На конкурс на лучшую научную работу студентов по разделу
"Техническая кибернетика, вычислительная, микропроцессорная техника и информатика"
Студенческая научная
работа
на тему :
Исследование программ для
удаленного администрирования ЭВМ под управлением ОС Windows в локальных
сетях.
ДЕВИЗ: Удаленный доступ ко всему!
2005 г.
СВЕДЕНИЯ
об авторе и научном руководителе научно-исследовательской работы
на тему:
Исследование программ для удаленного администрирования ЭВМ под управлением ОС Windows в локальных сетях.
направляемой на проводимый в 2005 году на _________________конкурс на лучшую студенческую работу по естественным, техническим, гуманитарным и общественным наукам.
1. Фамилия: Ткаченко
2. Имя : Константин
3. Отчество: Леонидович
4. Высшее учебное заведение, в котором обучается автор:
Донецкий национальный технический университет (ДонНТУ)
5. Факультет: Вычислительной техники и информатики (ВТИ)
6. Направление: 6.0915 "Компьютерная инженерия Специальность: 7.091501 "Системное программирование"
7. Курс, группа: 5, СП-01м
8. Домашний адрес:
9. Гражданство: Украина
НАУЧНЫЙ РУКОВОДИТЕЛЬ
1. Фамилия: Теплинский
2. Имя: Сергей
3. Отчество: Васильевич
4. Кафедра, должность: доцент кафедры ЭВМ
5. Учёная степень: кандидат технических наук
6. Учёное звание: доцент
7. Домашний адрес
Работа рекомендована для участия в конкурсе 2006 учебного года по результатам вузовского конкурса 2005г.
Председатель совета НТТМ ___________________________________
ОТЗЫВ
руководителя на студенческую работу на тему:
"Исследование программ для удаленного администрирования ЭВМ под управлением ОС Windows в локальных сетях"
Появление и стремительное развитие локальных вычислительных сетей, их повсеместное применение на предприятиях, создали возможность управления, компьютером по сети. Такой способ администрирования весьма эффективен, особенно при наличии большого парка компьютеров. Поэтому тема работы, направленная на исследование программных продуктов, реализующих такой способ администрирования, является актуальной. Объектом исследования данной работы являются такие важнейшие показатели, как скорость работы, надежность и т.п. таких программных продуктов. Исследования, проведенные автором, не только позволили выявить лучший на данный момент программный пакет для удаленного администрирования, но и позволили выдвинуть требования к разработке программного пакета с оптимальными характеристиками. Исследования имеют научную новизну, поскольку ранее подобных исследований не проводилось.
Аппаратные средства, которые применялись для исследований, включают персональную ЭВМ и портативный компьютер (ноутбук), соединенные в сеть Ethernet. Для создания сети использовались два сетевых интерфейса Ethernet 10/100 Mbps соединенные витой парой категории 5. Персональный компьютер находится под управлением операционной системы Windows 98SE, а ноутбук – под управлением Windows XP SP2. На обоих компьютерах функционирует стек протоколов TCP/IP. Достоинством проведения исследований в сети, состоящей только из двух станций, является отсутствие постороннего трафика, не относящегося к исследованиям, что значительно упрощает исследования. Для исследований применялась программа Ethereal.
Результаты исследований могут быть использованы на предприятиях и организациях, с собственной локальной сетью, для выбора оптимального для данной сети пакета программ для удаленного администрирования, также как рекомендации к разработке программы удаленного администрирования.
Реферат
Целью данного исследования является определение оптимальных требований к программным пакетам, позволяющим организовать удаленный доступ к рабочим станциям под управлением операционных систем типа Windows. Исследование проводится в локальной сети из двух компьютеров под управлением операционных систем типа Windows, с функционирующим стеком протоколов TCP/IP. Для измерения трафика используется программа Ethereal. Были исследованы следующие программы: RadminXcontrol, A311, Remote Control Pro, TightVNC, RealVNC, UltraVNC, NetOp Remote Control Pro, RemotelyAnywhere, а также стандартные средства, входящие в состав операционной системы. На основе результатов исследований выдвинуты требования к разработке оптимальной программы для удаленного администрирования.
УДАЛЕННОЕ АДМИНИСТРИРОВАНИЕ, УДАЛЕННЫЙ ЭКРАН, УДАЛЕННЫЙ РАБОЧИЙ СТОЛ, RADMIN, TELNET,
+----------------------------------------------------------+
Содержание
Введение...............................................................................................................................6
1. Понятие удаленного администрирования...............................................................7
1.1. Удаленный терминал......................................................................................7
2. Анализ программ для удаленного администрирования......................................11
2.1.
Radmin............................................................................................................11
2.2.
Xcontrol..........................................................................................................14
2.3.
A311...............................................................................................................17
2.4.
Remote Control
Pro........................................................................................19
2.5.
TightVNC.......................................................................................................20
2.6.
RealVNC........................................................................................................21
2.7.
UltraVNC.......................................................................................................23
2.8.
NetOp Remote Control
Pro............................................................................24
2.9.
RemotelyAnywhere........................................................................................28
2.10. Стандартные средства, входящие в состав операционной системы.......29
3. Обобщение результатов анализа...........................................................................30
Заключение........................................................................................................................33
Список
литературы...........................................................................................................34
Введение
После появления персональных компьютеров возникла необходимость передачи информации между ними. Перенос информации с компьютера на компьютер по началу осуществлялся с помощью физических носителей информации. Но очень быстро был разработан новый метод -–передача информации посредством объединения компьютеров линией связи. Такое объединение получило название вычислительной сети. Появилось множество различных протоколов передачи, различных физических реализаций. Так, наряду с другими был разработан стандарт Ethernet, регламентирующий физические стандарты. А немногим ранее авторами операционной системы UNIX был разработан и впервые реализован стек протоколов TCP/IP. В результате естественного отбора эти два протокола стали фактическим стандартом, вытеснив остальных конкурентов. Такая стандартизация способствовала стремительному продвижению сетевых технологий в массы, а также их активному дальнейшему развитию. Широкое применение сетевых технологий открыло новые, до того не существовавшие, возможности. Например возможность удаленного администрирования.
1. В последнее время наметилась тенденция широкого использования корпоративных сетей. При этом увеличивается количество не только самих сетей, но и среднего количества персональных компьютеров в них. В связи с этим возникает необходимость автоматизации администрирования таких сетей независимо от их физического расположения «не сходя с места»(пример?). Для такого администрирования существует специальный термин – удаленное администрирование.
Под удаленным администрированием понимается возможность управление ресурсами, настройка параметров операционной системы удаленной рабочей станции, которая подключена к среде передачи данных (например, локальной или глобальной сети) с другой станции с помощью специального программного обеспечения. Задачи администрирования разнообразны. Они включают в себя все те действия, необходимые для правильного и комфортного функционирования как всей операционной системы в целом, так и отдельных программ. Это может быть и установка или обновление программного обеспечения на рабочих станциях, и изменение политик безопасности на сервере. Это также может быть настройка реляционной базы данных. Иногда в задачи администрирования включают необходимость слежения за тем, что происходит с удаленным компьютером, например наблюдение за запускаемыми программами, временем активной работы на компьютере и т.п. Обычно программное обеспечение для удаленного администрирования состоит из двух частей: серверной – находящейся на управляемом компьютере и клиентской – находящейся на месте системного администратора, а в качестве сетевых протоколов для передачи информации обычно используют самый распространенный на данный момент стек протоколов TCP/IP. Администратор с помощью клиентской части подключается к серверу на том компьютере, который необходимо администрировать, и передает ему управляющие команды, а сервер, в свою очередь, возвращает результат ее исполнения. Командовать удаленной станцией можно многими способами. Самый простой – посылать команды командному интерпретатору на удаленной машине, а выдаваемый им ответ пересылать назад.
1.1. Такой вариант удаленного администрирования реализован в виде широко известного протокола telnet (RFC 854). Telnet опирается на концепцию сетевого виртуального терминала (Network Virtual Terminal, NVT). Известно, что различные операционные системы и аппаратные средства имеют специфические особенности, связанные со вводом/выводом и обработкой информации. Так, в UNIX в качестве символа перехода на другую строку используется LF, в то время как в MS-DOS и Windows — пара символов CR-LF. Сетевой виртуальный терминал NVT позволяет абстрагироваться от особенностей конкретного оборудования за счет использования стандартного набора символов. Клиент telnet отвечает за преобразование кодов клиента в коды NVT, а сервер делает обратное преобразование. Telnet предусматривает механизм конфигурирования параметров, при котором клиент и сервер могут договариваться об определенных опциях, в том числе о кодировке данных (7- или 8-битовая), режиме передачи (полудуплексный, посимвольный, построчный), типе терминала и некоторых других. Команды и данные в telnet передаются независимо друг от друга. Для этого с помощью специального кода telnet переводится из режима передачи данных в режим передачи команд, и наоборот. Команды — это информация, служащая для управления сервисом telnet, тогда как данные — это то, что вводится/выводится через драйверы терминала (клиента) или псевдотерминала (сервера). Рассмотрим принцип работы серверной части. При запуске сервера начинается прослушивание 21 порта. При подключении к нему клиента поток ввода из порта перенаправляется на консольный ввод, а поток консольного вывода на поток отсылки в порт. Таким образом все строки, которые приходят от клиента воспринимаются командным интерпретатором удаленной машины как команды, а результат их исполнения (также набор строк) возвращается клиенту. Очевидно, что такой способ администрирования имеет множество недостатков: отсутствие графического интерфейса, что усложняет некоторые задачи администрирования; низкий уровень безопасности (слабый алгоритм авторизации, передача команд открытым текстом, низкие возможности командной строки в операционных системах типа Windows). Поэтому серверная часть этой утилиты нашла широкое применение в Unix-подобных системах. Программ, которые реализуют клиентскую часть огромное множество. Однако множество бесплатных клиентских программ telnet, входящих в состав операционных систем, имеют ограниченные возможности. Нередко бывает так, что интерактивную текстовую программу не удается даже запустить, поскольку клиент telnet не поддерживает тип терминала сервера, а интерактивная программа не хочет работать с теми типами терминалов, что имеются в составе клиента telnet.
Впервые появившаяся в составе 4.2BSD UNIX, программа rlogin одно время была исключительно популярной в среде UNIX. В качестве средства терминального доступа rlogin очень похожа на telnet, но из-за тесной интеграции с ОС нашла весьма ограниченное применение в других системах. В rlogin отсутствуют многие опции, свойственные telnet, в частности режим согласования параметров между клиентом и сервером: тип терминала, кодировка данных и т. д. Поэтому размер кода программы rlogin почти в десять раз меньше, чем у telnet. Однако rlogin предусматривает доверительные отношения между хостами: на сервере rlogin в специальных системных файлах (обычно /etc/hosts.equiv и $HOME/.rhosts) администратор может перечислить компьютеры, доступ с которых к данному серверу будет разрешен без пароля. Другой вариант программы rlogin, известный как rsh, позволяет запускать программы на удаленной машине, причем ввод и вывод осуществляются на локальном компьютере. Еще одна программа — rcp — предназначается для копирования файлов между компьютерами сети. Утилиты rlogin, rsh и rcp часто объединяют под общим названием r-команд.
К сожалению, как показала практика, доверительные отношения на основе имен хостов представляют крайнюю опасность для безопасности сети, поскольку открывают возможность для несанкционированного доступа. Поэтому в настоящее время сервис rlogin нашел применение лишь в сетях, полностью закрытых от Internet. Так же, как и telnet, rlogin передает данные и пароли в открытом виде. Кроме того, клиентское ПО, для r-команд на платформах DOS и Windows, распространено меньше, чем для telnet, и в основном оно имеется только в составе достаточно дорогих коммерческих продуктов.
Очевидно, что передача данных и особенно паролей по сети в открытом виде в программах telnet и rlogin не может удовлетворить даже минимальным требованиям к безопасности. Защитить информационные системы можно несколькими способами. Некоторые из них предусматривают защиту паролей, тогда как другие направлены на шифрование всего потока информации.
Среди последних наибольшей популярностью пользуется протокол SSH (Secure SHell). Secure shell предоставляет возможности, аналогичные имеющимся у telnet и r-команд, включая не только терминальный доступ, но и средства копирования между компьютерами. Но, в отличие от них, ssh обеспечивает также безопасное подключение. Безопасность работы программы ssh достигается за счет использования протокола транспортного уровня, протокола аутентификации и протокола соединения. Протокол транспортного уровня отвечает за аутентификацию сервера, протокол аутентификации — за надежную идентификацию и аутентификацию клиента. Протокол соединения формирует шифрованный канал передачи информации. Secure shell стал своего рода стандартом для безопасного доступа. Однако т.к. он разработан совсем недавно, то в нем есть немалое количество ошибок, недоработок, которые все-таки представляют угрозу безопасности. Для еще большего повышения уровня безопасности, особенно при администрировании через глобальную сеть, рекомендуется использовать технологию Virtual Private Network (VPN). Непосредственное использование общедоступных глобальных сетей для передачи данных небезопасно – передаваемую по глобальной сети информацию легко перехватить или подменить. Решение, позволяющее защититься – использование VPN (виртуальной частной сети). Технология VPN позволяет объединить несколько локальных сетей через сеть Интернет (или любую другую общедоступную сеть) в одну локальную сеть, при этом методы доступа к данным, расположенным на другом конце никак не отличаются от методов доступа к данным, расположенным в локальной сети. Технически такое объединение сетей выполняется с помощью шифрованных соединений, устанавливаемых через сеть Интернет между двумя или более подключенными к ней компьютерами. Логически такое соединение можно представить как виртуальный провод, соединяющий эти компьютеры, и обеспечивающий приватность передаваемых по нему данных, в частности и данных для удаленного управления. Таким образом технология VPN позволяет реализовать безопасное удаленное управление из любой точки мира, где возможно подключение к глобальной сети. Эта технология применима для всех видов удаленного управления.
Тем не менее, несмотря на указанные недостатки, программы предоставляющие возможность управления удаленным компьютером с помощью командной строки остаются самыми распространенными программами удаленного управления. Их огромный плюс – крайне низкий уровень трафика и высокая эффективность в UNIX подобных системах. Обычно их применяют там, где не выдвигаются требования к безопасности либо она просто не нужна. Они стали незаменимым инструментом на платформах с ограниченными графическими возможностями, например на мобильных телефонах.
Среди всех программ, реализующих указанные протоколы для операционных систем типа Windows необходимо выделить бесплатно распространяемую программу PuTTy, получившую широкое признание. В ее состав входят клиенты для перечисленных выше протоколов виртуальных терминалов (telnet, rlogin, SSH). Также в состав утилиты входят программы для создания и хранения ключей, использующихся в SSH. Утилита имеет удобный графический интерфейс, практически не содержит ошибок, и содержит большое количество дополнительных полезных настроек и возможностей. Автором статьи разработана версия клиента telnet на Java 2 Micro Edition для мобильных телефонов c набором инструкций MIDP 1.0 и поддержкой сокетных соединений.
2. Все же, для эффективного администрирования компьютера, находящегося под управлением ОС типа Windows возможностей командной строки крайне недостаточно. Поэтому, благодаря появлению более скоростных сетевых технологий, возникли другие способы управления удаленным компьютером. Одним из них является управляемый удаленный экран. Под управляемым удаленным экраном понимается возможность управлять удаленным компьютером с помощью локальной мыши и клавиатуры, наблюдая при этом на локальном мониторе все то, что происходит на удаленном экране в графическом режиме. Другой способ удаленного администрирования: передача информации касательно только администрируемой программы или настраиваемого параметра операционной системы. Соответственно, появилось большое количество программ, реализующих только первый либо только второй, а чаще оба способа в разной степени. Как же выяснить, какая программа лучше? Для этого нужно сравнить много показателей. На мой взгляд, главным показателем эффективности программы для удаленного администрирования, реализующей концепцию удаленного экрана, является тот объем трафика в единицу времени, которая необходима для тех или иных действий. Для его измерения предлагается пользоваться версией популярного сниффера Ethereal под ОС Windows,с набором библиотек WinPcap версии 3.1.beta4. Другим важнейшим фактором считается обеспечиваемая скорость администрирования(т. е. скорость работы серверной и клиентской станции в режиме удаленного администрирования, уровень загрузки процессора, возможность выполнять еще какие либо действия в фоне), его функциональность (т.е. те возможности по администрированию, которые предоставляет программа). Также нужно учитывать удобства интерфейса, дополнительные функции программы, наличие в ней ошибок, стабильность работы. Должное внимание следует обращать на обеспечиваемый программой уровень безопасности. Исследуем достоинства и недостатки программ, реализующих такой способ.
2.1. Одной из таких программ
является русскоязычный пакет Radmin (Remote admin) компании Famatech(см. рис.
1). Программа нетребовательна к аппаратному обеспечению — в качестве минимальной
конфигурации заявлены
Рисунок 1. Вид программы Radmin
компьютеры на базе процессора Intel 386, оснащенные оперативной памятью объемом 8 Мбайт. Программа состоит из двух компонентов — серверной части на каждом управляемом компьютере, программы ее настройки и модуля управления на машине администратора. Предусмотрена работа программы в режиме службы Windows XP, Windows 2000 и Windows 9x. RAdmin поддерживает несколько сессий дистанционного управления и просмотра на одном рабочем месте, а также работу нескольких соединений одновременно. Программа имеет возможность работать в различных режимах удаленного управления.
Основной возможностью является реализация удаленного экрана – полный контроль над удаленной машиной. При этом все нажатия клавиш и работа с мышью передаются удаленному компьютеру, обрабатываются на нем, а клиенту возвращается вид удаленного экрана. Для этого авторами программы разработан драйвер видеозахвата, который с установленной скоростью (кадры в секунду) производит обновление экрана. и передачу его клиенту. Нужно иметь в виду, что одновременное обращение к драйверу видеозахвата из нескольких программ может привести к разрушению системы в процессе загрузки. Поэтому при задействовании RAdmin-сервера с драйвером видеозахвата, следует отключить другие программы удаленного доступа, использующие эту технологию. Также существует возможность просто просмотра удаленного экрана без управления, с помощью того же драйвера. Результаты исследования уровня трафика представлены в таблице 1. Необходимо отметить, что используется TCP соединение, а длина пакетов с содержимым экрана колеблется от 500 до 1400 байт. Пакет с данными о нажатиях клавиш и состоянии мыши занимает в среднем 26 байт. Скорость работы приемлема даже при 20 кадров/сек., комфортна при 100 кадров/сек. Необходимость в дальнейшем увеличении скорости обновления отсутствует. Замедление в работе серверной станции тем заметнее, чем заметнее количество цветов. Для комфортного администрирования достаточно 256 цветов. Замедление на клиентской станции не замечается ни при каких условиях.
Таблица
1. Трафик, создаваемый Radmin в
различных режимах(числитель – среднее количество пакетов/сек знаменатель –
максимальное количество пакетов/сек)
|
Кол-во цветов |
Просмотр |
Управление | |||||
|
20 кадр/сек |
100 кадр/сек |
150 кадр/сек |
20 кадр/сек |
100 кадр/сек |
150 кадр/сек | ||
|
16 |
35/110 |
90/100 |
90/110 |
40/120 |
90/120 |
90/100 | |
|
256 |
35/95 |
90/95 |
85/90 |
40/90 |
90/100 |
90/120 | |
|
65536 |
40/90 |
85/90 |
90/100 |
35/100 |
90/120 |
95/120 | |
RAdmin позволяет обмениваться файлами с удаленным компьютером с помощью интерфейса, аналогичного Windows Explorer. Окно передачи файлов поддерживает приемы «перетаскивания» и все основные манипуляции с файлами. Можно переименовать или удалить файл, создать папку, просмотреть свойства объекта. Предусмотрен выбор привычных режимов сортировки и вида. Использование этой функции вместо удаленного экрана весьма эффективно при необходимости часто принимать и передавать файлы, но в локальной сети она (эта функция) является лишней т.к. в локальной сети существуют иные, более удобные и не менее эффективные способы передачи файлов. Использование режима передачи файлов может быть оправдано только если сервер и клиент находятся не в одной локальной сети.
Предусмотрена дистанционная перезагрузка и выключение компьютера, завершение и начало нового сеанса работы (два последних варианта возможны, если сервер RAdmin запущен в качестве службы).
Еще одно достоинство клиента RAdmin состоит в том, что с его помощью можно без проблем передавать на удаленный компьютер «горячие» клавиши, включая системные. Например, если требуется передать удаленному компьютеру последовательность Ctrl-Alt-Del, следует воспользоваться пунктом меню окна соединения «Послать Ctrl-Alt-Del». Только нужно иметь в виду, что эта возможность будет работать лишь при подключении в режиме полного контроля и при работе RAdmin-сервера в режиме системной службы под Windows NT.
Помимо операций с файлами
существует еще одна процедура, которая может пригодиться во время работы с
удаленным компьютером, — это обмен данными между приложениями локальной и
удаленной машины через буфер обмена. Чтобы выполнить подобную операцию, нужно
выделить интересующий фрагмент в окне локального или удаленного компьютера и
скопировать его содержимое в буфер обмена обычным способом (например, нажать
Ctrl+C или воспользоваться соответствующим пунктом меню редактирования). Затем в
зависимости от того, в каком направлении необходимо передать данные, следует
выбрать команду «Установить буфер» (передаем данные на удаленный компьютер) или
«Получить буфер» (принимаем данные от удаленного компьютера). Содержимое буфера
обмена передано. Теперь можно использовать его как обычно, т. е. перейти в
нужное приложение и вставить (например, с помощью команды Ctrl+V).
В случае использования на
сервере Windows NT возможен доступ по telnet (к сожалению, из-за ограничений
самой системы невозможно получить доступ по telnet к компьютеру, работающему под
Windows 95/98).
На тот случай если нет
возможности напрямую соединиться с нужным компьютером, предусмотрена возможность
перенаправления траффика. Конечно, на промежуточном компьютере должен быть
установлен и запущен сервер RAdmin. Описанный прием можно использовать, если
подключение к сети осуществляется через один компьютер, а администрировать
предстоит другую машину. Еще один пример — локальная сеть, в которой только один
компьютер имеет прямой выход в Internet. Достаточно установить сервер RAdmin на
этом компьютере и можно подключиться через Internet и к другим компьютерам
локальной сети.
Серверная часть любой
программы для удаленного администрирования, в частности сервер Radmin, предоставляющая широкие
возможности работы с удаленным компьютером автоматически делает систему более
уязвимой. Т.к. если не предусмотрено надежной аутентификации, то этим сервером,
а следовательно и компьютером сможет управлять злоумышленник. В Radmin предусмотрено два варианта
аутентификации. Первый вариант – аутентификация по алгоритму самого Radmin. Она производится только по
паролю. Для всех предусмотрен только один пароль, т.е. сервер не различает
пользователей. Аутентификация выполняется по схеме запроса с подтверждением
(аналогичный метод используется и в Windows NT, но длина ключа, применяемого в
RAdmin, больше). Для увеличения уровня безопасности в RAdmin предусмотрена
поддержка системы безопасности Windows NT, в частности системы аутентификации
NTLM, которая вызывает множество
нареканий специалистов по компьютерной безопасности. Можно явно присвоить права
удаленного доступа только одному пользователю или группе пользователей, задавать
права доступа к RAdmin-соединению. Возможно разрешать или запрещать соединения
различных типов, основываясь на политике безопасности NT. Все данные,
передаваемые между компьютерами (картинки экранов, движение мыши, нажатие
клавиши), шифруются случайно генерируемым ключом. Надежность алгоритма
шифрования требует отдельных исследований. Однако с уверенностью можно сказать
что автоматическая синхронизация ключей, без согласи на то администратора не
является огромны плюсом. Благодаря высокой скорости работы этого алгоритма
снижение скорости передачи практически незаметно (разработчики оценивают его в
5%). Если включить журнал, все действия пользователя будут запротоколированы в
файл журнала. Для ограничения доступа извне предусмотрено использование сервером
RAdmin таблицы IP-адресов. В этой таблице нужно указать только те адреса хостов
или подсетей, для которых требуется разрешить доступ. И, наконец, последний
штрих — программные модули RAdmin снабжены защитой от модификации (заражения),
основанной на самотестировании кода. Остается добавить, что когда эта статья еще
не была закончена, на завершающую стадию разработки вышла новая,
усовершенствованная версия Remote Administrator 3.0. По планам разработчиков, в
нее будет включен драйвер видеозахвата для Windows 2000/XP и другие новинки:
например, функция блокировки клавиатуры и отключения экрана, а также звуковой
чат.
2.2. Как уже было отмечено,
альтернативой удаленному экрану может служить управление конкретными настройками
либо программами. При этом по сети передается только так информация, которая
непосредственно касается данной функции. Отрисовка полученных данных возлагается
на клиент, сервер должен только выбрать их и отослать в сеть. В таком случае
эффективного администрирования можно достичь только посредством использования
набора небольших программ, направленных на администрирование конкретных функций.
Примером набора таких утилит может служить программа Xcontrol (см. рис. 2). В
первую очередь необходимо отметить малый размер серверной части(10 кб). При
подключении бросается в глаза отсутствие возможности подключаться к удаленному
компьютеру не по IP адресу, а по имени, что
делает невозможным применение этой программы при динамически распределяемых
IP адресах. Интерфейс
подключений весьма неудобен, невозможно просто разорвать соединение не выходя из
программы.
Рисунок 2 Вид программы
Xcontrol.
Сервер не обслуживает
несколько клиентов одновременно. Процедура авторизации отсутствует, точнее
сводится к обмену «приветственными» ICPM-пакетами. Никакой проверки
имени пользователя и пароля не предусмотрено. Эта программа предоставляет такие
возможности: Первая закладка позволяет узнать какие процессы, окна, NT сервисы работают на
удаленной машине и предоставляет возможность их завершить(закрыть окна).
Возможность наблюдать таким образом за тем, что происходит на удаленном
компьютере весьма полезна, однако отсутствие протоколирования делает эту
возможность практически бесполезной. Следующая закладка позволяет обмениваться
файлами с удаленной машиной, эта возможность полностью аналогична такой же
возможности у Radmina с такими же плюсами и
минусами. Трафик в этом случае сопоставим с трафиком Radmin. Закладка «Реестр»
позволяет редактировать реестр удаленной машины. Не древовидный интерфейс весьма
неудобен, исследования показали, что некоторые ключи отображаются некорректно.
Все же эта возможность весьма удобна т.к. например при желании отредактировать
реестр с помощью удаленного экрана объем трафика (порядка сотни пакетов в
секунду) не соответствует оптимальному, а удаленный редактор реестра,
выполненный в виде отдельной функции позволяет его минимизировать (до порядка
десятков пакетов за одно изменение текущего состояния, в зависимости от
открываемой ветки). Следующая закладка «Система», дает краткие сведения о
удаленной системе. Также здесь можно перезагрузить, выключить, перевести в
ждущий режим и т.п. Здесь же возможно управлять самим сервером на удаленной
машине: перезапустить либо удалить. Все же данная программа, помимо набора
утилит для администрирования конкретных функций, предоставляет возможность как
управлять, так и просто просматривать удаленный экран с помощью оригинальной
технологии видеозахвата. Предусмотрены два видеорежима – экран минимального
размера (обеспечиваемая скорость обновления экрана около 5 кадров/сек); экран
максимального размера (обеспечиваемая скорость обновления экрана около 16
кадров/сек). Ни один режим не обеспечивает комфортного управления, качество
изображения очень низкое, при долгой работе в режиме видео захвата на сервере
возникают ошибки. Исследования по измерению трафика сведены в таблицу 2.
Максимальное значение длины пакета с видео 1514 байт. Управляющий пакет 52
байта. Протокол передачи – UDP. В более новой версии
программы присутствует возможность использования пакетов ICMP в качестве несущих трафик,
что позволяет обеспечить некоторую долю его скрытности, и возможности
прохождения через брандмауэры.
Таблица 2. Трафик,
создаваемый Xcontrol в различных
режимах
|
Траффик
пакеты/сек |
Только
просмотр |
Контроль | ||
|
Минимальное
видео |
Максимальное
видео |
Минимальное
видео |
Максимальное
видео | |
|
Средний |
70 |
200 |
90 |
220 |
|
Максимальный |
90 |
250 |
160 |
250 |
Конечно, полученные значения
трафика гораздо выше чем у Radmin, но тут надо сравнивать
также и форму трафика. Вид трафика в режиме управления удаленным экраном в этих
программах представлен на рисунках 3 и 4. Radmin дает большее количество
максимальных пиков трафика чем Xcontrol. Каждый пик трафика
Xcontrol соответствует изменению
текущего состояния экрана, промежуточный трафик находится на уровне 25
пакетов/сек. А каждый пик Radmin соответствует очередному
плановому обновлению экрана для поддержания заданного количества обновлений
экрана в секунду, промежуточный трафик выше, чем у Xcontrol, порядка 50 пакетов/сек.
Конечно, вид трафика Xcontrol является более оптимальным,
но как видно из исследований, он не обеспечивает нормального режима
администрирования
Рисунок 3. Вид трафика
создаваемого Radmin в режиме управления (по
горизонтали – время в секундах, по вертикали – количество принятых/отосланных
пакетов)
Рисунок
4. Вид трафика создаваемого Xcontrol в режиме управления (по
горизонтали – время в секундах, по вертикали – количество принятых/отосланных
пакетов)
Также необходимо отметить,
что трафик в любом режиме передается открытым текстом, что весьма негативно
сказывается на уровне безопасности.
Последняя закладка
представляет собой реализацию удаленного терминала для любой версии Windows. Трафик этого терминала
сопоставим с трафиком telnet. Разработчики предусмотрели
возможность создания плагинов для серверной части, предназначенных для различных
действий. Так в стандартный пакет входят плагины кейлоггера, прокси-сервера
(сервер Xcontrol начинает параллельно
выполнять функции проки-сервера), и плагин удаленного управления Winampом (в исследуемой версии он
оказался неработоспособным). Такой подход весьма полезен, т.к. позволяет
фактически разрабатывать программу удаленного управления под конкретное
приложение. Однако документация по разработке плагинов в стандартную поставку не
входит.
2.3. Другим примером набора утилит
для удаленного администрирования может быть программа А311 команды русских
программистов proEX team (см. рис. 5.)
Рисунок
5. Вид программы А311
Необходимо отметить малый
размер серверной части и полную невидимость после установки программы. А311
предоставляет возможности по наблюдению за удаленный компьютером: запись нажатых
клавиш, получение информации о открытых окнах и запущенных процессах. К
сожалению отсутствует возможность постоянного обновления и протоколирования
информации о работающих в данный момент на удаленной машине процессах и открытых
окнах. Также можно получить сведения о системе и о текущих сетевых подключениях.
Возможности по администрированию представлены редактором реестра (стандартные
возможности, древовидный интерфейс), менеджером файлов на удаленной машине и
удаленной командной строкой. Удаленная командная строка позволяет только
посылать команды командному интерпретатору на удаленной машине, но не позволяет
видеть результаты ее исполнения. Трафик при администрировании с помощью А311
сопоставим с трафиком аналогичных режимов других программ. Удаленный экран в
программе не реализован. Зато присутствует множество бесполезных функций, таких
как открыть/закрыть каретку привода CD-ROM.
Такой набор возможностей не предоставляет высокой комфортности работы, он может
покрыть
все возникающие при администрировании потребности, только в случае высокой
квалификации системного администратора. Например при необходимости получить
список установленных программ, требуются достаточные знания структуры и
особенностей системного реестра ОС Windows. Однако именно такой способ
является самым оптимальным в условиях высокой загруженности сети и/или рабочих
станций. Что касается уровня безопасности в А311, то он очень низок. Авторизация
проводится только по паролю, проверка имени пользователя отсутствует, весь
трафик передается открытым текстом, проверка сетевых адресов на допустимость
доступа к серверу отсутствует. Эти весьма крупные недостатки предупреждают
использование этой программы при наличии минимальных требований к безопасности в
сети.
2.4. Следующая исследуемая
программа Remote Control
Pro (RCP) фирмы Alchemy Lab (см. рис. 6).
Эта
программа предоставляет возможность работы только с удаленным экраном в двух
режимах: просмотра и управления. Программа имеет довольно удобный интерфейс.
Драйвер видеозахвата предоставляет девять видеорежимов: от 1 (минимальное
качество) до 9 (максимальное качество). Разработчиками рекомендуется режим 3.
Результаты исследования трафика приведены в таблице 3. Даже минимальный режим
обеспечивает нормальное качество изображения при приемлемой скорости работы, и
на мой взгляд, является самым оптимальным. Замедление работы администрируемой
станции в таком режиме незначительно. В программе предусмотрена авторизация по
имени пользователя и паролю, информация о пользователях может быть взята из
домена. Для повышения уровня безопасности возможно включить шифрование трафика.
Remote Control Pro использует шифрование RC4.
Так как это симметричный алгоритм, то в начале необходимо сервером сгенерировать
128 битный ключ, который сохраняется в файл. Его код циклического контроля
отображается в поле Key
ID.
Потом его (файл) необходимо скопировать и установить на клиентском
компьютере.
Рисунок
6. Вид
программы
Remote
Control
Pro
Таблица 3. Трафик,
создаваемый Remote Control Pro в различных режимах
(числитель – среднее количество пакетов/сек знаменатель – максимальное
количество пакетов/сек)
|
Видеорежим |
Шифрования
нет |
Шифрование
есть | ||
|
Просмотр |
Контроль |
Просмотр |
Контроль | |
|
1 |
35/50 |
100/120 |
45/60 |
110/140 |
|
3 |
45/50 |
120/140 |
48/55 |
130/140 |
|
9 |
18/20 |
110/150 |
20/25 |
145/160 |
Таким
образом, ключевой файл может служить еще одним средством аутентификации. При
подключении к удаленному компьютеру у администратора появляется возможность
посылать пользователю на удаленном компьютере сообщения, на которые,
пользователь может в свою очередь отвечать. Такая возможность весьма удобна для
администратора, ее не хватает во многих других программных пакетах удаленного
управления. В целом Remote
Control
Pro
зарекомендовал себя неплохо. Его главный недостаток – маленькая
функциональность, т.е. отсутствие дополнительных средств администрирования
помимо удаленного экрана. Использование симметричного алгоритма шифрования
способствует надежной аутентификации, но создает дополнительные неудобства по
переноске сгенерированного ключа на рабочие станции (особенно если их очень
много). Было бы более целесообразно применять несимметричный алгоритм
шифрования, даже в ущерб надежности авторизации.
2.5. Программы удаленного экрана
разрабатываються не только под операционныесистемы типа Windows, но и под графический
интерфейс Linux. Самой популярной такой
программой является Virtual Network Connection (VNC). Она достигла такого
успеха, что ее стали компилировать и под Windows.На данный момент существует
множество ее версий, в частности и для работы в операционных системах типа
Windows. Обратим наше внимание на
разработку русских программистов TightVNC (см. рис.7). Интерфейс этой
программы прост и неудобен. Это касается всех программ семейства VNC. Данная версия
предназначена только для работы с удаленным экраном. В программе реализовано
множество разнообразных настроек касательно видеорежимов. Это девять уровней
компрессии видеоизображения. При наибольшей компрессии в режиме управления
средний трафик составляет 150 пакетов в секунду, а максимальный 220 пакетов в
секунду. При этом ощущается сильное замедление в работе как серверной, так и
клиентской станции, что негативно сказывается на удобстве управления. При
наименьшей компрессии в режиме управления средний трафик составляет 170 пакетов
в секунду, а максимальный 250 пакетов в секунду. При этом сильное замедление в
работе не исчезает. Оно исчезает при включении JPEG сжатия. Тогда средний
трафик уменьшается до уровня 100 пакетов/сек. а максимальный увеличивается до
350 пакетов/сек. Тогда управление рабочей станцией становится комфортным. В
режиме просмотра при включении JPEG сжатия трафик составляет в
среднем 50 кадров/сек. При отключении JPEG сжатия он немногим больше
(60 кадров/сек.). В программе
Рисунок
7. Вид программы TightVNC
также реализованы различные
алгоритмы VNC шифрования. Во-первых это
оригинальная разработка авторов Tight‑кодирование (в котором и
проводились приведенные выше исследования трафика) и др. Изображение на стороне
клиента может быть развернуто на весь экран, отмасштабировано.
На мой взгляд такое внимание
кодированию изображения со стороны авторов ошибочно, т.к. при этом мало внимания
уделяется другому важному фактору – безопасности. Авторизация проводится с
помощью только пароля. Весь трафик кодируется в соответствии с выбранным
алгоритмом сжатия (или не кодируется если выбран режим RAW). Надежность этого
кодирования требует отдельных исследований. По функциональности управления
удаленной рабочей станцией в режиме удаленного экрана TightVNC может сравниться только с
Radmin. Здесь присутствует
возможность посылать удаленному компьютеру управляющие комбинации клавиш
(аналогично Radmin), а также другие полезные
функции. Авторами разработан HTTP модуль который позволяет
управлять сервером через web-интерфейс с сохранением
всех возможностей по управлению удаленной машиной. Это достигается благодаря
внедрению сервера с применением технологии Java-applet. Скорость работы в таком
режиме приемлемая, но средний трафик возрастает до 650 пакетов/сек, а
максимальный до 800. Правда средний размер пакета в данной случае порядка 200
байт, пакеты максимальной длины в 1460 байт используются достаточно редко. В
целом TightVNC малоэффективна при
удаленном управлении: огромное количество настроек передачи изображения,
отсутствие дополнительных возможностей по администрированию,
неудовлетворительный уровень безопасности, который обеспечивает эта программа
делают ее практически бесполезной. Даже реализация управления через web-интерфейс не является
неоспоримым плюсом программы, т.к. во-первых, в локальных сетях она
бессмысленна; во-вторых, большой трафик и явное замедление работы серверной
станции, а также еще одна брешь в безопасности говорят не в пользу web-интерфеса.
2.6. Другой модификацией VNC
является программа RealVNC (см. рис. 8) разработанная фирмой с аналогичным
названием. В отличие от TightVNC RealVNC является
коммерческим проектом. Ее интерфейс аналогичен всем версиям VNC. Также как и TightVNC RealVNC предоставляет
возможность управления сервером по web-интерфейсу. В ней
реализовано гораздо меньше алгоритмов сжатия (всего 2), по умолчанию
предлагается использовать ZRLE, как наиболее оптимальный.
Поддержка алгоритма Hextile введена для совместимости с
другими версиями VNC. Результаты исследования
трафика в разных цветовых режимах приведены в таблице 4. При работе в режиме
низкого цвета ощущается явное замедление в работе, которое, возможно, связано с
преобразованиями цветов. В режиме 256 цветов это замедление не
наблюдается.
Рисунок
8. Вид программы RealVNC
При установлении максимально
возможного цветового режима (Full color), работа снова замедляется.
Аналогичным образом ведет себя средний объем трафика. Остальные настройки
графики (режим полного экрана, масштабирование) аналогичны TightVNC.
Таблица
4. Трафик,
создаваемый RealVNC в различных режимах (числитель – среднее количество пакетов/сек
знаменатель – максимальное количество пакетов/сек)
|
Кол-во
цветов |
Режим | |
|
Просмотр |
Контроль | |
|
8 |
16/19 |
110/130 |
|
64 |
20/25 |
120/180 |
|
256 |
25/35 |
60/120 |
|
Full
color(в
данном случае 32 бита на цвет |
25/40 |
80/100 |
Уделив меньше внимания
различным графическим режимам, разработчики RealVNC уделили больше внимания
безопасности. Собственный алгоритм авторизации допускает только три пользователя
(пользователь, которому доступен только режим просмотра; пользователь, которому
доступен только режим ввода; и администратор) которые различаются по паролю.
Присутствует поддержка NT аутентификации. Для
шифрования трафика есть возможность задействовать алгоритм AES с длиной ключа 128 бит.
Ключ автоматически генерируется и синхронизируется c клиентской станцией.
Средний трафик при включении шифрования увеличивается до 100 пакетов/сек. а
максимальный до 140 (для режима 256 цветов), что вполне приемлемо. В целом
RealVNC хороший представитель
семейства программ VNC, обеспечивающий высокую
безопасность, однако, отсутствие дополнительных возможностей по
администрированию делает эту программу малоэффективной.
2.7. Самой удачной версий
VNC, на
мой взгляд, является проект нескольких фирм (в частности Ultr@VNC
Team,
RealVNC
Ltd,
AT&T
Laboratories и
др.) UltraVNC.
Интерфейс UltraVNC
немногим отличается от интерфейса других программ типа VNC
(см. рис. 9).
Рисунок 9. Вид программы
UltraVNC.
Также как и в TightVNC в программе реализовано
огромное количество режимов передачи изображения. Принципиально новым здесь
является алгоритм Ultra-сжатия, разработанный
авторами программы. Результаты исследования трафика при этом кодировании
приведены в таблице 5.
Таблица
5. Трафик,
создаваемый UltraVNC в различных режимах (числитель – среднее количество пакетов/сек
знаменатель – максимальное количество пакетов/сек)
|
Кол-во
цветов |
Контроль | |
|
Режим
3 |
Режим
6 | |
|
8 |
100/140 |
110/140 |
|
64 |
110/150 |
120/150 |
|
256 |
120/180 |
120/160 |
|
Full
color(в
данном случае 32 бита на цвет |
130/190 |
130/170 |
Для удобства пользования
программы есть режимы автоматического выбора наилучших настроек, аналогично
RealVNC. Несомненный плюс программы
состоит в том, что таких алгоритмов реализовано значительно больше, чем в
RealVNC. В то же время разработчики
UltraVNC уделили гораздо больше
внимания вопросам безопасности. UltraVNC, как и все программы
VNC, поддерживает оригинальную
VNC авторизацию только по паролю, одинаковому для всех пользователей.
Поддерживается авторизация a-la RealVNC c тремя возможными пользователями по
алгоритму NTLM (здесь она называется MS-LOGON 1). MS-LOGON 2 реализуется
взаимодействие с пользователями, присутствующими в системе. При использовании
этой системы авторизации возможна автоматическая настройка прав. Для шифрования
трафика может применяться плагин Data Stream Modification (DSM). Плагины,
реализующие MSRC4 и OpenSSL находятся в разработке. Помимо удаленного экрана в
UltraVNC реализован обмен файлами с
удаленной машиной, с возможностями синхронизации и продолжения обмена после
обрыва соединения. Также реализован текстовый чат. В UltraVNC, как и в остальных
реализациях VNC, есть возможность управлять
компьютером по web-интерфесу. Эта возможность
не имеет отличий от остальных программ, кроме того, что в ней присутствует режим
обмен файлами. В ней нет реализации алгоритма Ultra, и нет возможности включить
плагин, шифрующий трафик. В общем, большое количество алгоритмов сжатия, высокий
уровень безопасности, наличие минимального набора дополнительных утилит (чат и
обмен файлами) делают UltraVNC самым лучшим представителем
семейства VNC.
Необходимо отметить, что все
программы семейства VNC совместимы. Например, во
всех реализациях сервера VNC присутствует возможность
первому инициировать соединение с клиентом (пункт меню add client на сервере, клиент должен
быть запущен в режиме прослушивания Listen Mode). Это значит, что,
например, сервер RealVNC сможет найти и подключить к
себе клиента TightVNC. Тот, же сможет нормально
подсоединится к нему, пройти авторизацию и работать в выбранном режиме,
естественно, если этот режим (кодирования, шифрования, авторизации)
поддерживается обеими программами. Как видно, больше всего с двумя другими
программами совместим именно UltraVNC, т.к. именно в нем
реализовано больше всего алгоритмов.
2.8. Программный пакет
NetOp Remote Control Pro фирмы Danware не имеет широкой
популярности (см. рис. 10). В пакет входят следующие программы – сервер
(host), главный сервер
gateway, сервер безопасности
security server, менеджер настроек
безопасности security manager, сервер имен name server и клиент guest. Программа имеет очень
удобный интерфейс, множество дополнительных настроек и возможностей (например
телефонную книгу, возможность создания скриптов действий). Рассмотрим
возможности по администрированию, которые реализованы в программе. Основной
возможностью программы является удаленный экран. Предусмотрены два режима
передачи изображения: как картинку, либо командами. В случае выбора режима
передачи изображения как картинки есть возможность регулирования количества
цветов в передаваемом экране. Результаты исследования трафика при разных
цветовых режимах приведены в таблице 6. Необходимо отметить, что с ростом
количества цветов увеличивается количество пакетов максимальных размеров в 512 и
1460 байт. Остальные пакеты в среднем размером до 40 байт.
Рисунок
10. Вид клиента программы NetOp Remote Control Pro
Таблица
6. Трафик,
создаваемый NetOp Remote Control Pro в разных цветовых
режимах при передаче изображения как
картинки(числитель – среднее количество пакетов/сек знаменатель – максимальное
количество пакетов/сек)
|
Кол-во
цветов |
Трафик |
|
2 |
100/160 |
|
16 |
120/140 |
|
256 |
100/140 |
|
Full
color(в
данном случае 32 бита на цвет) |
140/200 |
В этом режиме наблюдается
резкое замедление в работе обеих станций (как управляемой так и управляющей).
Работать в таких условиях некомфортно. Исследуем другой режим передачи
изображения. Под передачей изображения командами, возможно, подразумевается
передача вызовов функций, отвечающих за перерисовку изображения на клиентскую
машину и выполнение их на ней. В этом режиме становятся активными настройки
сжатия. При минимальном сжатии трафик увеличивается до среднего значения 200
пакетов/сек а максимального 250 пакетов/сек. При максимальном сжатии средин
трафик несколько уменьшается: он составляет 140 пакетов/сек., а максимальный –
200 пакетов/сек. При этом пакетов размером больше 512 байт не встречается. В
исследуемом режиме настройки цветности неактивны, изображение отрисовывается в
режиме Full Color. Как видно, трафик
исследуемого режима по частоте совпадает с аналогичным цветовым режимом передачи
изображения как картинки, но зато исчезает замедление на серверной станции,
скорость управления становится комфортной. В программе присутствуют два режима
отображения видео: на весь экран; без/с масштабированием. Существует возможность
просто просмотра удаленного экрана, без управления. Кроме удаленного экрана
программа предоставляет возможность обмениваться файлами с удаленным
компьютером. Эта возможность аналогична остальным программам, но в NetOp Remote Control Pro реализованы дополнительные
настройки менеджера фалов, такие как режим синхронизации, возможность
восстановления передачи файла в случае обрыва соединения и некоторые другие.
Остальные возможности по администрированию в программе объединены в режиме
Remote Management. В этом режиме доступны
следующие функции.
·
Получение информации о
накопителях на удаленной системе
·
Просмотр системных сообщений
(только на NT
системах)
·
Просмотр приложений и
процессов, работающих на удаленной станции, их останов, а также запуск
новых
·
Редактор удаленного реестра.
Интерфейс аналогичен стандартному
·
Работа со службами в
NT системах. Полностью
повторяет стандартное системно локальное средство, предназначенное для этой же
цели
·
Возможность
администрирования каталогов для общего доступа
·
Получение информации о
программной и аппаратной конфигурации удаленного
компьютера.
·
Удаленный
терминал
В программе реализованы
возможности по коммуникации между администратором и пользователем: как обмен
текстовыми сообщениями (обыкновенный чат), так обмен и сообщениями звуковыми
(голосовой чат). Последняя возможность весьма полезна, однако уступает по
эффективности широко распространенной в последнее время программе для голосового
общения Skype.
Большое внимание в
программном пакете уделено безопасности. Предусмотрены следующие режимы
авторизации:
·
Общая аутентификация –
доступ к хосту защищен только паролем, права у всех подключившихся
одинаковы.
·
Индивидуальная авторизация –
права доступа определяются для каждого пользователя отдельно, пользователи
различаются именем и паролем.
·
Режим авторизации NTLM с
возможностью работы с как доменными, так и локальными
пользователями.
·
Авторизация в Active
Directory
·
Авторизация
через
NetOp Security Server. Естественно, для этого
необходимо, чтобы такой сервер функционировал в сети. В этом случае авторизация
происходит следующим образом (см. рис. 11).
Рисунок 11. Схема
авторизации с использованием NetOp Security Server
1.
Клиент запрашивает
соединение у сервера, посылая ему данные для
аутентификации.
2.
Север обращается к серверу
безопасности для проверки правильности полученных данных.
3.
Сервер безопасности
обращается к базе данных для выяснения какие права можно предоставить данному
клиенту на данном сервере. Такая база данных может располагаться и на одной
станции, вместе с сервером безопасности. Для проверки аутентификации может
применяться внешний сервер.
4.
Сервер безопасности
возвращает свой ответ серверу.
5.
Сервер возвращает свой ответ
клиенту.
Для настройки сервера
безопасности и управления базой данных существует менеджер безопасности. С его
помощью производятся все настройки касательно политик безопасности, прав,
паролей, RSA ключей и т.д. и
т.п.
·
Авторизация
с помощью
алгоритма RSA
Есть возможность проверки
как MAC так и IP адреса, с которого
производится доступ на разрешенность (для сравнения: в Radmin проверки
МАС-адреса не предусмотрена). Возможность по шифровке трафика довольно широки.
Можно шифровать нажатия клавиатуры (в т.ч. пароль) и действия мыши алгоритмом
AES с длиной ключа 256 бит,
содержимое экрана тем же алгоритмом с длиной ключа 128 бит (высокий уровень
шифрования) либо с длиной ключа 256 бит (очень высокий уровень шифрования). Все
данные изначально проходят обработку оригинальным алгоритмом, разработанным
фирмой. В общем программный пакет NetOp Remote Control Pro предоставляет собой
прекрасную реализацию обоих принципиально различных режимов администрирования
(как удаленного экрана, так и набора утилит для удаленного администрирования
конкретных настроек), что дает огромные и весьма эффективные возможности по
администрированию. Все же надо отметить, что в наборе утилит для
администрирования не хватает некоторых возможностей (например, управления
локальными пользователями на удаленной машине). Такого уровня безопасности,
который обеспечивает данный пакет, не обеспечивает ни одна другая программа.
Достаточно отметить, что это единственный пакет, поддерживающий Active Directory. Пакет NetOp Remote Control Pro является самым дорогим
программным продуктом из всех исследуемых.
2.9. Следующая исследуемая
программа RemotelyAnywhere фирмы 3AM Labs. Разработчики данного программного
продукта, в отличии от остальных, предоставили только web-интерфейс для
администрирования. Он реализован полностью на технологии Java. Интерфейс весьма удобен и
прост в обращении, но он несколько медлителен. Это объясняется невысокой
скоростью работы программ на виртуальной Java-машине по сравнению с
обыкновенными программами. Основная возможность по администрированию,
предоставляемая программой – удаленный экран. Возможны режимы как только
просмотра, так и полного контроля. В режиме полного контроля при разрешении
640х480 и 16-ти битном цвете средний трафик – 80 пакетов/сек, максимальный – 100
пакетов/сек. При изменении режима экрана трафик изменяется незначительно. Пакеты
максимального размера встречаются гораздо чаще, чем в остальных программах.
Скорость управления неприемлема в любом режиме. При отключении режима Use mirror
display driver трафик увеличивается незначительно, но клиент испытывает
затруднения с управлением. Кроме удаленного экрана программа предоставляет
следующие возможности по администрированию:
·
Обмен файлами с удаленной
машиной. Интерфейс и все возможности стандартны. Недостаток: отсутствие
поддержки операции перетаскивания файлов. Существует возможность получения
информации о накопителях, присутствующих в удаленной
системе.
·
Просмотр и управление
процессами на удаленной системе. Возможность запускать новые процессы здесь
отсутствует.
·
Удаленный редактор реестра.
Интерфейс аналогичен стандартному. Существует возможность, которая не
предусмотрена в других программах, изменять права доступа к ключам(только для
NT
систем).
·
Уникальная возможность
менять текущее системное время на удаленной машине
·
В программный пакет входят
сервера Telnet SSH и FTP, их настройка, запуск, а
также доступ к ним доступны из web-интерфейса
программы.
Для слежения за работой серверной станции предусмотрены следующие возможности:
· Получение информации о текущем проценте загрузки процессора, памяти,
· Получение информации о пространстве на локальных дисках
· Получение информации о сети на удаленной станции: открытые порты; установленные сетевые интерфейсы, их загрузка; текущие подключения к RemotelyAnywhere; текущие подключения к Telnet/SSH/FTP серверу на удаленной машине.
· Получение информации о открытых файлах и загруженных библиотеках в системе
· Получение информации о устройствах
Очевидно, что RemotelyAnywhere представляет самые широкие возможности по получению информации о удаленной системе. Этому также способствует создание скриптов, которое поддерживает RemotelyAnywhere. Среди дополнительных возможностей программы необходимо отметить чат, возможность ведения протоколирования доступа, отсылка почтовых сообщений о состоянии RemotelyAnywhere, например при смене динамического IP-адреса. Безопасность в RemotelyAnywhere обеспечивается следующими функциями. Во-первых это собственный алгоритм авторизации по имени и паролю и собственная система назначения прав пользователям. Во-вторых, это возможность фильтрации IP-адресов, защита от атак аутентификации. В-третьих, это поддержка Secure Socket Level (SSL). SSL это набор библиотек, реализующих шифрование на уровне сокетов. Все три параметра обеспечивают весьма неплохой уровень безопасности. В целом RemotelyAnywhere весьма хороший пакет для удаленного администрирования с широкими возможностями, на мой взгляд единственный его недостаток – наличие только web-интерфейса.
2.10. В состав операционных систем типа
Windows входит ряд утилит для
удаленного администрирования. Серверные части реализованы в операционных
системах класса NT. Клиентские части
присутствуют и в системах класса 9х.
В стандартном редакторе
реестра (regedit.exe) есть возможность
подключения и редактирования удаленного реестра. При этом появляется еще одна
древовидная структура, отображающая содержимое удаленного реестра. Серверная
часть удаленного реестра реализована системной службой и по умолчанию включена.
Реализация удаленного экрана
Remote Desktop, начиная с Windows 2000,
входит в стандартную поставку. Эта программа предоставляет единственную
возможность – подключение к удаленному рабочему столу только в режиме
управления. Результаты измерения трафика в различных видеорежимах приведены в
таблице 7. Управление удаленным компьютером очень комфортное в любом режиме.
Замедление работы не наблюдается.
Таблица
7. Трафик,
создаваемый Remote Desktop в различных режимах (числитель – среднее количество пакетов/сек
знаменатель – максимальное количество пакетов/сек)
|
Кол-во
цветов |
Разрешение | |
|
640х480 |
800х600 | |
|
256 |
30/50 |
40/300 |
|
16
бит |
60/80 |
100/300 |
Естественно, что все
стандартные средства поддерживают Windows авторизацию NTLM.
В недостатки программы
следует отнести невозможность работы двух сеансов пользователей (локального и
удаленного) на сервере, а также отсутствие дополнительных возможностей.
Несомненный плюс программы состоит в самом минимальном уровне трафика, среди
всех исследуемых программ.
3. Проведя
исследования существующих на данный момент программных пакетов для удаленного
администрирования можно сделать их сравнительную характеристику (см. таблицу 8)
и сделать некоторые выводы.
Каждый программный пакет
имеет свои достоинства и недостатки. Как видно из таблицы самым лучшим продуктом
является NetOp Remote Control Pro. Однако, рекомендовать его
использование во всех возможных случаях на всех предприятиях нецелесообразно,
т.к. конкретным требованиям (например по загрузке сети, уровню безопасности)
может вполне соответствовать и другой, более дешевый продукт. Таким образом,
рекомендации по использованию тог, или иного продукта надо давать исходя из
конкретных требований. Одной из самых оптимальных программ является Radmin. При уровне трафика в 100
пакетов/сек. и максимальной длине пакета в 1400 байт нагрузка на сеть невелика.
В принципе другие программы создают аналогичный трафик, но Radmin, в отличии например от
RealVNC и TightVNC не создает замедления
работы как сервера так и клиента. Скорость обновления экрана в 100 кадров/сек
при 256 цветах создает все условия для удобства администрирования, не создавая
чрезмерной нагрузки на процессор. Удаленный экран позволяет выполнять все
необходимые действия по администрированию, делая другие функции Radmin бесполезными. В
преимущества перед другими программами можно отнести простой и удобный
интерфейс. Уровень безопасности, который обеспечивает Radmin, невысок даже при включении
поддержки NTLM, но достаточен для
большинства предприятий. Так, что при невысоким требованиям к загрузке сети и
среднем уровне безопасности можно рекомендовать использование Radmin, единственный недостаток
которого – отсутствие дополнительных возможностей, полезных при
администрировании. Если предприятие не готово приобретать Radmin, то ему можно предпочесть
бесплатно распространяемую Remote Control Pro. Отсутствие каких либо
дополнительных возможностей, которые присутствуют даже у Radmin и откровенно слабый уровень
безопасности конечно делают эту программу менее привлекательной, чем также
бесплатный Xcontrol, однако более высокая
скорость работы, простота интерфейса, наличие хоть какого-то алгоритма
авторизации все же говорят в пользу Remote Control Pro. Remote Control Pro по функциональности
уступает бесплатной UltraVNC, однако здесь необходимо
учитывать то, что проект UltraVNC довольно молод (исследуемая
версия 1.01), в нем присутствует ряд ошибок и недоработок.
Проведены исследования
известных утилит RadminXcontrol, A311, Remote Control Pro, TightVNC, RealVNC, UltraVNC, NetOp Remote Control Pro, RemotelyAnywhere, а также
стандартных средств, входящих в состав операционной системы, которые реализуют
способы удаленного администрирования с использованием стека протоколов
TCP/IP. Результаты исследований
позволили составить сравнительную характеристику программ, приведенную в таблице
8. Результаты исследований также позволили сделать некоторые выводы.
1.
Как показала практика,
возможностей командной строки для эффективного администрирования рабочих станций
под управлением ОС типа Windows недостаточно. Изменять
некоторые настройки либо невозможно (например, изменять права пользователей)
либо неудобно (например, работать с реестром). Поэтому необходимо отказаться от
таких средств, как удаленный терминал, несмотря на низкий уровень
трафика.
2.
Удаленный экран позволяет
эффективно выполнять все возможные задачи администрирования, обеспечивая при
этом удобный интерфейс, но нагрузка на процессор и сеть в таком случае
неоправданно высока, что не является оптимумом.
3.
Набор утилит для
администрирования конкретных параметров и программ является оптимальным
решением. Такое
решение обеспечивает минимум нагрузки на сеть и
процессор, при высокой эффективности и удобстве администрирования. Исследования
программ показали, что для полноценного и эффективного администрирования
необходимо реализовать набор утилит для удаленного управления следующими
функциями и параметрами:
·
Системным
реестром
·
Установкой/удалением
программ, а также получение списка установленных программ
·
Настройками и параметрами
сети, информацией о сетевых подключениях, открытых портах
·
Системными службами (пуск,
останов, создание удаление и т.д. и. т.п.)
·
Процессами, потоками, окнами
(создание удаление и т.д. и. т.п.)
·
Пользователями и их
правами
4.
Поскольку в задачи
удаленного администрирования иногда включается постоянное наблюдение за
удаленным компьютером, то необходимо реализовать протоколирование всей
получаемой информации.
5.
Исследования уровня
безопасности программ показали, что высокий уровень безопасности достигается
применением несимметричного алгоритма шифрования всех данных, а также
разработкой оригинального алгоритма авторизации, основанного на «тройном
рукопожатии» и принципе непередачи
пароля по сети.
Также необходимо реализовать поддержку системы безопасности Windows NT. Важным элементом
безопасности должен стать модуль защиты от всевозможных атак авторизации и
несанкционированного перехвата канала соединения сервера и
клиента.
Разработка программы удаленного администрирования в соответствии с
выдвинутыми требованиями планируется в будущем.