3 Soluciones de seguridad para Windows Server 2003 Remote Control

I. INTRODUCCIÓN

Prevemos una solución de control remoto: una compañía que desea colocar un servidor web IIS de este tipo, que se encuentra a 300 millas de distancia. El servidor es un centro de servidores que combina una red de banda ancha, un acondicionador de aire y un dispositivo de control de energía. Este centro de servicios de red es estable y tiene un precio razonable, pero requiere que los clientes tengan control remoto completo del servidor, que siempre está disponible y no es necesario ir a la consola para operar el servidor. Por lo general, hay varios problemas con el control remoto, el más obvio es que la comunicación entre la máquina cliente y el host se transmite a través de Internet. Este intercambio de datos puede ser detectado por piratas informáticos, también existe el problema de que el control remoto en sí mismo (como sus puertos abiertos) también puede provocar ataques a la red. El objetivo final de elegir una solución de control remoto es garantizar que usted (solo usted) como puerta de enlace pueda controlar el servidor sin causar otros ataques a la red.

Los principios de seguridad del esquema de control remoto son los siguientes:

Garantizar la seguridad de los permisos de control remoto

El control remoto debe poder evitar el acceso no autorizado. Esto significa que el software de administración remota solo acepta conexiones para un pequeño rango de direcciones IP y requiere el control del nombre de usuario y la contraseña. La seguridad del control remoto se mejora aún más a través de la introducción de la verificación de la fase de tarjeta inteligente por parte del cliente. También se puede mejorar con técnicas sencillas y listas para usar, como el uso de puertos no estándar para proporcionar servicios o alguna configuración de seguridad que no muestre marcas de servicio.

Asegurar la integridad de los datos intercambiados de forma remota

Para evitar la pérdida de datos en el control remoto, debemos garantizar la integridad y la inmediatez del servidor de control remoto y la transferencia de datos del cliente (es decir, enviar Los datos son confiables y no retransmitidos).

Garantizar la confidencialidad de las transmisiones de datos confidenciales

Para el control remoto, lo más importante es garantizar la confidencialidad de la transmisión de datos confidenciales a través de Internet. Esto es para evitar que los hackers detecten los mensajes de datos transmitidos. Esto requiere encriptación de sesión usando un algoritmo de encriptación robusto y factible. La ventaja de este cifrado es que incluso un atacante rastrea los datos. También es inútil para las personas que olfatean.

Asegurarse de que los incidentes puedan ser auditados de manera segura.

Las buenas auditorías de seguridad pueden mejorar drásticamente la seguridad general de los controles remotos y sofocar las amenazas de seguridad y los delitos técnicos. El propósito principal del registro de auditoría es que el administrador sepa quién está accediendo al sistema, qué servicios se utilizan, etc. Esto requiere que el servidor tenga un registro de registro suficientemente adecuado y seguro de la huella del control remoto del molde negro que intenta invadir a través de delitos técnicos.

Segundo, Windows
2003 3 Soluciones de seguridad para control remoto

Aunque hay muchas formas de controlar remotamente Windows2003
. No todo el software cumple con los principios de seguridad de la solución de control remoto mencionados anteriormente, podemos combinar diferentes programas para completar la solución de control remoto que necesitamos.

Los siguientes ejemplos se utilizan para lograr un control remoto seguro mediante la combinación de servicios nativos de Windows 2003 o software de terceros.

Método 1. Windows 2003 Terminal Services junto con Zebedee Software

Terminal Services es una tecnología provista en Windows 2003 que permite a los usuarios ejecutar aplicaciones basadas en Windows en un servidor remoto Windows 9000. Los Servicios de Terminal Server deben ser el método más utilizado para la administración remota de servidores Windows 2003, que está relacionado con su conveniencia y otros beneficios que brindan los servicios integrados de Windows, como el propio sistema de autenticación del servidor Windows 2003. Pero el servicio de terminal en sí tiene algunos inconvenientes: no puede restringir la IP de conexión del cliente, no propone explícitamente una manera de cambiar el puerto de escucha predeterminado, su función de auditoría de registro, es decir, ninguna herramienta de registro. Basado en los principios de seguridad del esquema de control remoto mencionado al principio de este artículo, no es muy seguro usar solo los Servicios de Terminal Server. Pero podemos lograr las necesidades de seguridad de gestión remota mencionadas anteriormente combinándonos con el software Zebedee.

Zebedee funciona de la siguiente manera: 'Zebedee escucha las aplicaciones especificadas localmente, cifra y comprime los datos TCP o UDP para ser transmitidos; el cliente y servidor Zeebedee establecen un túnel de comunicación; datos comprimidos y cifrados Simplemente transfiera en este canal, puede hacer múltiples conexiones TCP o UDP en la misma conexión TCP.

Por lo general, Zeebedee se divide en los siguientes dos pasos:

Paso 1: configure el puerto de escucha de Zeebedee

Use el siguiente comando:

C: \\ Zebedee -s -o server.log

Paso 2: configure el puerto de escucha 3389 en el cliente y

rediríjalo al puerto de escucha Zeebedee en su servidor

Use el siguiente comando:

C: \\ > zededee 3389 serverhost: 3389

De esta manera, Zebedee comienza a comenzar, y su uso combinado con servicios de terminal se muestra en la Figura 1. Como puede verse en la Figura 1, cuando el proceso del cliente del servicio de terminal (puerto TCP de destino: 3389) está activado, el cliente Zebedee local comienza a interceptar el paquete de datos al mismo tiempo; Zebedee cifra los datos y los envía al servidor Zebedee (aquí) El puerto predeterminado del servicio Zebedee 11965); el servidor Zeebedee recibe y luego descomprime y desencripta el servicio entregado al servidor (puerto de servicio: TCP: 3389). Aquí, el servicio de terminal en el servidor parece ser una conexión con el cliente de Servicios de Terminal Server local, pero de hecho, todos los paquetes que pasan a través de un túnel cifrado. Además, Zebedee también puede implementar autenticación de identidad, cifrado, filtrado de direcciones IP y registro a través de archivos de configuración. Se pueden combinar los servicios de terminal Zebedee y Windows 2003 bien configurados para crear un sistema de administración remota muy seguro.

En vista del hecho de que los servicios generales de terminal no proporcionan funciones de transferencia de archivos, deben considerarse otros métodos. Podemos utilizar un servidor FTP. Pero el servidor FTP generalmente se considera inseguro y también puede mejorar su seguridad a través del túnel cifrado de Zebedee mediante la transmisión de datos directamente en el servicio de terminal. Esta es una práctica engorrosa, pero el archivo de ayuda de Zebedee se ha explicado en detalle. Aquí se recomiendan dos soluciones de terceros, una es TSDropCopy de Analogx (http://www.analogx.com/con-tents/download/system/tsdc.htm) y la otra es WTS-FTP (http; //Www.ibexsoftware.com/about.asp)

En general, los Servicios de Terminal Server de Windows 2003 son uno de los métodos más convenientes y rápidos, pero por su propia seguridad. A través de la combinación de Zebedee y los servicios de terminal, podemos lograr una solución conveniente, rápida y segura.

Método 2. VNC en SSH

VNC es un software de administración remota similar a Terminal Services. Los siguientes puntos son diferentes a los de la terminal:

* VNC Si comparte la misma sesión con el usuario que está conectado actualmente, puede operar simultáneamente con el usuario que está conectado actualmente;

* Cliente VNC para diferentes plataformas, incluidas WindowsCE y Java;

* VNC puede restringir el acceso de IP;

no está cifrado en el cliente y el servidor.