Контакты

Статьи и обзоры

Больше информации о продуктах Netop и не только

Удаленное управление: централизованная безопасность

Как сделать удаленный доступ безопасным

Безопасность является важным фактором при выборе решения для удаленного управления в любой организации. Прошли те дни, когда для безопасности было достаточно лишь шифрования трафика. Сегодня действительно безопасное решение для удаленного доступа позволяет централизованно управлять тем, кто может выполнять определенные действия на удаленных компьютерах, тщательно при этом документируя все сеансы связи для последующего аудита.

Требования по безопасности, предъявляемые к средствам удаленного управления:

Интеграция с существующими системами

Вам почти наверняка потребуется аутентифицировать пользователей так, как это осуществляется Вашей инфраструктурой, например, с использованием служб каталога (Active Directory и др.), смарт-картами или RSA-аутентификацией.

Гибкое разграничение доступа

Продуктами для удаленного управления будут пользоваться разные пользователи в организации, которые обладают разными правами и полномочиями. Важно иметь возможность разграничивать доступ к удаленным компьютерам, который может потребоваться разным группам пользователей, например, администраторам, сотрудникам службы поддержки, внешним консультантам.

Централизованное и удобное управление

Если настройки безопасности хранятся на удаленном компьютере, задача по их изменению становится сложной даже в сравнительно небольших сетях. Управление группами и правами доступа должно осуществляться централизованно без использования локальных настроек на удаленном компьютере. Отказоустойчивость в данном сценарии также становится важным фактором при внедрении решения.

Типовая схема внедрения Netop Security Server: Модуль Host аутентифицирует Guest с помощью Security Server

 Рисунок 1: Типовая схема внедрения Netop Security Server: Модуль Host аутентифицирует
Guest с помощью Security Server

 

Security Server состоит из самого сервера, базы данных, службы аутентификации и утилиты настройки Security Manager

 

 Рисунок 2: Security Server состоит из самого сервера, базы данных, службы
аутентификации и утилиты настройки Security Manager.

Решение Netop Remote Control

Модуль Netop Security Server – это специальный модуль Host, который предоставляет информацию другим модулям Netop о правах и полномочиях того или иного пользователя, осуществляющего подключение. Security Server использует ODBC-совместимую базу данных, которая содержит информацию о модулях Guest и Host в контексте безопасности. Работа с этой базой данных осуществляется с помощью графического интерфейса Netop Security Manager, где и задается, какие пользователи и группы могут подключаться к определенным компьютерам для выполнения определенного круга задач.

С использованием Netop Security Server Вы можете централизованно идентифицировать Guest относительно имен Netop, учетных записей Windows и других служб каталога, смарт-карт или RSA SecurID.

  • Аутентификация Netop – модуль Netop Security Server идентифицирует Guest с помощью базы данных, содержащей предварительно заданные Guest ID и пароли. Эти идентификаторы используются только в продуктах Netop и не привязаны к каким-либо другим системам (например, службам каталога).
  • Аутентификация Windows – Netop Security Server идентифицирует Guest с помощью контроллера домена Windows.
  • Аутентификация на службе каталога – Netop Security Server идентифицирует Guest с помощью службы каталога и протокола LDAP. Поддерживаются службы каталога Microsoft, Novell и Sun.
  • Аутентификация с помощью смарт-карт – с использованием смарт-карты и устройства для их чтения на компьютере Guest, идентификационные данные могут быть проверены в среде Microsoft CA. Безопасное туннелирование также позволяет Guest подключаться к удаленному компьютеру Host с использованием данных на смарт-карте.
  • Аутентификация RSA SecurID – идентификация Guest с использованием RSA ACE/Server. Этот метод совместно с аутентификацией Netop обеспечивает трехфакторную аутентификацию.

Централизованное ведение журнала

Запись активности в течение сеанса удаленного управления позволяет в дальнейшем осуществлять аудит операций. Netop Security Server выступает в роли единого места хранения журнала и видеозаписей, что также обеспечивает сохранность и защиту от компрометации этих данных.

Защита управляемого компьютера Host

Для получения доступа к удаленному компьютеру Host можно также ввести дополнительные требования и проверки, например:

  • Проверка IP и MAC адресов
  • Закрытая пользовательская группа
  • Обратный звонок
  • Доступ, контролируемый самим пользователем удаленного компьютера

Вопросы и ответы:

Как обеспечивается отказоустойчивость?

Сразу несколько модулей Security Server могут работать одновременно для обеспечения отказоустойчивости. При отказе одного из серверов обработкой запросов на аутентификацию и авторизацию будут заниматься оставшиеся серверы.

Какие базы данных поддерживаются?

Netop Security Server поддерживает стандарт SQL92 (ODBC-совместимый) и поддерживает следующие базы данных: DB2, MS jetEngine, MS SQL и Oracle. Обратите внимание на то, что Netop не поддерживает MySQL, поскольку эта СУБД не использует именованные первичные ключи (Named primary key), что является необходимым для Netop Security Server.

Что, если пользователи удаленных компьютеров все еще испытывают недоверие?

Netop Security Server гарантирует, что только аутентифицированные Guest смогут получить доступ к определенному Host. Однако это не означает, что после аутентификации Guest автоматически получает контроль над удаленным компьютером. Есть множество дополнительных проверок, которые можно включить, например, обязательное ручное подтверждение прав доступа пользователем удаленного компьютера, разные формы уведомлений этого пользователя о действиях Guest, а также горячие клавиши экстренного отключения.

Где необходимо устанавливать Security Server и какое сетевое подключение потребуется?

Поскольку на Security Server возложены задачи по управлению безопасностью для всей организации, этот модуль должен быть установлен на серверной операционной системе. Сам сервер не обязательно должен быть выделенным специально для Security Server. Поддерживаемые операционные системы – Windows Server 2000, 2003 или 2008 (32-битные и 64-битные, включая 2008 R2), в том числе развертываемые в виртуальных средах. Вам потребуется сетевое подключение разрешающее трафик по протоколу UDP и порту 6502 (который можно поменять при необходимости).

Более подробно о продукте Netop Remote Control

 

Добро пожаловать на сайт Netop!

Для того, чтобы воспользоваться всеми сервисами нашего веб-сайта, пожалуйста введите ваши учетные данные или зарегистрируйтесь. Регистрация не займет больше двух минут.

Вход на сайт

Логин (Email):
Пароль:
Войти с помощью:

Регистрация

Email:
Пароль:
Пароль еще раз:
Зарегистрироваться с помощью: