3 soluciones de seguridad para control remoto Win2000

I. INTRODUCCIÓN
Imaginamos una solución de control remoto: una empresa desea colocar un servidor web IIS de este tipo, que se ubica a 300 millas de distancia. El servidor es un centro de servidores que combina una red de banda ancha, un acondicionador de aire y un dispositivo de control de energía. Este centro de servicios de red es estable y tiene un precio razonable, pero requiere que los clientes tengan control remoto completo del servidor, que siempre está disponible y no es necesario ir a la consola para operar el servidor. Por lo general, hay varios problemas con el control remoto, el más obvio es que la comunicación entre la máquina cliente y el host se transmite a través de Internet. Este intercambio de datos puede ser detectado por piratas informáticos, otro problema es que el control remoto en sí mismo (como sus puertos abiertos) también puede causar ataques a la red. El objetivo final de elegir una solución de control remoto es garantizar que usted (solo usted) como puerta de enlace pueda controlar el servidor sin causar otros ataques a la red.
Los principios de seguridad del esquema de control remoto son los siguientes:
Garantizar la seguridad de los permisos de control remoto. El control remoto debe poder evitar el acceso no autorizado. Esto significa que el software de administración remota solo acepta conexiones para un pequeño rango de direcciones IP y requiere el control del nombre de usuario y la contraseña. La seguridad del control remoto se mejora aún más a través de la introducción de la verificación de la fase de tarjeta inteligente por parte del cliente. También se puede mejorar con técnicas sencillas y listas para usar, como el uso de puertos no estándar para proporcionar servicios o alguna configuración de seguridad que no muestre marcas de servicio.
Asegurar la integridad de los datos intercambiados de forma remota
Para evitar la pérdida de datos en el control remoto, debemos garantizar la integridad y la inmediatez del servidor de control remoto y la transferencia de datos del cliente (es decir, los datos enviados son confiables y No reenviar).
Garantizar la confidencialidad de las transmisiones de datos confidenciales. Para el control remoto, lo más importante es garantizar la confidencialidad de la transmisión de datos confidenciales a través de Internet. Esto es para evitar que los hackers detecten los mensajes de datos transmitidos. Esto requiere encriptación de sesión usando un algoritmo de encriptación robusto y factible. La ventaja de este cifrado es que incluso un atacante rastrea los datos. También es inútil para las personas que olfatean.
Asegurar que los incidentes puedan ser auditados de manera segura. Las buenas auditorías de seguridad pueden mejorar drásticamente la seguridad general de los controles remotos y sofocar las amenazas a la seguridad y los delitos técnicos. El propósito principal del registro de auditoría es que el administrador sepa quién está accediendo al sistema, qué servicios se utilizan, etc. Esto requiere que el servidor tenga un registro de registro suficientemente adecuado y seguro de la huella del control remoto del molde negro que intenta invadir a través de delitos técnicos.
Segundo, tres soluciones de seguridad para el control remoto de Windows 2000
Aunque hay muchas formas de controlar Windows 2000 de forma remota. No todo el software cumple con los principios de seguridad de la solución de control remoto mencionados anteriormente, podemos combinar diferentes programas para completar la solución de control remoto que necesitamos.
Los siguientes ejemplos se usan para lograr un control remoto seguro a través de la combinación de servicios nativos de Windows 2000 o software de terceros.
Método 1. El uso de Windows 2000 Terminal Services junto con Zebedee Software
Terminal Services es una tecnología provista en Windows 2000 que permite a los usuarios ejecutar aplicaciones basadas en Windows en un servidor remoto de Windows 9000. Los Servicios de Terminal Server deben ser el método más utilizado para la administración remota de servidores Windows 2000, que se relaciona con su conveniencia y otros beneficios que brindan los servicios integrados de Windows, como el propio sistema de autenticación del servidor Windows 2000. Pero el servicio de terminal en sí tiene algunos inconvenientes: no puede restringir la IP de conexión del cliente, no propone explícitamente una manera de cambiar el puerto de escucha predeterminado, su función de auditoría de registro, es decir, ninguna herramienta de registro. Basado en los principios de seguridad del esquema de control remoto mencionado al principio de este artículo, no es muy seguro usar solo los Servicios de Terminal Server. Pero podemos lograr las necesidades de seguridad de gestión remota mencionadas anteriormente combinándonos con el software Zebedee.
Zebedee funciona de la siguiente manera: 'Zebedee escucha las aplicaciones especificadas localmente, cifra y comprime los datos TCP o UDP que deben transmitirse; el cliente y el servidor Zeebedee establecen un túnel de comunicación; en este caso, los datos comprimidos y cifrados Transfiera en el canal, puede hacer múltiples conexiones TCP o UDP en la misma conexión TCP.
Normalmente, el uso de Zebedee se divide en los siguientes dos pasos:
Paso 1: Configurar el puerto de escucha de Zeebedee
Use el siguiente comando:
C: \\ zebedee -s -o server.log
Paso 2: configurar el puerto de escucha 3389 en el cliente y
redirigirlo al puerto de escucha de Zeebedee en su servidor. Use el siguiente comando:
C: \\ > zededee 3389 serverhost: 3389
De esta manera, Zebedee comenzó a comenzar, y su uso combinado con servicios de terminal se muestra en la Figura 1. Como puede verse en la Figura 1, cuando el proceso del cliente del servicio de terminal (puerto TCP de destino: 3389) está activado, el cliente Zebedee local comienza a interceptar el paquete de datos al mismo tiempo; El puerto predeterminado del servicio Zebedee 11965); el servidor Zeebedee recibe y luego descomprime y desencripta el servicio entregado al servidor (puerto de servicio: TCP: 3389). Aquí, el servicio de terminal en el servidor parece ser una conexión con el cliente de Servicios de Terminal Server local, pero de hecho, todos los paquetes que pasan a través de un túnel cifrado. Además, Zebedee también puede implementar autenticación de identidad, cifrado, filtrado de direcciones IP y registro a través de archivos de configuración. Se pueden combinar servicios de terminal Zebedee y Windows 2000 bien configurados para construir un sistema de administración remota muy seguro.
vista de los servicios generales de terminales no proporciona la función de transferencia de archivos, es necesario considerar otros enfoques. Podemos utilizar un servidor FTP. Pero el servidor FTP generalmente se considera inseguro y también puede mejorar su seguridad a través del túnel cifrado de Zebedee mediante la transmisión de datos directamente en el servicio de terminal. Esta es una práctica engorrosa, pero el archivo de ayuda de Zebedee se ha explicado en detalle. Aquí se recomiendan dos soluciones de terceros, una es TSDropCopy de Analogx (http://www.analogx.com/con-tents/download/system/tsdc.htm) y la otra es WTS-FTP (http; //Www.ibexsoftware.com/about.asp)
En general, Windows 2000 Terminal Services es uno de los métodos más convenientes y rápidos, pero por su propia seguridad. A través de la combinación de Zebedee y los servicios de terminal, podemos lograr una solución conveniente, rápida y segura.
Método 2. VNC en SSH
VNC es un software de administración remota similar a Terminal Services. Los siguientes puntos son diferentes a los de la terminal:
* VNC se comparte con el usuario que está conectado actualmente. En una sesión, puede operar simultáneamente con el usuario que ha iniciado sesión actualmente;
* Cliente VNC para diferentes plataformas, incluyendo WindowsCE y Java;
* VNC puede limitar el acceso de IP; el cliente y el servidor No encriptado.
Por estas diferencias en VNC, nos damos cuenta de los beneficios de usar VNC, pero aún hay algunos riesgos de seguridad si se usa solo. El mayor problema es que la transferencia de datos de VNC no está cifrada. Podemos utilizar el cifrado SSH para compensar esta deficiencia. Por lo general, use OpenSSH (http://www.networksimplicity.com/openssh). OpenSSH es un software similar a Zebedee en teoría. Pero se usa más ampliamente para SMTP.HTTP.FTP.POP3 y el cifrado de paquetes de transporte Telnet. Al igual que Zebedee, es un túnel a través de la comunicación portuaria. La diferencia es que SSH se ha convertido en un protocolo de cifrado ampliamente reconocido y utilizado para los usuarios.