熱點推薦:
您现在的位置: 電腦知識網 >> 電腦故障 >> 正文

Win 2000 遠程控制的3種安全解決方法

2013-11-11 23:59:14  來源: 電腦故障 

  
  
  引言
  我們設想有一個遠程控制方案:一個公司要安置這樣一個IISWeb服務器它被放在裡以外服務器是寬帶網絡有空調裝置電力控制裝置三者結合的個服務器中心這個網絡服務中心既穩固又價錢合理但要求客戶必須完全遠程控制服務器這種控制是隨時的而不必要經常跑到控制台對服務器進行操作通常遠程控制存在若干問題最明顯的是客戶端機器和主機的通信要通過因特網傳送這樣交換數據可能被黑客嗅探還有一個問題就是遠程控制本身漏洞 (例如它開放的端口)也會導致網絡攻擊選擇遠程控制方案最終的目標就是要保證作為網關的你 (僅僅是你)能控制服務器而不會導致其他網絡攻擊
  
  遠程控制方案安全原則如下:
  
  確保遠程控制權限的安全性
  遠程控制必須能夠預防非授權訪問這也就意味著遠程管理軟件只接受一個小范圍IP地址的連接並需要用戶名和口令的控制通過智能卡相客戶驗證的引進遠程控制安全性進一步加強也可以用一些簡單現成的技術來增強如使用非標准端口來提供服務或者不顯示服務旗標的一些安全配置手段
  
  確保遠程交換數據的完整性
  在遠程控制中要防止數據丟失我們必須確保遠程控制服務器和客戶端數據傳送的完整性和即時性 (也就是說發送的數據是可靠的且不被重發)
  
  確保敏感數據傳輸的機密性
  對與遠程控制最重要的一點是保證敏感數據在因特網傳輸的機密性這就要防止傳輸的數據報文不會被黑客嗅擦這就要使用強健可行的加密算法進行會話加密這種加密的優點在於:即使攻擊者嗅探到了數據對嗅探的人也沒什麼用處
  
  確保事件出志能夠安全審計
  良好的安全審計能大幅度提高遠程控制的整體安全性並將安全隱患和技術犯罪扼殺於萌芽狀態審計日志的主要作用在於讓管理員了解有哪些人訪問了系統使用了哪些服務等等這就要求服務器對企圖通過技術犯罪入侵的黑霉遠程控制蹤跡有一個足夠充分足夠安全的日志記錄
  
  Windows 遠程控制的種安全解決方法
  
  盡管遠程控制Windows有很多種方法並不是所有的軟件都符合上面的遠程控制方案安全原則我們可以通過組合不同的軟件來完成我們所需要的遠程控制解決方案
  下面的一些例子就是通過對Windows自帶服務或者第三方軟件組合使用來達到安全可靠的遠程控制
  
  方法Windows終端服務結合Zebedee軟件的使用
  終端服務是在Windows中提供的允許用戶在一個遠端的Windows服務器上執行基於Windows的應用程序的技術終端服務應該是Windows服務器進行遠程管理使用最多的辦法這和它的使用便利性以及其屬於Windows內置的服務同時帶來的其他好處有關比如可以使用Windows服務器自帶的認證系統但是這個終端服務程序本身有一些缺陷:它無法對客戶連接IP作出限制的機制它沒有明確提出改變缺省監聽端口的辦法它的日志審計功能也就是說沒有日志記錄工具基於本文開頭提到的遠程控制方案的安全原則單獨使用終端服務並不是很安全的但我們可以通過通過與Zebedee軟件結合終端服務就可以實現上面的遠程管理安全需要
  Zebedee的工作原理如下Zebedee監聽本地指定的應用將要傳輸的TCP或UDP數據進行加密壓縮Zebedee客戶端與服務器端之間建立了一個通信隧道壓縮加密的數據就在這個通道上進行傳輸可以令多個TCP或UDP的連接建立在同一個TCP連接之上
  通常使用Zebedee分以下兩步:
  
  第一步:配置Zebedee的監聽端口
  用到如下的命令:
  C:\zebedee s o serverlog
  
  第二步:在客戶機上配置監聽端口並且
  使它重定向到你服務器上Zebedee的監聽端口
  用到如下命令:
  C:\>zededee serverhost:
  這樣Zebedee就開始啟動它與終端服務的結合使用原理如圖所示從圖中可以看到當開啟終端服務的客戶端進程(目標TCP端口:)時緊接著本地Zebedee客戶端同時開始截取數據包Zebedee將數據加密壓縮後發給Zebedee服務器(這裡Zebedee服務缺省端口Zebedee服務器接到後再解壓縮解密傳遞給服務器的服務(服務端口:TCP:在這裡服務器上的終端服務好像是與本地的終端服務客戶端進行的連接但實際上所有傳遞的數據包都經過了一個加密的隧道此外Zebedee還可以通過配置文件來實現身份認證加密IP地址過濾以及日志的功能一個配置良好的Zebedee和Windows的終端服務相互結合可以構建一個十分安全的遠程管理系統
  
 educitycn/img_///jpg >

  鑒於一般終端服務不提供文件傳輸的功能所以需要考慮其他的辦法我們可以使用FTP服務器但是FTP服務器通常被認為是不安全的它也可以通過Zebedee的加密隧道增強其安全性方法是直接在終端服務上傳輸數據這中做法比較麻煩但Zebedee幫助文件已做了詳細的說明這裡推薦兩個第三方的解決方案一個是Analogx的TSDropCopy(tents/download/system/)另一個是WTSFTP()
  總的來說Windows終端服務是一個最方便和最快捷的方法但就其本身的安全性來說我們通過Zebedee與終端服務的結合可以說是實現了一個方便快捷安全的解決方案
  
  方法在SSH上的VNC
  
  VNC是一個類似於終端服務的遠程管理軟件和終端不同的地方有以下幾點:
  *VNC是和當前正在登錄的用戶共用同一個會話你可以相當前登錄的用戶同時操作
  *VNC客戶端適用於不同的平台包括WindowsCE和Java
  *VNC能夠限制IP訪問
  在客戶端和服務端沒有經過加密
  對於VNC的這些差別我們意識到使用VNC的好處但如果單獨使用的話仍然有一些安全隱患最大的問題是VNC的數據傳輸沒有經過加密我們可以配合使用SSH加密來彌補這一缺陷通常使用OpenSSH()OpenSSH是一個理論上類似與Zebedee的軟件但是它更廣泛的被應用於SMTPHTTPFTPPOP和Telnet傳輸數據包加密和Zebedee一樣它是通過端口通信隧道不同的是SSH已經成為廣大用戶公認並且廣泛使用的加密協議
  從概念上來說OpenSSH轉發數據包和Zebedee相似我們通常可以配置服務器的監聽端口(通常OpenSSH缺省端口是然後就可以連接到SSH使用的端口一個SSH客戶端實質上是一個加密的telnet遠程訪問控制提示符但SSH也能用用樣一個給其它的協議連接進行加密我們也有下面兩個步驟實現在SSH基礎上的VNC
  
  第一步:C:>ssh ?L:serverhost:serverhost
  這將創建一個SSH服務器端口對VNC在本地和服務器數據包之間的轉發
  
  第二步C:\>vncviewer:
  圖實際上是一個VNC會話通過SSH加密通道進行傳送(這種傳送通俗說來是在VNC服務器和客戶段之間進行)
  
educitycn/img_///jpg >

  假如你使用多客戶平台你能夠使用在SSH基礎上的VNC遠程控制因為VNC和SSH都支持大多數常用的操作系統
  
  方法:VPN技術應用在 Windows 遠程控制
  我們可以通過windowsServe自帶管理工具遠程交互管理比如客戶機可以通過映射服務器的驅動器當然也可以使用其他的網絡服務達到遠程控制Windows Server遠程管理是通過打開連接服務器的端口通過這個端口對交換數據進行轉發但是在客戶和服務器之間的數據沒有經過加密這就會導致一些網絡惡意嗅探但是我們可以使用另外一些加密隧道技術網絡隧道技術指的是利用一種網絡協議來傳輸另一種網絡協議它主要利用網絡隧道協議來實現這種功能在這種情況下有一個好的解決方案VPN技術在Windows遠程控制它就是利用LTP隧道協議來對交換數據進行傳輸這樣安全性就大大加強
  VPN技術在Windows遠程控制的應用有如下優點:
  *VPN致力於為網絡提供整體的安全性是性能價格比比較高的安全方式
  *VPN的管理性能提高得很快就單一廠商的環境管理工作站可以直接提供多單元的支持
  *VPN使用LTP加密通道是虛擬專用撥號網絡協議
  *VPN能夠限制IP訪問
  *VPN可以網絡連接中透明地配置而不需要修改網絡或客戶端的配置
  下面我們要做的工作就是配置一個遠程客戶端與一個VPNServer之間的連接
  
  VPN服務器的配置
  首先打開 路由和遠程訪問右擊要配置的服務器>配置並啟用路由和遠程訪問根據說明我們能夠創建一個 虛擬專用網絡(VPN)服務器
  注意:VPNServer監聽的是l端口如果不期望別人看到這個開放的端口我們可以對客戶的連接IP地址進行限制
  
  客戶端的配置
  右鍵點擊 網上鄰居選擇 屬性從彈出的窗口中點擊 新建連接根據提示我們完成相關的設置並且連接到服務器上
  完成服務器和客戶端的配置之後我們能看見一個VPN連接圖標雙擊該圖標根據提示填入用戶名和密碼就能連接到服務器這時就有一個新的網絡連接這種網絡連接跟我們使用網絡適配器和光纜直接連接到服務效果是一樣的不同的地方就是它是通過加密通道進行傳輸交換數據的
  對於任何網絡連接我們要考慮到這樣一個因素:你所用的網絡協議是否帶有包過濾技術注意你的連接有可能被黑客利用入侵到你的電腦從而威脅到你的服務器進而人侵你的內部網絡這些風險我們
From:http://tw.wingwit.com/Article/Fault/201311/10416.html
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.