Технология удаленного рабочего стола. Протоколы, безопасность, настройка

Федеральное государственное бюджетное образовательное  учреждение высшего профессионального образования “Сибирская государственная автомобильно-дорожная академия                                                             (СибАДИ)”

 

Факультет:   Информационные системы в управлении

Специальность:  Комплексное обеспечение информационной безопасности автоматизированных систем

Кафедра:   Информационная безопасность

 

 

 

 

 

 

Пояснительная записка

к курсовой работе

«Технология удаленного рабочего стола. Протоколы, безопасность, настройка»

	Проверил:
	П.С.Ложников
	Выполнил:
	студент гр. БИ08И1 Е.А. Митясов

Омск – 2011 г.

Сибирская автомобильно-дорожная академия (СибАДИ)

Кафедра «Информационная  безопасность»

Задание

на выполнение курсовой работы по курсу «Безопасность  вычислительных сетей»

студенту гр. БИ08и1 Митясову Е.А.

 

1. Тема: Технология удаленного рабочего стола. Протоколы, безопасность, настройка.

2. Исходные данные: книги, журналы, статьи.

3. Требования к работе:

 

4. Дата выдачи  задания             30 сентября 2011  г.

5. Дата утверждения календарного  плана работ   1 октября 2011  г.

6. Срок предварительной сдачи работы (80-90%)                  15 ноября 2011  г.

7. Срок защиты курсовой  работы     5 декабря 2011  г.

 

Задание принял(и) к исполнению:

__________________/Митясов Е.А./

Руководитель  проекта

__________________/ Ложников  П.С./

 

ОГЛАВЛЕНИЕ

ВВЕДЕНИЕ
1 Протоколы удаленного доступа к рабочему столу
1.1 RDP(Remote Desktop Protocol)
1.1.1 Принцип работы RDP
1.1.2 Безопасность работы протокола RDP 1.1.2.1 Standard RDP Security 1.1.2.2 Enhanced RDP Security
1.2 ICA (Independent Computing Architecture)
1.3 VNC (Virtual Network Computing) 1.4  X-11 (X Window System Protocol) 1.4.1  Безопасность X Window 1.4.1.1 Хост – аутентификация 1.4.1.2  Аутентификация пользователя
2 Программы удаленного управления
2.1 Remote Administrator (Radmin)
2.2 DameWare NT Utilities(DNTU) 2.3 TightVNC 2.4 RealVNC 2.5 Ammyy Admin 3 Настройка удаленного рабочего стола
Заключение
Список ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

 

 

ВВЕДЕНИЕ

В нашем современном, технологически развитом, обществе успешность предприятий или компаний, работающих в различных сферах, все больше зависит от исчерпываемости полученной информации об изменении ситуации в интересуемой области и оперативности решений, принятых на основе этой информации.  Большинство современных компаний уже не могут представить свою работу без развитой сетевой инфраструктуры, предоставляющей своим пользователям оперативный обмен и доступ к необходимой информации. С ростом подобной корпоративной сети в территориальном и количественном плане возникают проблемы с администрированием ее удаленных узлов. Одним из возможных решений этих проблем является использование инфраструктуры удаленных рабочих столов, позволяющей администратору подключаться к рабочему столу пользователя и производить на нем необходимые изменения. Другой ситуацией требующей применения удаленного доступа к рабочему столу является необходимость удаленного доступа сотрудника к информационным ресурсам предприятия, например, когда сотрудник находится в командировке или возникает необходимость работы на дому. Еще одним направлением применения технологии удаленного доступа к рабочему столу является организация работы тонких клиентов, позволяющих переносить всю вычислительную нагрузку клиентов на сервер. Инфраструктура тонких клиентов позволяет сократить расходы предприятия на приобретения необходимого числа  производительных пользовательских станций, заменив их одним или несколькими высокопроизводительными серверными станциями, обслуживающими слабые пользовательские станции.

Целью данной работы является описание основных протоколов  удаленного доступа  к рабочему столу, их организации, функционирования и безопасности, сравнение наиболее популярных программных продуктов реализующих эти протоколы, а также описания процесса настройки удаленного рабочего стола в системе Windows 7.

 

1 ПРОТОКОЛЫ УДАЛЕННОГО ДОСТУПА К РАБОЧЕМУ СТОЛУ

1. RDP(REMOTE DESKTOP PROTOCOL)

Протокол Remote Desktop создан компанией Microsoft для обеспечения удаленного доступа к серверам и рабочим  станциям Windows и рассчитан на использование ресурсов высокопроизводительного сервера терминалов многими менее производительными рабочими станциями. В настоящее время RDP является основным протоколом удаленного доступа для систем семейства Windows, а клиентские приложения существуют как для OC от Microsoft, так и для Linux, FreeBSD, MAC OS X и др.

1.1.1 ПРИНЦИП РАБОТЫ RDP

Рис.1 Взаимодействие сервера с  клиентом по протоколу RDP/

Remote Desktop является прикладным протоколом, базирующимся на TCP. После установки  соединения на транспортном уровне  инициализируется RDP- сессия, в рамках  которой согласуются различные  параметры передачи данных. После  успешного завершения фазы инициализации сервер терминалов начинает передавать клиенту графический вывод и ожидает входные данные от клавиатуры и мыши. В качестве графического вывода может выступать как точная копия графического экрана, передаваемая как изображение, так и команды на отрисовку графических примитивов (прямоугольник, линия, эллипс, текст и др.. Передача вывода с помощью примитивов является приоритетной для протокола RDP, так как значительно экономит трафик; а изображение передается лишь в том случае, если иное невозможно по каким-либо причинам (не удалось согласовать параметры передачи примитивов при установке RDP -сессии). RDP- клиент обрабатывает полученные команды и выводит изображения с помощью своей графической подсистемы. Пользовательский ввод по умолчанию передается при помощи скан-кодов клавиатуры. Сигнал нажатия и отпускания клавиши передается отдельно при помощи специального флага.

RDP поддерживает несколько  виртуальных каналов в рамках  одного соединения, которые могут  использоваться для обеспечения  дополнительного функционала:

• Использование принтера или последовательного порта. Программы, запущенные в течение сеанса удаленного рабочего стола могут перенаправлять данные на принтер, подключенный к клиентскому устройству.
• Перенаправление файловой системы
• поддержка работы с буфером обмена. Пользователи могут использовать текстовые и графические данные, находящиеся в буфере обмена, как на локальном компьютере, так и  на удаленном рабочем столе,  в период сессии.
• использование аудио- подсистемы

Характеристики  виртуальных каналов согласуются  на этапе установки соединения.

Microsoft предполагает два режима использования  протокола RDP:

• для администрирования (Remote administration mode)
• для доступа к серверу приложений (Terminal Server mode)

Рис.2 RDP в режиме администрирования.

Данный вид соединения используется всеми современными операционными  системами Microsoft. Серверные версии Windows поддерживают одновременно два удаленных подключения и один локальный вход в систему, в то время как клиентские - только один вход (локальный или удаленный). Для разрешения удаленных подключений требуется включить удаленный доступ к рабочему столу в свойствах рабочей станции.

Рис.3 RDP в режиме доступа к серверу терминалов.

Данный режим доступен только в серверных версиях Windows. Количество удаленных подключений в данном случае не лимитируется, но требуется настройка сервера лицензий (License server) и его последующая активация. Сервер лицензий может быть установлен как на сервер терминалов, так и на отдельный сетевой узел. Возможность удаленного доступа к серверу терминалов открывается только после установки соответствующих лицензий на License server.

При использовании кластера терминальных серверов и балансировки нагрузки требуется установка специализированного сервера подключений (Session Directory Service). Данный сервер индексирует пользовательские сессии, что позволяет выполнять вход, а также повторный вход на терминальные серверы, работающие в распределенной среде.

 

1.1.2. БЕЗОПАСНОСТЬ ПРОТОКОЛА RDP

Рис.4 Обеспечение безопасности при использовании RDP.

Спецификация протокола RDP предусматривает  использование одного из двух подходов к обеспечению безопасности:

• Standard RDP Security (встроенная подсистема безопасности)
• Enhanced RDP Security (внешняя подсистема безопасности)

1.1.2.1 STANDARD RDP SECURITY

При данном подходе аутентификация, шифрование и обеспечение целостности  реализуется средствами, заложенными  в RDP- протокол. [1]

Аутентификация клиента  проводится при вводе имени пользователя и пароля. Аутентификация сервера выполняется следующим образом:

1. При старте системы генерируется пара RSA- ключей
2. Создается сертификат (Proprietary Certificate) открытого ключа
3. Сертификат подписывается RSA- ключом, зашитым в операционную систему (любой RDP -клиент содержит открытый ключ данного встроенного RSA- ключа). [12]
4. Клиент подключается к серверу терминалов и получает Proprietary Certificate
5. Клиент проверяет сертификат и получает открытый ключ сервера (данный ключ используется в дальнейшем для согласования параметров шифрования)

В качестве алгоритма шифрования выбран потоковый шифр RC4. В зависимости  от версии операционной системы доступны различные длины ключа от 40 до 168 бит.

Максимальная длина ключа для  операционных систем Winodws:

• Windows 2000 Server – 56 бит
• Windows XP, Windows 2003 Server – 128 бит
• Windows Vista, Windows 2008 Server – 168 бит

При установке соединения после  согласования длины генерируется два  различных ключа: для шифрования данных от клиента и от сервера.

Целостность сообщения  достигается применением алгоритма  генерации MAC (Message Authentication Code) на базе алгоритмов MD5 и SHA1.

Начиная с Windows 2003 Server, для обеспечения совместимости  с требованиями стандарта FIPS (Federal Information Processing Standard) 140-1 возможно использование алгоритма 3DES для шифрования сообщений и алгоритма генерации MAC, использующего только SHA1, для обеспечения целостности.

1.1.2.2 ENHANCED RDP SECURITY

В данном подходе используются внешние  модули обеспечения безопасности:

• TLS 1.0
• CredSSP

Протокол TLS можно использовать, начиная  с версии Windows 2003 Server, но только если его поддерживает RDP- клиент. Поддержка TLS добавлена, начиная с RDP -клиента версии 6.0.

При использовании TLS сертификат сервера  можно генерировать средствами Terminal Sercives или выбирать существующий сертификат из хранилища Windows.

Протокол CredSSP представляет собой  совмещение функционала TLS, Kerberos и NTLM и обеспечивает:

• Проверку разрешения на вход в удаленную систему до установки полноценного RDP- соединения, что позволяет экономить ресурсы сервера терминалов при большом количестве подключений
• Надежную аутентификацию и шифрование по протоколу TLS
• Использование однократного входа в систему (Single Sign On ) при помощи Kerberos или NTLM

Возможности CredSSP можно использовать только в операционных системах Windows Vista и Windows 2008 Server. Данный протокол включается флагом Use Network Level Authentication в настройках сервера терминалов (Windows 2008 Server) или  в настройках удаленного доступа (Windows Vista).

1.2 ICA (INDEPENDENT COMPUTING ARCHITECTURE )

ICA – это закрытый протокол для сервера приложений, разработанного компанией Cutrix Systems. ICA во многом схож с таким протоколом сервера приложений, как X Window System. Он также поддерживает передачу пользовательского ввода от клиента к серверу и графических данных обратно клиенту. Существенным отличием ICA является то, что    протокол был разработан с учетом соединений с низкой пропускной способностью, что сделало его надежным на соединениях как с высокой, так и низкой пропускной способностью. ICA не является потоковым протоколом, это значит, что если пользовательский экран не менялся, мышку и клавиатуру не трогали, то никакого трафика передаваться не будет. В зависимости от параметров клиента сервер может передавать часть вычислений на локальную машину. По умолчанию протокол использует порт TCP 1494, но может также включаться в CGP протокол и работать через 2589 TCP порт.   Клиенты ICA доступны для многих платформ, отличных от Windows, например, Macintosh, Linux, UNIX.

Протокол ICA позволяет передавать:

• представление текстовых экранов;
• представление графических экранов Windows-приложений;
• аудио/видео потоки;
• ввод с клавиатуры и мыши.

Также ICA позволяет управлять  сеансами, проводить сжатие и шифрование данных, перенаправлять вывод на печать и т.п. Но передается не весь текстовый  экран, а лишь его изменения.

Общий вид ICA-пакета представлен на Рис.5

Рис.5 Общий вид ICA-пакета.

В терминах эталонной модели взаимодействия открытых систем, ICA действует  на уровне сеансов, а протокол, обслуживающий  определенный виртуальный канал, –  на уровне представления. Одним из протоколов виртуального канала является Thinware, обслуживающий передачу графики от Windows-приложений клиентам (Рис.6).

Рис.6

На сервере обработка графики  доходит до уровня интерфейса с графическими устройствами (GDI), после чего в дело вступает Thinware, являющийся с точки зрения приложения частью графической подсистемы Windows. Thinware генерирует оптимизированные графические примитивы, а затем соответствующие данные «подхватываются» протоколом ICA, переносятся на пользовательское рабочее место и отображаются на дисплее с помощью клиентской части ICA и Thinware.  Thinware – это протокол, который обеспечивает кэширование на клиентской стороне графических объектов Windows, таких как битовые карты, курсоры, кисти и т.п. В результате, по утверждению компании Citrix, для удобной работы пользователя достаточно канала с пропускной способностью порядка 20 Кбит/с. Это значение может быть выше в зависимости от числа клиентов, но обычный пользователь может работать с сеансом ICA на обычном телефонном соединении со скоростью 28.8 Кбит/с с вполне приемлемой скоростью.