удаленном доступе


Проверка подлинности и авторизацияПроверка подлинности – это проверка учетных данных попытки подключения. В процессе проверки подлинности клиент удаленного доступа посылает свои учетные данные серверу удаленного доступа, используя протокол проверки подлинности. Авторизация (Права доступа)– это подтверждение того, что попытка подключения разрешена данному пользователю, в данное время и данным способом. Авторизация происходит после успешной проверки подлинности.Сервер удаленного доступа может требовать использования определенных методов безопасной проверки подлинности. Если клиент удаленного доступа не может использовать требуемые методы проверки подлинности, подключение отклоняется.Протокол EAP (Extensible Authentication Protocol)Протокол EAP является стандартом, позволяющим использовать для проверки PPP-подключений дополнительные механизмы проверки подлинности. Протокол проверки подлинности представляет собой серию сообщений, посылаемых в определенном порядке. Windows поддерживают два типа EAP для клиентов удаленного доступа – EAP-MD5 и EAP-TLS. Служба маршрутизации и удаленного доступа (Routing and Remote Access service) для Windows Server обеспечивает поддержку EAP-MD5, EAP-TLS и отправку EAP-сообщений RADIUS-серверу.PAP (Password Authentication Protocol) - протокол простой проверки подлинности,предусматривающий отправку имени пользователя и пароля на сервер удаленного доступа открытым текстом (без шифрования).CHAP (Challenge Handshake Authentication Protocol) - протокол, предусматривающий передачу не самого пароля пользователя, а хеш-кода MD5 (Message Digest-5), вычисленного на основе пароля.


Взаимная проверка подлинностиВзаимная проверка подлинности выполняется путем проверки подлинности обеих сторон подключения, выполняющих шифрованный обмен учетными данными. Для PPP-подключений возможно использование протоколов проверки подлинности EAP-TLS или MS-CHAP v2. В процессе взаимной проверки подлинности клиент удаленного доступа предоставляет свои учетные данные серверу удаленного доступа для проверки, и наоборот.Шифрование данныхМеханизмы шифрования обеспечивают шифрование данных, передаваемых между клиентом и сервером удаленного доступа. С помощью этих механизмов шифруются только данные в канале между клиентом и сервером удаленного доступа.Код вызоваКод вызова (Caller-ID) может использоваться для проверки того, что входящий вызов поступил с определенного телефонного номера. Код вызова является одним из параметров свойств удаленного подключения учетной записи пользователя. Если код (ID) вызова входящего подключения, производимого определенным пользователем, не совпадает с указанным для этого пользователя кодом вызова, попытка подключения отклоняется. Блокировка учетной записи при удаленном доступеФункция блокировки учетной записи при удаленном доступе используется для того, чтобы задать количество неудачных попыток подключения, не прошедших проверку подлинности, после которых пользователю будет отказано в удаленном доступе.


Удаленный доступ и удаленная работа

Удаленный доступ и удаленная работа в сети

Поддержка клиентов RADIUSСлужба удаленного доступа протокол службы удаленной проверки подлинности RADIUS (Remote Authentication Dial-In User Service) в качестве поставщиков служб проверки подлинности и учета.

Поддержка протокола DHCPПротокол динамической конфигурации узла (Dynamic Host Configuration Protocol, DHCP) используется для автоматического назначения IP-адресов и сетевых настроек TCP/IP удаленных клиентов.


Многоканальные подключения и протокол распределения пропускной способностиДля физических каналов связи удаленных подключений могут использоваться многоканальные подключения и протокол распределения пропускной способности (Bandwidth Allocation Protocol, BAP). При использовании многоканальных подключений несколько физических каналов связи объединяются в один логический канал, по которому отправляются и принимаются данные. Многоканальные подключения должны поддерживаться обеими сторонами подключения.BAP позволяет динамически управлять многоканальным соединением в зависимости от нагрузки и характеристик каналов.Ответный вызовПри использовании коммутируемого соединения сервер удаленного доступа может производить ответный вызов. Этот способ используется для повышения безопасности и снижения затрат мобильных абонентов на оплату телефонных услуг.


УДАЛЕННАЯ РАБОТА

доступ к виртуальному компьютерудоступ к приложению

Терминал

UNIX – текстовые Shell и X-Windows терминалы Windows Server - удаленный рабочий стол, RDP (Remote Desktop

Protokol) Citrix Metaframe - технология Independent Computing

Architecture (ICA)

Terminal-server

Terminal-client

Применение терминальных технологий

- Удаленное управление сервером (компьютером, сетевым устройством)- Работа на клиентском оборудовании с ограниченной функциональностью (устаревшее,

несовместимое).- Работа в условиях низкой скорости передачи (удаленный доступ, устаревшие сегменты).

Сервер терминалов

Windows Terminal Server Remote DesktopCitrix MetaFrameUnix (NX Server)

Применение терминальных технологий

RDP server

Для лицензирования работы в терминальном режиме необходимо: Лицензия на ОС MS Windows Server 2000/2003/2008.Клиентские лицензии доступа к серверу (CAL) по числу пользователей.Клиентские лицензии терминального доступа по числу пользователей (на пользователя или на устройство). Лицензии на совместно используемое приложение по числу пользователей, + 1 для сервера.

Лицензирование терминалов

RDP client

MS HyperTerminal

Удаленный доступ и терминальные технологии

Удаленная загрузка

Порядок работы:

1.Загрузка бездисковой станции с BootROM сетевой карты.2.Загрузка образа операционной системы из сетевой папки сервера.3.Загрузка приложений.

BootROM:PXE Pre-boot (или Pre-OS) eXecution Environment (среда предзагрузочного выполнения) — спецификация Intel. Etherboot — оpensource проект.

Рабочая станция «Тонкий клиент»

Применение технологий “тонкий клиент”

- Использование клиентского оборудования минимальной конфигурации.

- Уменьшение затрат на настройку клиентского оборудования (+/-).

- Полный контроль работы клиента.

Тонкий клиент HP

УДАЛЕННОЕ УПРАВЛЕНИЕ

Удаленное управление

Технологии удаленного управления: Remote Desktop Protocol (RDP), tcp 3389, 1503 Telnet (rfc 854), tcp 23 Ssh (rfc 4251), tcp 22 Http, https (rfc 2616, rfc 2818), tcp 80, tcp 443 SNMP (rfc 1157), udp 161 WMI (Windows Management Instrumentation), tcp 135 Independent Computing Architecture (ICA) Citrix Virtual Network Computing (VNC), Remote FrameBuffer (RFB) протокол, tcp 5900 -

5906

Программное обеспечение удаленного управления:HyperTerminal, RDP, Pytty, OpenSSH, …pcAnywhere, Radmin, UltraVNC, RealVNC, NetOP …

Протоколы и средства удаленного управления

Telnet (TErminaL NETwork) - позволяет пользователю установить TCP-соединение (порт 23) с сервером и затем передавать коды нажатия клавиш так, как если бы работа проводилась на консоли сервера (аналогично текстовому терминалу).

NVT - Netvork Virtual Terminal - Принцип виртуальных терминалов. После установления соединения каждый участник работает как «Виртуальный сетевой терминал» - мнимое устройство, выполняющее стандартные сетевые промежуточные функции обычного терминала. NVT - устройство для ввода/вывода 7-и битных ASCII символов:

10 LF Перенос курсора на след. строку с сохр. позиции. 13 CR Перенос курсора на начало текущей строки. 8 BS Перенос курсора на одну позицию влево 9 HT Перенос курсора на следующую позицию горизонтальной табуляции 11 VT Перенос курсора на следующую позицию вертикальной табуляции 12 FF Перенос курсора на начало след страницы с сохранением позиции в строке….


SSH (Secure Shell) - сетевой протокол сеансового уровня, позволяющий производить удалённое управление операционной системой. Позволяет пользователю установить безопасное TCP-соединение (порт 22), использует шифрование, производит аутентификацию ПК и формирование коммуникационного канала с шифрованием передаваемых данных. Применим для шифрования различных TCP/IP сессий (FTP, HTTP).


SNMP (Simple Network Management Protocol)

.1.3.6.1.4.1.23.2.28.1.3.0


WMI (Windows Management Instrumentation)

WMI - технология централизованного управления и слежения за работой различных частей компьютерной инфраструктуры под управлением платформы Windows.

Через WMI можно получать данные о состоянии основных параметров (загрузка ЦП, ОЗУ, свободное пространство на дисках и т.д.) , работе служб и сервисов компьютера под управлением Windows.

Для управления компьютером через WMI используется 135 порт TCP.


ICA Citrix

• Cетевой транспорт: TCP/IP, IPX, SPX, NetBIOS, прямое асинхронное соединение.

• Возможность настройки ответного вызова.

• Теневые сеансы (shadowing) - наблюдение за сеансом с другого устройства.

• Переназначение локальных устройств (принтеров).


pcAnywhereRadminRealVNCNetOP


ВИРТУАЛЬНЫЕ МАШИНЫ

Удаленное управление и виртуализация

Терминальные технологии


Виртуализация


Реальное аппаратное обеспечение компьютера

Основная операционная система

MAC_0, IP_0, Name_0

лвс

Гостевая операционная

система №1(Windows)

MAC_1IP_1, IPX_1

Name_1

Эмуляция аппаратного обеспечения

ВМ №1

Гостеваяоперационная

система №2(Linux)MAC_2

IP_2Name_2

Гостеваяоперационная

система №3(MacOS)MAC_3

IP_3Name_3


ВМ №2


ВМ №3

Виртуализация

Средства виртуализации

VMware ESX ServerVMware ESXiVMware WorkstationVMware ServerVMware vSphere 5MS Virtual PCMS Hyper-VCitrix XenServer

Программная виртуализация


Аппаратная виртуализация

HyperThreading - Symmetric Multi Processing (SMP).Набор дополнительных инструкций Virtual Machine Extensions (VMX) для предоставления прямого доступа к ресурсам процессора из гостевых систем:

• Intel Virtualization Technology (Intel VT-x), требуется соответствующий чипсет.• AMD Virtualization (AMD-V).


Oracle VM VirtualBox

Удаленный терминальный доступ

Удаленный доступ в компьютерную сеть. Удаленная...

Documents