3 Soluciones de seguridad para Win 2000 Remote Control

I. INTRODUCCIÓN Prevemos una solución de control remoto: una empresa desea colocar un servidor web IIS de este tipo, que se ubica a 300 millas de distancia. El servidor es un centro de servidores que combina una red de banda ancha, un acondicionador de aire y un dispositivo de control de energía. Este centro de servicios de red es estable y tiene un precio razonable, pero requiere que los clientes tengan control remoto completo del servidor, que siempre está disponible y no es necesario ir a la consola para operar el servidor. Por lo general, hay varios problemas con el control remoto, el más obvio es que la comunicación entre la máquina cliente y el host se transmite a través de Internet. Este intercambio de datos puede ser detectado por piratas informáticos, también existe el problema de que el control remoto en sí mismo (como sus puertos abiertos) también puede provocar ataques a la red. El objetivo final de elegir una solución de control remoto es garantizar que usted (solo usted) como puerta de enlace pueda controlar el servidor sin causar otros ataques a la red. Los principios de seguridad del esquema de control remoto son los siguientes: Garantizar la seguridad de los derechos de control remoto El control remoto debe poder evitar el acceso no autorizado. Esto significa que el software de administración remota solo acepta conexiones para un pequeño rango de direcciones IP y requiere el control del nombre de usuario y la contraseña. La seguridad del control remoto se mejora aún más a través de la introducción de la verificación de la fase de tarjeta inteligente por parte del cliente. También se puede mejorar con técnicas sencillas y listas para usar, como el uso de puertos no estándar para proporcionar servicios o alguna configuración de seguridad que no muestre marcas de servicio. Asegurar la integridad de los datos intercambiados de forma remota Para evitar la pérdida de datos en el control remoto, debemos garantizar que la integridad y la inmediatez de los datos del cliente y del servidor de control remoto (es decir, los datos enviados son confiables y no se retransmiten). Asegurar la confidencialidad de las transmisiones de datos confidenciales Para el control remoto, lo más importante es garantizar la confidencialidad de la transmisión de datos confidenciales a través de Internet. Esto es para evitar que los hackers detecten los mensajes de datos transmitidos. Esto requiere encriptación de sesión usando un algoritmo de encriptación robusto y factible. La ventaja de este cifrado es que incluso un atacante rastrea los datos. También es inútil para las personas que olfatean. Asegurar que los incidentes puedan ser auditados de manera segura Las buenas auditorías de seguridad pueden mejorar dramáticamente la seguridad general de los controles remotos y sofocar las amenazas a la seguridad y los delitos técnicos de forma inmediata. El propósito principal del registro de auditoría es permitir que el administrador sepa quién está accediendo al sistema, qué servicios se utilizan, etc. Esto requiere que el servidor tenga un registro de registro suficientemente adecuado y seguro de la huella del control remoto del molde negro que intenta invadir a través de delitos técnicos. En segundo lugar, las tres soluciones de seguridad para el control remoto de Windows 2000 Aunque hay muchas formas de controlar de forma remota Windows2000. No todo el software cumple con los principios de seguridad de la solución de control remoto mencionados anteriormente, podemos combinar diferentes programas para completar la solución de control remoto que necesitamos. Los siguientes ejemplos se utilizan para lograr un control remoto seguro mediante la combinación de servicios nativos de Windows 2000 o software de terceros. Método 1. El uso de Windows 2000 Terminal Services junto con Zebedee Software Terminal Services es una tecnología provista en Windows 2000 que permite a los usuarios ejecutar aplicaciones basadas en Windows en un servidor remoto de Windows 9000. Los Servicios de Terminal Server deben ser el método más utilizado para la administración remota de servidores Windows 2000, que está relacionado con su conveniencia y otros beneficios que brindan los servicios integrados de Windows, como el propio sistema de autenticación del servidor Windows 2000. Pero el servicio de terminal en sí tiene algunos inconvenientes: no puede restringir la IP de conexión del cliente, no propone explícitamente una manera de cambiar el puerto de escucha predeterminado, su función de auditoría de registro, es decir, ninguna herramienta de registro. Basado en los principios de seguridad del esquema de control remoto mencionado al principio de este artículo, no es muy seguro usar solo los Servicios de Terminal Server. Pero podemos lograr las necesidades de seguridad de la administración remota mencionadas anteriormente combinándolos con el software Zebedee. Zebedee funciona de la siguiente manera: "Zebedee escucha las aplicaciones especificadas localmente, cifra y comprime los datos TCP o UDP que deben transmitirse; el cliente Zeebedee establece un túnel de comunicación con el servidor; los datos comprimidos y cifrados se realizan en este canal. Transferencia; puede realizar múltiples conexiones TCP o UDP en la misma conexión TCP. Por lo general, Zeebedee se divide en los siguientes dos pasos: Paso 1: configurar el puerto de escucha de Zeebedee Use el siguiente comando: C: \\ zebedee -s -o server.log Paso 2: configure el puerto de escucha 3389 en el cliente y rediríjalo Vaya al puerto de escucha de Zeebedee en su servidor y use el siguiente comando: C: \\ > zededee 3389 serverhost: 3389 De esta manera, Zebedee comienza a comenzar, y su uso combinado con servicios de terminal se muestra en la Figura 1. Como puede verse en la Figura 1, cuando el proceso del cliente del servicio de terminal (puerto TCP de destino: 3389) está activado, el cliente Zebedee local comienza a interceptar el paquete de datos al mismo tiempo; Zebedee cifra los datos y los envía al servidor Zebedee (aquí) El puerto predeterminado del servicio Zebedee 11965); el servidor Zeebedee recibe y luego descomprime y desencripta el servicio entregado al servidor (puerto de servicio: TCP: 3389). Aquí, el servicio de terminal en el servidor parece ser una conexión con el cliente de Servicios de Terminal Server local, pero en realidad todos los paquetes que pasan pasan a través de un túnel cifrado. Además, Zebedee también puede implementar autenticación de identidad, cifrado, filtrado de direcciones IP y registro a través de archivos de configuración. Se pueden combinar servicios de terminal Zebedee y Windows 2000 bien configurados para construir un sistema de administración remota muy seguro.

En vista del hecho de que los servicios generales de terminal no proporcionan funciones de transferencia de archivos, se deben considerar otros métodos. Podemos utilizar un servidor FTP. Pero el servidor FTP generalmente se considera inseguro y también puede mejorar su seguridad a través del túnel cifrado de Zebedee mediante la transmisión de datos directamente en el servicio de terminal. Esta es una práctica engorrosa, pero el archivo de ayuda de Zebedee se ha explicado específicamente. Aquí se recomiendan dos soluciones de terceros, una es TSDropCopy de Analogx (http://www.analogx.com/con-tents/download/system/tsdc.htm) y la otra es WTS-FTP (http; //Www.ibexsoftware.com/about.asp) En general, los Servicios de Terminal de Windows 2000 son uno de los métodos más convenientes y rápidos, pero por su propia seguridad. A través de la combinación de Zebedee y los servicios de terminal, podemos lograr una solución conveniente, rápida y segura. Método 2. VNC VNC en SSH es un software de administración remota similar a Terminal Services. Los siguientes puntos son diferentes a los de la terminal: * VNC comparte la misma sesión con el usuario que está conectado actualmente. Puede iniciar sesión en la sesión actual. Los usuarios operan simultáneamente; * El cliente VNC está disponible para diferentes plataformas, incluidas WindowsCE y Java; * VNC puede restringir el acceso a la IP; no hay cifrado en el cliente y el servidor. Por estas diferencias en VNC, nos damos cuenta de los beneficios de usar VNC, pero todavía hay algunos riesgos de seguridad si se usa solo. El mayor problema es que la transferencia de datos de VNC no está cifrada. Podemos utilizar el cifrado SSH para compensar esta deficiencia. Por lo general, utilice OpenSSH (http://www.networksimplicity.com/openssh). OpenSSH es un software similar a Zebedee en teoría. Pero se usa más ampliamente para SMTP.HTTP.FTP.POP3 y el cifrado de paquetes de transporte Telnet. Al igual que Zebedee, es un túnel a través de la comunicación portuaria. La diferencia es que SSH se ha convertido en un protocolo de cifrado ampliamente reconocido y utilizado para los usuarios.