С понятием «удаленный доступ» или часто используемым в качестве синонима термином «виртуальная частная сеть» до сих пор связаны самые разнообразные и противоречивые представления. Даже известные рыночные аналитики регулярно корректируют свои же высказывания с учетом стремительных изменений, происходящих в этом сегменте рынка. Сегодня соответствующие решения должны обеспечивать нечто большее, чем просто удаленный доступ, а централизованное администрирование столь же востребовано, как и отсутствие проблем на конечных устройствах.

 

На развитие решений удаленного доступа во многом повлияла работа за пределами офиса (см. Рисунок 1), а также появление облачных сервисов (Cloud Services).

 

Рисунок 1. Почти три четверти немецких работников предпочли бы иметь более гибкие условия работы или уже регулярно работают на дому.

 

С распространением смартфонов и планшетных компьютеров мобильность уже почти ничем не ограничивается. Но все это создает серьезные сложности для обеспечения контролируемого удаленного доступа к корпоративной сети. Постоянная связь с централизованными ресурсами предприятия, периодический поиск информации в Интернете и стандартные приложения?— такие как электронная почта, системы планирования корпоративных ресурсов (Enterprise Resource Planning, ERP) и WiKi — требуют наличия защищенного подключения к сети. Кроме того, доступ к мобильному Интернету крайне многогранен и поэтому нужны особые решения для общественных беспроводных точек доступа (Hotspots), сетей WLAN, UMTS, а в дальнейшем и LTE.

 

КАК ВСЕ НАЧИНАЛОСЬ

Вначале поговорим о терминологии: понятие Remote Access означает удаленный доступ. Этот англоязычный термин служит для описания доступа к централизованным ресурсам при большом удалении от них. Изначально указанный метод применялся для дистанционного управления компьютером или сервером через частные или общественные сети посредством удаленной передачи данных. Широко распространенный способ удаленного доступа именуется виртуальной частной сетью (Virtual Private Network, VPN). По сути, VPN представляет собой инфраструктурное решение, а не специализированное средство обеспечения безопасности, чем ее часто считают.

Еще в 60-х годах прошлого века телефонные коммутируемые соединения начали применяться в качестве технического решения для удаленного доступа. В то время использовались так называемые телефонные адаптеры и модемы для подключения к терминалу в корпоративной сети. В середине 80-х вместе с распространением ПК появились специализированные публичные сети, основанные на различных технологиях для передачи данных: вначале на базе коммутации каналов (Datex-L), затем с пакетной коммутацией (Datex-P) с X.25, Frame Relay и ATM, и, наконец, с ныне устаревающей технологией ISDN. Во всех этих сетях защищенная коммуникация обеспечивалась с помощью общей функции «закрытая группа пользователей», которую можно считать предшественницей технологии VPN. Сегодня передача данных осуществляется главным образом через общедоступную сеть Интернет и по сетям сотовой связи.

 

НАДЕЖНАЯ КОММУНИКАЦИЯ В ТУННЕЛЯХ

Решение VPN позволяет осуществлять в таких незащищенных сетях безопасную коммуникацию через устойчивый к атакам «туннель» от одного конца соединения до другого. Такие туннели могут быть созданы на различных уровнях модели OSI:

  • Уровень 1: к примеру, с использованием технологии мультиплексирования по длине волны (Wavelength Division Multiplexing, WDM);
  • Уровень 2: с помощью Layer 2 Tunneling Protocol (L2TP), Point to Point Tunneling Protocol (PPTP) или в соответствии со стандартами Ethernet Virtual Circuits (EVC) посредством E Line, E LAN и E Tree организации Metro Ethernet Forum и Virtual Private LAN Services (VPLS);
  • Уровень 3: с помощью MPLS, IPSec или SSL.

В настоящее время предпочтение отдается решениям VPN на третьем уровне. Технология MPLS пока ориентирована исключительно на операторов сетей, поэтому конечные пользователи могут выбирать между IPSec и SSL. Выбор одного из этих двух методов зависит от конкретного случая применения, поэтому рекомендаций и мнений на этот счет огромное множество. Решения с применением SSL используются обычно для приложений на базе Web, когда конечное устройство не оснащено специальными клиентами (для IPSec), а технология IPSec, в свою очередь, встречается преимущественно во внутрикорпоративной коммуникации (Intranet). При этом различаются три варианта:

  • межсетевое соединение (Site to Site) — друг с другом связываются две сети, к примеру филиал с центральным представительством;
  • соединение из конца в конец (End to End) — связь между двумя определенными конечными устройствами, как правило, серверами, поэтому данная разновидность именуется также соединением между хостами (Host to Host);
  • соединение между устройством и сетью — конечное устройство связывается с удаленной сетью, например, когда мобильный сотрудник обращается к корпоративной сети со своего ноутбука или смартфона.

Решение для удаленного доступа должно обеспечивать для находящегося в пути пользователя такое же удобство работы, как в офисе. Управление конечным устройством должно осуществляться предельно просто, подключение к сети предприятия — одним нажатием на кнопку «соединить», а в идеале и вообще без каких-либо дополнительных команд. Кроме того, удаленный доступ должен быть возможен из любого места, включая общественные беспроводные точки доступа или отель.

 

Удаленное администрирование без VPN

Когда речь идет о дистанционной работе, одного удаленного доступа к сети недостаточно: сама по себе виртуальная частная сеть (VPN) не может предоставить все те возможности, которые сегодня предлагают специализированные программные решения. Если VPN обеспечивает защищенный доступ к сетевым ресурсам, то ПО для удаленного управления компьютерами обеспечивает полноценный контроль: оно позволяет видеть экран компьютера и работать с ним обычным образом. Помимо этого сфера применения подобного ПО включает удаленное администрирование, оказание техподдержки пользователям и многое другое.

В случае разветвленной структуры сети компании, филиалы которой разбросаны по всему миру, удобно создать VPN и администрировать компьютеры с помощью программы для удаленного упраления. Однако во многих случаях настроить возможность подключения для этих программ через Интернет гораздо проще, чем развертывать сложные и дорогие в реализации VPN.

Для управления удаленными компьютерами многие российские и зарубежные организации используют программу Radmin российской компании «Фаматек». Работа с ней не требует специальной подготовки и значительных системных ресурсов. Radmin Server и клиент Radmin Viewer поддерживают ОС Windows, в том числе 32- и 64-разрядную версии Windows 7. Radmin всегда работает в режиме защиты данных, при котором весь передаваемый трафик, включая изображения экрана, перемещения курсора и сигналы клавиатуры, надежно защищен с помощью стойких современных алгоритмов шифрования. Собственная технология DirectScreenTransfer с драйвером видеозахвата ускоряет частоту передачи изображения экрана до нескольких сотен обновлений в секунду, обеспечивая работу за удаленным компьютером в режиме реального времени.

Особенно эффективно применение Radmin для удаленного администрирования и оказания техподдержки сотрудникам территориально распределенных служб и филиальных сетей. Например, авиакомпания «ЮТэйр» имеет более 50 представительств — это несколько тысяч рабочих станций и десятки серверов. В департаменте ИТ работает 130 человек, которые обслуживают более 3000 рабочих станций. Установка Radmin помогла рациональнее распределить время работы администраторов, не держать в каждом регионе присутствия собственных ИТ-специалистов и не заключать договоры с подрядчиками для сопровождения ПО, тем более, что не всегда сотрудник обслуживающей компании способен устранить сбои или произвести настройку специализированных продуктов. Специалисты департамента ИТ теперь быстрее реагируют на нештатные ситуации и своевременно оказывают техническую помощь конечным пользователям.

В Центральном выставочном комплексе «Экспоцентр», где установлено более 300 рабочих станций, Radmin применяется для поддержки пользователей, когда необходимо быстро установить или переустановить программное обеспечение, переконфигурировать рабочие места (обновить драйверы, перенаправить печать и т. д. Кроме того, программа используется для управления серверами). Поскольку у таких машин отсутствуют и монитор, и манипуляторы, программа удаленного доступа является оптимальным решением для их контроля.

Дмитрий Зноско, генеральный директор компании «Фаматек»

 

Более высокие требования к удаленному доступу предъявляет администратор. Ему хотелось бы, чтобы управлять всеми возможными удаленными пользователями и системами управления было бы так же просто, как и при нахождении в собственной локальной сети. При этом у пользователя не должно быть доступа к настройкам. Кроме того, с точки зрения администрирования, производительному решению, помимо основополагающих функций, необходим еще целый ряд важных характеристик, в том числе быстрое и простое развертывание (Rollout) для крупномасштабных инсталляций за счет автоматизированной инициализации пользователей. Кроме того, внесение изменений для увольняющихся и новых сотрудников должно быть автоматизировано с использованием централизованной административной базы данных. Аналогично обстоят дела и с обновлением программного обеспечения: при удаленном доступе можно, к примеру, автоматически проверять доступную скорость передачи данных и в зависимости от этого применять необходимые обновления.

 

Рисунок 2. Пользовательский интерфейс клиента от NCP для корпоративного использования идентичен для всех операционных систем и предоставляет пользователям обзор всех важных параметров.

Еще одно требование к мощному решению для удаленного доступа: реализация общекорпоративных директив безопасности. Так, при каждом подключении решение может проверять клиента на наличие актуальных обновлений антивирусных программ или операционной системы и при необходимости отправлять его в карантин. В число требований могут входить высокая системная доступность решения (это достигается избыточным исполнением центральных компонентов), возможность сквозного администрирования и совместимость со шлюзами VPN именитых производителей. Еще одна функция, не подразумеваемая по умолчанию, но важная для практического применения, — непрерывный роуминг клиента VPN, к примеру, с помощью функции «всегда включен» (Always on), которая обеспечивает плавный переход между сетями WLAN, UMTS и LAN.

Как видим, решение для удаленного доступа должно справляться не только со своей основной задачей, но и обеспечивать целостный подход, соответствующий реальным условиям на предприятии. Одно из таких решений для удаленного доступа предлагает компания NCP Engineering. Оно реализует концепцию, куда входят централизованная система администрирования удаленного доступа, шлюзы VPN с поддержкой SSL и IPSec, а также клиенты VPN. Помимо централизованно администрируемого клиента Secure Enterprise Client, привязанного к системе (см. Рисунок 2), имеется и универсальный клиент VPN (Secure Entry Client), который можно использовать в комбинации со шлюзами VPN сторонних производителей. Для целей администрирования особая роль отводится централизованной системе управления клиентами и шлюзами с высокой степенью автоматизации, для чего используется интегрированный механизм сценариев (Scripting Engine).

Герхард Кафка — независимый журналист в сфере телекоммуникаций.