Технология удаленного рабочего стола. Протоколы, безопасность, настройка

Соединения ICA представляют собой логические порты ввода/вывода, настраиваемые на сервере. Когда клиент ICA связывается с сервером через соединение ICA, он устанавливает сеанс (сессию) ICA.

 

1.3 VIRTUAL NETWORK COMPUTING (VNC) 

Virtual Network Computing — система удалённого доступа к рабочему столу компьютера, использующая протокол RFB (Remote Frame Buffer, удалённый кадровый буфер). Система VNC платформонезависима: VNC-клиент, называемый VNC viewer, запущенный на одной операционной системе, может подключаться к VNC-серверу, работающему на любой другой ОС. Существуют реализации клиентской и серверной части практически для всех операционных систем, в том числе и для Java (включая мобильную платформу J2ME). К одному VNC-серверу одновременно могут подключаться множественные клиенты. Наиболее популярные способы использования VNC — удалённая техническая поддержка и доступ к рабочему компьютеру из дома.

VNC реализует клиент – серверную архитектуру. Взаимодействие клиента с сервером осуществляется на основе протокола RFB. RFB — простой клиент-серверный сетевой протокол прикладного уровня для удалённого доступа к графическому рабочему столу компьютера. При передаче изображения рабочего стола сервера используются графические примитивы, в самом простом варианте это приводит к существенному трафику. Для уменьшения нагрузки на канал разработаны различные кодировки . Протокол RFB позволяет клиенту и серверу «договориться» о том, какая кодировка будет использована. Самый простой метод кодирования, поддерживаемый всеми клиентами и серверами — «raw encoding» (рус. сырое кодирование), при котором пиксели передаются в порядке слева - направо, сверху - вниз, и после передачи первоначального состояния экрана передаются только изменившиеся пиксели. Этот метод работает очень хорошо при незначительных изменениях изображения на экране (движения указателя мыши по рабочему столу, набор текста под курсором), но загрузка канала становится очень высокой при одновременном изменения большого количества пикселей, например, при просмотре видео в полноэкранном режиме. За время своего развития протокол оброс различными дополнительными функциями и опциями такими как передача файлов, сжатие, безопасность.

По умолчанию RFB использует диапазон TCP-портов с 5900 до 5906. Каждый порт представляет собой соответствующий экран X-сервера (порты с 5900 по 5906 ассоциированы с экранами с :0 по :6). Многие компьютеры под управлением ОС Windows могут использовать лишь один порт из-за отсутствия многопользовательских свойств, присущих UNIX-системам. Для Windows-систем экран по умолчанию — :0, что соответствует порту 5900.

Также существует возможность обратного подключения  от сервера к клиенту. В этом случае клиент переводится в слушающий (англ. listening) режим и соединение инициируется сервером на 5500 TCP-порт клиента.

Изначально VNC не использует шифрование трафика, однако в процедуре аутентификации пароль не передается в открытом виде, а используется алгоритм «вызов-ответ» с DES-шифрованием (эффективная длина ключа составляет 56-бит). Во многих реализациях существует ограничение в 8 символов на длину пароля и если его длина превосходит 8 символов, то пароль урезается, а лишние символы игнорируются.

При необходимости  надежного шифрования всей VNC-сессии, она может быть установлена через SSL, SSH или VPN-туннель, а также поверх IPSec. Технология IPSec поддерживается подавляющим большинством современных ОС и используется как при соединении через Интернет, так и в локальных сетях. SSH-клиенты позволяют создавать SSH-туннели как со всех основных платформ (UNIX, Windows, Macintosh и др.), так и для менее популярных. Различные плагины позволяют реализовать при передаче шифрование на основе AES, CH- 4, SSL и др. алгоритмов шифрования.

1.4 X WINDOW SYSTEM

X Window System – оконная система преобладающая на UNIX – машинах, разработанная сообществом X Consortium.  X Window System или сокращенно Х11(сокращенно от версии системы) реализует клиент – серверную архитектуру. Х – сервер управляет дисплеем рабочей станции. Клиент может подключаться к серверу на уровне TCP\IP и производить графические операции. В X Window System предусмотрена сетевая прозрачность: клиент  и сервер могут выполняться на разных машинах соединенных через сеть. В частности, они могут работать на различных архитектурах под управлением разных операционных систем — результат будет одинаковым. Чтобы запустить удалённую клиентскую программу, выводящую графику на локальный X-сервер, пользователь обычно открывает эмулятор терминала и подключается к удалённой машине при помощи telnet или SSH. Затем он отдаёт команду, указывающую дисплей, на который следует выводить графику (например, export DISPLAY=[имя компьютера пользователя]:0 при использовании bash). Наконец, пользователь запускает клиентскую программу. Она подключится к локальному X-серверу и будет отображать графику на локальный экран и принимать ввод от локальных устройств ввода. Другой вариант — использовать небольшую вспомогательную программу, которая подключается к удалённой машине и запускает на ней нужное клиентское приложение.

X Window работает  через TCP, и по умолчанию использует порты сервера начиная с 6000. Для каждого подключенного монитора выделяется отдельный порт, при одном подключенном мониторе Х-сервер прослушивает 6000 порт, при двух второй монитор прослушивается на 6001 порту и т.д. 

Для подключения клиента к X – серверу протокол Х11 определяет следующую модель взаимодействия. Клиент должен отправить серверу инициализирующий байт  содержащий  восмеричный код указывающий порядок передачи старшего байта запросов. После отправки инициализирующего байта клиент формирует сообщение с информацией, необходимой для установки соединения, следующего вида:

protocol-major-version: CARD16

protocol-minor-version: CARD16

authorization-protocol-name: STRING8

authorization-protocol-data: STRING8

 

В данном сообщении  клиент указывает протоколы по которым  будет осуществляться  авторизация(аутентификация) клиента. Механизмы авторизации не входят в состав Х11 и определяются отдельно.

Протокол  Х11 определяет набор и синтаксис  сообщений, которыми могут обмениваться клиент и сервер. Все управляющие сообщения в общем можно разделить на несколько групп: запросы, ответы, события и ошибки. Посредством сообщений – запросов и – ответов обрабатываются графические изменения. Сообщения события формируются при нажатии клавиш клавиатуры или мыши, движении мыши.

  Для работы X Window систем существуют наборы API,  основным из которых является Xlib. Xlib поддерживает взаимодейстие с основными сетевыми протоколами и позволяет Х – клиентам без проблем подключаться как к локальным, так и удаленным Х – серверам.

1.4.1 БЕЗОПАСНОСТЬ X WINDOW

Стандартная модель безопасности X Window – «все или ничего».  Либо приложение может выполнять любые операции на рабочем столе, либо никаких. Такая политика имеет как свои плюсы, так и недостатки. Например, позволяет оконным менеджерам быть полноценными X – клиентами. С другой стороны враждебный клиент также может подключиться к Х – серверу и получить все права законного клиента:

• просмотр пользовательского ввода, включая вводимые пароли
• чтение любой информации, отправленной на экран
• вывод любой информации на экран
• запуск или завершение любого приложения
• получение контроля над пользовательской сессией

 

 По этой  причини, Х – сервер зависим  от клиента, с которым установил  соединение.

Данные, передаваемые по сети между X-сервером и удалёнными X-клиентами, по умолчанию  не шифруются. Злоумышленник может при помощи сниффера перехватить и прочитать эти данные. Для предотвращения этого, как правило, X туннелируется поверх SSH. Большинство реализаций SSH поддерживает тунелирование X-приложений, хотя иногда эти функции по умолчанию отключены.

Начиная с версии X11R4 в X Window  два основных механизма контроля доступа.

1.4.1.1 ХОСТ - АУТЕНТИФИКАЦИЯ

Хост-аутентификация  основана на определении источника  соединения. Х – сервер проверяет  IP адрес источника запроса и в зависимости от настроенных разрешений запрещает или предоставляет клиенту доступ  к рабочему столу. Управление данным механизмом осуществляется при помощи команды xhost. Рассмотрим несколько примеров применения данной команды:

• Разрешение доступа любому клиенту

arturo@local.host> xhost +

access control disabled, clients can connect from any host

• Запрет любых входящих запросов

arturo@local.host> xhost -

access control enabled, only authorized clients can connect

• Предоставление доступа удаленному хосту

arturo@local.host> xhost +

remote.host

remote.host being added to access control list

• Проверка состояния рабочего стола и списка доступа:

arturo@local.host> xhost

access control enabled, only authorized clients can connect

INET:remote.host

Стоит отметить, что нет механизма позволяющего разорвать текущее соединение X Window.  Команда «xhost -» не действует на текущее соединение. Команда xhost использует “/etc/XD.hosts” файл, содержащий данные аутентификации Х – сервера.

1.4.1.2 АУТЕНТИФИКАЦИЯ ПОЛЬЗОВАТЕЛЯ

Начиная с версии X11R6 в X Window включены четыре механизма аутентификации пользователя:

• MIT-MAGIC-COOKIE-1

общедоступные  текстовые "cookies".

• XDM-AUTHORIZATION-1

защита на основе алгоритма DES c секретными ключами.

• SUN-DES-1

защита на основе RPC системы компании Sun.

• MIT-KERBEROS-5

использование алгоритма Kerberos v.5 user-to-user.

Из представленных методов наиболее распрострненым является первый. При использовании MIT-MAGIC-COOKIE-1,  клиент отправляет 128 бит “cookie” вместе с информацией о соединении. Если cookie предоставленный клиентской машиной, присутствует в базе сервера, то соединение разрешается. Cookie выбираются таким образом, чтобы их было максимально трудно подобрать.  Команда Xauth отвечает за управление файлом $HOME/.Xauthority, который содержит информацию для аутентификации и имеет следующий формат:

Display name user authentication method cookie

Таким образом Х11 является хорошим решением удаленного доступа вдоверенных  сетях с системами основанных на X Window. Протокол предоставляет огромные возможности управления удаленным экраном пользователю, но технология передачи данных с экрана при отображении сложных структур с частой сменой картинки, требует от канала связи высокой пропускной способности. Протокол был разработан для взаимодействия в доверенных сетях, это послужило причиной большого числа уязвимостей в системе защиты. Поэтому для безопасной передачи данных через сеть интернет требует четкой настройки параметров безопасности, в частности использования тунелирования передаваямого трафика посредством SSH или VPN.

2. ПРОГРАММЫ УДАЛЕННОГО УПРАВЛЕНИЯ

На сегодняшний день на рынке  программного обеспечения представлено большое число программ удаленного управления. Большинство из них предоставляет  обширный выбор средств для удаленного администрирования. Все представленные программы можно разделить по нескольким классификациям:

• по типу лицензии
• по используемому протоколу
• по предоставляемым функциям
• по системной ориентации

По типу лицензии данный класс программ  делится на платные и бесплатные. Надо заметить, что многие компании, выпускающие платные программные  продукты  используют проприетарные протоколы удаленного управления. В то время как бесплатные версии работают на основе широко распространенных протоколов: VNC, RDP, X11, ICA и д.р. В ниже приведенной сводной таблицы отображены многие известные программы удаленного управления:

Продукт

Протокол

Лицензирование

Режим Работы

Встроенное шифрование

Передача файлов

Передача звука

Многоклиентный  режим

Бесшовные окна

Удаленный помощник

Запрос права  доступа

Обход NAT

Linux клиент

Mac OS X клиент

Microsoft Windows клиент

Ammyy AdminFree

RDP, собственный

Собственность

Клиент & Сервер

AES-256, RSA

✓

✓

✓

✓

✓

✓

✓

✓

AnywhereTS

RDP, ICA

Собственность

Клиент

SSL, TLS

✓

✓

✓

X

X

✓

✓

Apple Remote Desktop

VNC

Собственность

Клиент & Сервер

AES-128

✓

X

✓

X

X

✓

X

Bomgar

Собственность,X11

Собственность

Клиент & Сервер

SSL, AES-256

✓

X

✓

✓

✓

✓

✓

Cendio ThinLinc

VNC

Собственность

Клиент & Сервер

SSH

✓

✓

✓

✓

✓

✓

✓

Citrix XenApp

RDP, ICA

Собственность

Клиент & Сервер

SSL, TLS

✓

✓

✓

✓

✓

✓

✓

DameWare Mini Remote Control

RDP,Собственность

Собственность

Клиент & Сервер

SSL, AES-256

✓

✓

✓

X

✓

X

X

✓

EchoVNC

VNC

GPL

Клиент & Сервер

✓

✓

X

✓

X

✓

X

✓

FreeNX

NX, RDP, VNC

GPL

Клиент & Сервер

AES

✓

✓

✓

✓

✓

✓

✓

GO-Global

Собственность

Собственность

Клиент & Сервер

SSL, DES-56,DES-168, AES-256

✓

X

✓

✓

✓

✓

✓

I'm InTouch

Собственность

Собственность

Клиент & Сервер

SSL, AES-256

✓

✓

✓

X

✓

✓

✓

IBM DirectorRemote Control

Собственность

Собственность

Клиент & Сервер

AES, Triple DES,DES

✓

X

✓

X

X

X

✓

ISL Light

Собственность

Собственность

Клиент & Сервер

SSL, AES-256

✓

✓

✓

X

✓

✓

✓

✓

KRDC

VNC, RDP

GPL

Клиент

X

X

✓

✓

✓

✓

X

X

LogMeIn Free

Собственность

Собственность

Клиент & Сервер

SSL

X

X

✓

X

X

✓

✓

Mikogo

Собственность

Freeware

Клиент & Сервер

AES-256

✓

X

✓

X

X

✓

✓

Netsupport Manager

Собственность

Собственность

Клиент & Сервер

✓

✓

✓

✓

✓

✓

✓

✓

Netviewer

Собственность

Собственность

Клиент & Сервер

AES-128

✓

✓

✓

X

X

X

✓

Proxy Networks

Собственность

Собственность

Клиент, Сервер, and Gateway

SSL, AES-256

✓

X

✓

✓

X

X

✓

rdesktop

RDP

GPL

Клиент

✓

✓

✓

✓

✓

✓

✓

✓

Remote Administrator

Собственность

Собственность

Клиент & Сервер

AES-256

✓

✓

✓

✓

✓

✓

X

✓

X

✓

Remote Desktop Services/Terminal Services

RDP

Собственность

Клиент & Сервер

✓

✓

✓

✓

✓

✓[

✓

X

✓

✓

✓

Remote Graphics Software

Собственность

Собственность

Клиент & Сервер

✓

✓

✓

✓

X

✓

X

✓

SimpleHelp

Собственность

Собственность

Клиент & Сервер

448-bit

✓

X

✓

X

✓

✓

✓

Sun Secure Global Desktop Software/Sun VDI

AIP

Собственность

Клиент & Сервер

SSL, TLS (AES-256)

✓

✓

✓

✓

✓

✓

✓

SymantecpcAnywhere

Собственность

Собственность

Клиент & Сервер

AES-256

✓

X

✓

X

✓

✓

✓

TeamViewer

Собственность

Собственность

Клиент & Сервер

AES-256

✓

✓

✓

✓

✓

✓

✓

✓

✓

✓

TightVNC

VNC

GPL

Клиент & Сервер & Прослушивание

SSH (unix Клиент )

✓

X

✓

X

✓

✓

✓

Timbuktu

Собственность

Собственность

Клиент & Сервер

✓

✓

X

✓

X

X

✓

✓

UltraVNC

VNC

GPL

Клиент & Сервер

With plugin

✓

X

✓

X

X

✓

x2x

X11

BSD

Клиент

X

X

X

✓

N/A

✓

✓

✓

XDMCP

X11

MIT

Клиент & Сервер

X

X

X

✓

X

✓

✓

X