Системы удаленного управления

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Системы удалённого управления

Организация удаленного доступа к компьютеру через Интернет - мечта многих пользователей. Представьте себе: вы оставили дома компьютер включенным, пришли на работу и получили к нему полный доступ. Или наоборот: вы оставили на работе включенный компьютер, пришли домой и уже со своего домашнего компьютера получили полный доступ к своему рабочему ПК, с которого можно посмотреть фильм или просто скачать нужные файлы. Естественно, при этом предполагается, что домашний компьютер, равно как и рабочий, имеет постоянный выход в Интернет, что, в принципе, можно считать вполне типичной ситуацией. Ситуаций, когда требуется получить удаленный доступ к компьютеру, предостаточно. К примеру, на домашнем компьютере нет места для хранения фильмов. Не беда! Фильмотеку можно организовать и на рабочем компьютере или на сервере в корпоративной сети. Главное - иметь удаленный доступ к этим ресурсам. Или другой пример из жизни. Вам срочно потребовалось скопировать какой-нибудь дистрибутив или просто новый фильм с рабочего компьютера, но под рукой, как назло, нет ни DVD-болванки, ни подходящей по емкости флэшки. Нет ничего проще - достаточно оставить рабочий компьютер включенным и получить доступ к нему из дома. Еще один пример, когда требуется удаленный доступ к домашнему или рабочему компьютеру, - это командировки. Ведь в этом случае можно не только получать нужную информацию из своей корпоративной сети, но и просматривать почту.

Сценариев, когда удаленный доступ к компьютеру был бы как нельзя кстати, более чем достаточно, но вот программных продуктов, позволяющих реализовать такой доступ, не так уж много.

В принципе, любую программу удаленного администрирования, ориентированную на работу в локальной сети, можно попытаться использовать для реализации удаленного доступа к ПК через Интернет. К примеру, для организации удаленного доступа к компьютеру через Интернет можно попытаться воспользоваться стандартными средствами и программами, такими как утилита Remote Desktop Connection, входящая в состав операционной системы Windows XP. Однако на практике это не даст должного результата. Все дело в том, что подобные утилиты ориентированы на создание соединения между двумя компьютерами с известными IP-адресами. В локальной сети это не вызывает проблем, однако если нужно получить удаленный доступ к компьютеру через Интернет, то не все так просто. Проблема заключается в том, что компьютеры пользователей, находящиеся в локальных сетях, не имеют внешнего (публичного) IP-адреса. Действительно, компьютеры в составе локальной корпоративной сети с выходом в Интернет, как правило, находятся за интернет-шлюзом с интегрированным NAT-устройством и со стороны внешней сети (Интернета) имеют один IP-адрес, который является IP-адресом самого интернет-шлюза. Внутри локальной сети компьютерам присваиваются адреса из зарезервированного для частного использования диапазона IP-адресов. Частное адресное пространство регламентируется документом RFC 1918. К таким адресам относятся следующие IP-диапазоны: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-192.168.255.255.

Согласно документу RFC 1918, частные IP-адреса нельзя использовать в Глобальной сети, поэтому они могут свободно применяться только для внутренних целей.

Для того чтобы понять, почему установление соединения между компьютером локальной сети, защищенной маршрутизатором, и компьютером в Интернете (с внешним IP-адресом) или с компьютерами из разных локальных сетей, защищенных маршрутизаторами, может вызывать проблемы, необходимо ознакомиться с особенностями функционирования протокола NAT.

Прежде всего, рассмотрим, как происходит сетевое соединение между двумя ПК.

Когда один компьютер сети устанавливает соединение с другим компьютером, открывается сокет, определяемый IP-адресом источника, портом источника, IP-адресом назначения, портом назначения и сетевым протоколом. Формат IP-пакета предусматривает двухбайтовое поле для номеров портов. Это позволяет определить 65 535 портов, которые играют роль своеобразных каналов связи. Из 65 535 портов первые 1023 зарезервированы для хорошо известных серверных сервисов, таких как web, FTP, Telnet и т.д. Все остальные порты могут применяться для любых других целей.

Если, к примеру, один сетевой компьютер обращается к FTP-серверу (порт 21), то при открытии сокета операционная система присваивает сессии любой порт выше 1023. Например, это может быть порт 2153. Тогда IP-пакет, отправляемый со стороны ПК к FTP-серверу, будет содержать IP-адрес отправителя, порт отправителя (2153), IP-адрес получателя и порт назначения (21). IP-адрес и порт отправителя будут использоваться для ответа сервера клиенту. Применение разных портов для различных сетевых сессий позволяет клиентам сети одновременно устанавливать несколько сессий с разными серверами или с сервисами одного сервера.

Теперь рассмотрим процесс установления сессии при использовании маршрутизатора на границе внутренней сети и Интернета. Когда клиент внутренней сети устанавливает связь с компьютером внешней сети, открывается сокет, определяемый IP-адресом источника, портом источника, IP-адресом назначения, портом назначения и сетевым протоколом. Когда приложение передает данные через этот сокет, IP-адрес источника и порт источника вставляются в пакет в поля параметров источника. Поля параметров пункта назначения будут содержать IP-адрес получателя и порт получателя. К примеру, компьютер внутренней сети с IP-адресом 192.168.0.1 может обратиться к web-серверу Глобальной сети с IP-адресом 64.233.188.104. В этом случае операционная система клиента может назначить установленной сессии порт 1251 (порт источника), а порт назначения - это порт web-сервиса, то есть 80. Тогда в заголовке отправляемого пакета будут указаны следующие атрибуты (рис. 1):

p;

Рис. 1. Принцип работы маршрутизатора при передаче пакета из внутренней сети во внешнюю

· IP-адрес источника - 192.168.0.1;

· порт источника - 1251;

· IP-адрес получателя - 64.233.183.104;

· порт получателя - 80;

· протокол - TCP.

Устройство NAT (маршрутизатор) перехватывает исходящий из внутренней сети пакет и заносит в свою внутреннюю таблицу сопоставление портов источника и получателя пакета, используя IP-адрес назначения, порт назначения, внешний IP-адрес устройства NAT, внешний порт, сетевой протокол, а также внутренние IP-адрес и порт клиента.

Предположим, что в рассмотренном выше примере NAT-маршрутизатор имеет внешний IP-адрес 195.2.91.103 (адрес WAN-порта), а для установленной сессии внешний порт NAT-устройства - 3210. В этом случае внутренняя таблица сопоставления портов источника и получателя пакета содержит следующую информацию:

· IP-адрес источника - 192.168.0.1;

· порт источника - 1251;

· внешний IP-адрес NAT-устройства - 195.2.91.103;

· внешний порт NAT-устройства - 3210;

· IP-адрес получателя - 64.233.183.104;

· порт получателя - 80;

· протокол - TCP.

Затем устройство NAT «транслирует» пакет, преобразуя в пакете поля источника: внутренние IP-адрес и порт клиента заменяются внешними IP-адресом и портом устройства NAT. В рассмотренном примере преобразованный пакет будет содержать следующую информацию:

· IP-адрес источника - 195.2.91.103;

· порт источника - 3210;

· IP-адрес получателя - 64.233.183.104;

· порт получателя - 80;

· протокол - TCP.

Преобразованный пакет пересылается по внешней сети и в итоге попадает на заданный сервер.

Получив пакет, сервер будет направлять ответные пакеты на внешний IP-адрес и порт устройства NAT (маршрутизатора), указывая в полях источника свои собственные IP-адрес и порт (рис. 2). В рассмотренном примере ответный пакет от сервера будет содержать в заголовке следующую информацию:

Рис. 2. Принцип работы маршрутизатора при передаче пакета из внешней сети во внутреннюю

компьютерный сетевой маршрутизатор удаленный

· IP-адрес источника - 64.233.183.104;

· порт источника - 80;

· IP-адрес получателя - 195.2.91.103;

· порт получателя - 3210;

· протокол - TCP.

Маршрутизатор принимает эти пакеты от сервера и анализирует их содержимое на основе своей таблицы сопоставления портов. Если в таблице будет найдено сопоставление порта, для которого IP-адрес источника, порт источника, порт назначения и сетевой протокол из входящего пакета совпадают с IP-адресом удаленного узла, с удаленным портом и с сетевым протоколом, указанным в сопоставлении портов, то маршрутизатор выполнит обратное преобразование: заменит внешний IP-адрес и внешний порт в полях назначения пакета на IP-адрес и внутренний порт клиента внутренней сети. Таким образом, пакет, передаваемый во внутреннюю сеть, для рассмотренного выше примера будет иметь следующие атрибуты:

· IP-адрес источника - 64.233.183.104;

· порт источника - 80;

· IP-адрес получателя - 192.168.0.1;

· порт получателя - 1251;

· протокол - TCP.

Однако если в таблице сопоставления портов не находится соответствия, то входящий пакет отвергается и соединение разрывается.

Любой ПК внутренней сети может передавать данные в Глобальную сеть с использованием внешнего IP-адреса и порта маршрутизатора. При этом IP-адреса внутренней сети, как присвоенные сессиям порты, остаются невидимыми со стороны внешней сети.

Однако маршрутизатор позволяет обмениваться данными между компьютерами внутренней и внешней сетей только в том случае, если этот обмен инициируется компьютером внутренней сети. Если же какой-нибудь компьютер внешней сети попытается получить доступ к компьютеру внутренней сети по собственной инициативе, то такое соединение маршрутизатором отвергается. Именно поэтому получить удаленный доступ к компьютеру, расположенному во внутренней локальной сети, защищенной маршрутизатором, не так-то просто. В то же время существуют технологии, позволяющее решить проблему доступа к компьютеру в составе локальной сети из Интернета.

Для того чтобы сделать компьютер в составе локальной сети доступным из Интернета, необходимо произвести специфические настройки на маршрутизаторе, то есть либо организовать так называемую демилитаризованную зону и добавить в нее нужный компьютер, либо реализовать статическое перенаправление портов на маршрутизаторе (Port Forwarding, Port mapping).

Демилитаризованная зона (DMZ-зона) - это способ обхода ограничений протокола NAT. Компьютер внутренней локальной сети, размещенный в зоне DMZ, становится прозрачным для протокола NAT. Фактически это означает, что компьютер внутренней сети виртуально располагается перед брандмауэром. Для ПК, находящегося в DMZ-зоне, осуществляется перенаправление всех портов на один внутренний IP-адрес, что позволяет организовать передачу данных из внешней сети во внутреннюю.

Если, к примеру, компьютер с IP-адресом 192.168.1.10, находящийся во внутренней локальной сети, размещен в DMZ-зоне, а сама локальная сеть защищена маршрутизатором, то при поступлении по любому порту запроса из внешней сети по адресу WAN-порта маршрутизатора этот запрос будет переадресован на IP-адрес 192.168.1.10, то есть на адрес компьютера в DMZ-зоне.

Поскольку компьютер, размещенный в DMZ-зоне, становится доступным из внешней сети и никак не защищен брандмауэром, он становится уязвимым местом сети. Прибегать к размещению компьютеров в демилитаризованной зоне нужно только в самом крайнем случае, когда никакие другие способы обхода ограничений протокола NAT по тем или иным причинам не подходят.

Наиболее часто для удаленного доступа к компьютеру, расположенному во внутренней сети, применяется так называемое статическое перенаправление портов. Технология статического перенаправления портов позволяет сделать доступными из внешней сети определенные приложения, запускаемые на компьютере во внутренней сети. Для того чтобы реализовать перенаправление портов, в маршрутизаторе необходимо задать сопоставление между портами, используемыми определенными приложениями, и IP-адресами тех компьютеров внутренней сети, на которых эти приложения работают (такие компьютеры называют виртуальными серверами). В результате любой запрос из внешней сети на внешний IP-адрес маршрутизатора по указанному порту будет автоматически перенаправлен на указанный виртуальный сервер внутренней сети.

К примеру, если во внутренней сети конфигурируется виртуальный сервер, который запускается на ПК с IP-адресом 192.168.0.10, то при настройке виртуального сервера задаются IP-адрес виртуального сервера (192.168.0.10), применяемый протокол и порт приложения, к которому необходимо получить доступ извне. Так, если приложение использует протокол TCP и порт 12345, то при обращении по внешнему IP-адресу маршрутизатора по порту 12345 пользователь внешней сети может получить доступ к приложению виртуального сервера внутренней сети, несмотря на использование протокола NAT.

Как правило, маршрутизаторы позволяют создавать несколько статических перенаправлений портов. То есть на одном виртуальном сервере можно открыть сразу несколько портов или создать несколько виртуальных серверов с различными IP-адресами. Однако при статическом перенаправлении портов нельзя перенаправлять один порт на несколько IP-адресов, то есть порт может соответствовать только одному IP-адресу.

Отметим, что если речь идет о корпоративной сети, то без согласия сетевого администратора получить доступ к настройкам маршрутизатора невозможно, и очевидно, что ни один системный администратор на это не пойдет.

Несмотря на сложность установления соединения между двумя компьютерами через Интернет в том случае, когда они защищены маршрутизаторами, существуют программные средства, позволяющие получать удаленный доступ к компьютеру через Интернет. Все программы подобного типа используют два возможных сценария: установление либо прямого соединения между компьютерами, либо соединения через сервер-посредник, который играет роль ретранслятора при взаимодействии двух компьютеров и позволяет обойти ограничения протокола NAT за счет того, что инициатором установления соединения выступает сам удаленный компьютер, расположенный во внутренней локальной сети. В случае установления прямого соединения между компьютерами образуется высокоскоростной канал связи, однако к недостаткам такого решения можно отнести необходимость настройки сетевого оборудования, причем установление прямого соединения возможно далеко не всегда. При использовании сервера-посредника между компьютерами образуется низкоскоростной канал связи и вероятность успешного установления соединения между компьютерами повышается. Как правило, применение сервера-посредника - услуга платная, причем платить за нее приходится каждый месяц.

Далее мы рассмотрим программы, предназначенные для удаленного управления компьютерами как в составе одной локальной сети, так и через Интернет. Отметим, что будут рассматриваться только те программы, которые совместимы с операционными системами семейства Windows.

Стоимость лицензии VNC Personal Edition на один компьютер составляет 30 долл.

Все утилиты удаленного управления прекрасно работают в том случае, когда речь идет о получении удаленного доступа в одной локальной сети, то есть когда и управляемый и управляющий компьютеры находятся в одной локальной сети. Различия между утилитами в данном случае заключаются лишь в их функциональности. Часть программ позволяет реализовать удаленный доступ с шифрованием и алгоритмами аутентификации, хотя, по большому счету, если речь идет о локальных сетях, то использование шифрования при передаче данных не является сильно востребованной функцией. Некоторые утилиты позволяют устанавливать серверную часть на удаленном ПК удаленным образом, что, естественно, очень удобно. Кроме того, имеются утилиты, которые предусматривают как режим полного контроля удаленного ПК, так и режим его мониторинга. К дополнительным возможностям подобных программу можно отнести такие функции, как обмен файлами, наличие буфера обмена между компьютерами, текстовый и голосовой чаты и некоторые другие.

Что касается получения удаленного доступа через Интернет, то все утилиты удаленного администрирования можно условно разделить на две группы: утилиты, не имеющие специальных вспомогательных средств для организации удаленного доступа через Интернет, и утилиты, обладающие такими средствами. Отсутствие в программах вспомогательных средств для организации удаленного доступа через Интернет еще не означает, что их нельзя использовать для этой цели. К примеру, если компьютер, к которому необходимо получить удаленный доступ, имеет статический внешний IP-адрес, то для организации удаленного доступа через Интернет можно применять любую программу удаленного администрирования. Хотя отдельный компьютер статический внешний IP-адрес имеет очень редко. Более типичной является ситуация, когда требуется получить удаленный доступ через Интернет к компьютеру, который находится в составе локальной сети, защищенной маршрутизатором. В этом случае если маршрутизатор имеет внешний статический IP-адрес, то для реализации удаленного доступа через Интернет тоже можно использовать любую программу удаленногоадминистрирования, но при возможности реализации статического перенаправления портов на маршрутизаторе и открытия нужных портов в брандмауэре.

В то же время существует ряд сценариев, когда утилиты удаленного администрирования, не имеющие вспомогательных средств для организации удаленного доступа через Интернет, применять нельзя. К примеру, если речь идет о получении удаленного доступа к домашнему компьютеру, то весьма вероятно, что такой компьютер не имеет внешнего статического и даже динамического IP-адреса, а относится к внутренней локальной сети провайдера Интернета. В этом случае реализовать статическое перенаправление портов невозможно, поскольку доступа к настройкам маршрутизатора провайдера, через который реализуется выход в Интернет, у пользователей нет.

Утилиты удаленного администрирования, имеющие дополнительные средства для организации взаимодействия компьютеров через Интернет, предполагают использование сервера-посредника, расположенного в Интернете. В этом случае вероятность получения удаленного доступа к компьютеру через Интернет возрастает, однако не является стопроцентной. Утилит удаленного администрирования через Интернет, которые гарантировали бы, что при любых сценариях можно получить удаленный доступ к ПК, просто не существует.

В заключение отметим, что самым лучшим, на наш взгляд, решением для получения удаленного доступа через Интернет сегодня является комбинация виртуальной сети (VPN) и любой утилиты удаленного администрирования. Виртуальную сеть можно легко создать с помощью бесплатной программы Hamachi, причем если она не сможет реализовать прямой VPN-туннель через Интернет между двумя компьютерами, то можно не сомневаться, что никакая платная программа удаленного администрирования этого тоже не сделает.

Размещено на Allbest.ru