-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•---[ Вездесущий Админ: Системы удаленного администратирования ]-- by
ShadOS
/* Интродакшн */ Извечная проблема – чем пользоваться и что лучше всегда и везде стоит перед нами. Сегодня я, скрытый операционщик, попытаюсь изложить тебе достаточно сложную и обширную тему, посвященную корпоративным системам удалённого администрирования, которые применяются практически повсеместно на машинах под управлением ОС Windows. Надеюсь, это тебе поможет понять, какие из них лучше использовать при необходимости и в каком направлении стоит копать, наткнувшись на подобные программы. Ну да хватит в ступе воду толочь - приступим к делу. Конечно, ты можешь продолжать пользоваться RemoteAdmin’ом (более известным как Radmin), считая его возможности предостаточными для твоих нужд администрирования или тому подобного, но, возможно, ты даже не подозреваешь о том многообразии программных пакетов данной тематики и способов их применения. Сказав, что тема достаточно сложная, я ничуть не ошибся. Каждый из пакетов, замеченных мной, достоин целой статьи, описывающей их возможности, положительные и отрицательные стороны, удобства/цели использования и безопасности доступа к удаленной машине, а мне вот приходится укладываться в мизерные рамки. Естественно, данная статья будет полезна не только администраторам, но и всем остальным, на которых мы не будем указывать пальцем =). Я верю, что ты сам найдешь им применение, ведь возможность видеть и контролировать вещи, происходящие за много километров от тебя, причем в реальном времени – вот настоящая сила для хакера и, например, отличная возможность сэкономить время разъездов между раскиданными по городу (а может даже стране или странам) офисами для администратора сервера под управлением Windows. Ты совершенно зря думаешь что абсолютное большинство работодателей желают видеть в качестве серверной ОС unix-like систему, а по сему это не есть гуд, хотя это тоже с какой стороны посмотреть, веды тупо тыкать мышкой значительно интеллектуальней какой-то там SSH-сессии =) К чему это я все? Ах да: все утилиты, раскопанные мной в бескрайнем пространстве всемирной сети и представленные специально для тебя, можно разделить на две почти четко разграниченные категории: 1) VNC, GoToMyPC и Timbuktu, которые по своим возможностям близки к Windows XP Remote Desktop с его простейшим интерфейсом, позволяющим работать как за своей локальной тачкой. Об VNC разговор в нашем журнале заходил не раз, а значит я не буду повторяться. 2) pcAnywhere, RemotelyAnywhere и NetOp Remote Control, которые предоставляют более широкий круг возможностей управления удаленной машиной, да и интерфейс у них более профессиональный, как и возможности настройки. /* RemotelyAnywere 7.00 */ Название: RemotelyAnywere 7.00 Производитель: 3am Labs Ltd Сайт: http://www.3amlabs.com/ Пожалуй, первым я поведу свой рассказ о RemotelyAnywere. Этот продукт смело можно назвать наилучшим выбором для тех, кому требуется непрерывно следить за производительностью на удаленной машине, изменять ее настройки, редактировать реестр, использовать командный интерпретатор и планировщик заданий вкупе со скриптовым языком. Принцип работы этого пакета достаточно элегантен и прост: после инсталляции сервера на целевой системе мы получаем доступ к web-интерфейсу на 2000 порту машины и далее все операции производим только через него и Java-аплеты. Таким образом мы сразу избавляемся то одной из постоянных проблем - необходимость наличия специального клиента, что позволяет работать с RemotelyAnywere практически везде где есть Web-браузер с поддержкой Java будь то работа, институт, интернет-кафе или удобное домашнее кресло с ноутбуком у камина. Однако в этом решении есть и свои подводные камни: система может функционировать не совсем корректно, если на клиентской машине есть какой-либо firewall или popup blocker.   /* NetOp Remote Control 8.0 */ Название: NetOp Remote Control 8.0 Производитель: CrossTec Corp. Сайт: http://www.crossteccorp.com Этот пакет является просто монстром, обеспечивающим впечатлительным набором возможностей, и будет незаменим, если тебе придется рулить большим количеством машин или предоставлять тех. поддержку огромному числу пользователей. В добавок к стандартным клиенту и серверу, NetOp Remote Control предоставляет сервер имен (name-сервер), security-сервер и gateway-сервер (для обеспечения связи меду различными протоколами, а также для связи сервера имен с внешним миром). security-сервер предназначенный для централизованной безопасности доступа и аутентификацией пользователей сети, причем с поддержкой ActiveDirectory, доменов Windows NT и безопасности учетных записей в лице RSA SecurID и технологии NetOp shadow GuestID. Сервер с легкостью устанавливается параллельно на несколько машин с помошью NetOp’s deployment utility, которая поддерживает практически все Windows операционные системы. Клиентские утилиты NetOp Remote Control существуют практически для всех возможных платформ, среди которых: Windows Server 2003, XP, 2000, Terminal Services, NT 4.0, ME, 98 и 95 и даже для Windows CE, Linux и Солярки. Серверная часть системы может размещаться на платформах Windows NT 3.1, NT 3.51, NT 4.0 , 95, 98, ME, 2000, XP, 2003, CE, 3.1x, и кроме того Solaris, Mac OS X, DOS и OS/2 версий 4.x-3.x. Кроме всего прочего в NetOp есть некое подобие web-интерфейса RemotelyAnythere, которое работает через ActiveX расширение. Впечатляет разнообразие? Меня тоже…. Как и следовало ожидать, в NetOp Remote Control присутствует достаточно приличное средство создания сценариев, хотя и не столь удобное и продвинутое в плане возможностей как в RemtelyAnythere. Помимо всего прочего, нам предоставляется возможность записи удаленного сеанса для последующего просмотра. Естественно, что за навороченные по самые помидоры возможности приходится чем-то платить. И этим чем-то является не только цена продукта, которая составляет аж 60 Английских фунтов для каждой клиентской машины, но и сложность освоения пакета.  [ Рисунок 1: Структура NetWox ] /* Symantec pcAnywhere 11 */ Название: Symantec pcAnywhere 11 Производитель: Symantec Сайт: http://www.symantec.com Можно сказать, что Symantec pcAnywhere (SPA) – практически корпоративный стандарт для крупных забугорных контор. Лично я очень часто натыкался на виндовые серверы, скан портов и последующий анализ фингерпринтов портов этого сервера показывали, что в качестве системы удаленного доступа на нем используется SPC. Не мне тебе рассказывать, что о популярности софта можно судить по дырам, наеденным в нем. Так вот в какой-то старой версии, какой я уже не вспомню, была дыра, да не одна. Позже разработчики ее прикрыли и пока что, вроде, в новых версиях не повторяют своих ошибок. Где-то в сети я вычитал одно интересное сравнение: “SPA можно назвать громадной 800-фунтовой гориллой среди других представителей фауны удаленного администрирования”, - и это абсолютно верно характеризует данный программный пакет. Если безопасность для тебя очень важна – SPA тебя не разочарует: SPA поддерживает стойкое шифрование, ограничение количества попыток ввода паролей, авторизацию пользователей в NT-домене, ActiveDirectory и LDAP. Хотя по умолчанию SPA не поддерживает симметричное шифрование и шифрование на основе открытых ключей, все это можно легко настроить вручную не затратив больше минуты. Если тебе этого не достаточно, то стоит обратить внимание на появившуюся в последних версиях специализированную утилиту оценки рисков для различных вариантов подключений. Есть в арсенале Symantec pcAnywhere и система для крупномасштабного развертывания, и возможность записи сеанса для последующего воспроизведения, а вот с автоматизацией и сценариями здесь не дела не очень: возможности ограничиваются выполнением команд при запуске или инициализации соединения. Для каждого подключения менеджер подключений SPA создает отдельный удобный профиль. Работа с окном передачи фалов организованна в виде простого перетаскивания файлов между хостом и гостевой машиной. Но даже при всем этом удобстве, наряду с жесткой безопасностью и инструментальными средствами развертывания, pcAnywhere является намного лучшим кандидатом на должность утилиты тех. поддержки. Хотя решать тебе.  /* Expertcity GoToMyPC 5.0 */ Название: Expertcity GoToMyPC 5.0 Производитель: E-ole Holdings Сайт: http://www.expertcity.com Хватит, пожалуй, пока с нас универсальных солдат. Давай посмотрим что-нибудь более простенькое в использовании, установке и настройке. Этим чем-нибудь, подвернувшимся мне под руку стала программа Expertcity GoToMyPC Personal (далее просто GTMPC). GTMPC устанавливается на удаленную машину как системная служба и далее гостевой вход предоставляется через ActiveX расширения или Java-клиента, загружаемых на гостевую машину через браузер с web-сервера в зависимости от используемой операционной системы. Кстати об ОС: как ты понимаешь, таскать за собой клиенты не придется, как и иметь геморрой с выбором того самого клиента под ОС которая оказалась перед тобой, но вот факт - нужно регистрировать на сайте производителя GoToMyPC компьютер, который ты собираешься администрировать, после чего только получаешь письмо с сайта Expercity с приглашением скачать небольшую утилту для доступа и залогиниться на удаленный компьютер через Интернет. От этого меня уже коробит. Конечно, это делает GTMPC непригодным для администрирования машины, находящейся в той же локальной сети, что и удаленный пользователь. Теперь о безопасности: поток данных между машинами почти пуленепробиваем. Он защищен двумя уровнями паролей и 128-ми битным AES шифрованием на лету. Доступ к web-серверу осуществляется с использованием SSL-шифрования. К плюсам также можно отнести удобство работы через межсетевые экраны. Ввиду того, что удаленная машина GTMPC сама инициирует подключения, тебе нет необходимости специально настраивать файрволл для доступа. Хотя я и не люблю делать выводы, но все же мне придется согласиться с разработчиками GoToMyPC о его некоторых приемуществах перед RemotelyAnywere: он действительно более понятен и удобен, да и цена его менее страшна по сравнению с RA. Короче, это выбор тех, кто не привык иметь геморроя и brainfuck’а с настройками и освоением чего-либо нового. НО нас ведь волнует и приватность данных, а значит этот продукт все-таки не наш выбор.  [ Архитектура построения системы GoToMyPC ] /* Netopia Timbuktu Pro */ Название: Netopia Timbuktu Pro Производитель: Computers Unlimited Сайт: http://www.netopia.com Еще один претендент на звания «Самая простая в использовании система удаленного администрирования». Этот продукт с его большими иконками отнюдь не предназначен для IT-администраторов. С помощью Timbuktu необыкновенно просто найти именно ту машину, которой ты собираешься управлять. Для этих целей можно использовать серверы LDAP Netopia или LDAP базу данных твоей сетки и производить поиски по имени пользователя или имени машины. Кроме того программа поддерживает профили подключений для каждого отдельной машины. Хотя о шифрование при передаче файлов в Timbuktu я ничего не смог узнать, про безопасность в нем, кажется, не забыли: списки пользователей, имеющих право на удаленный доступ хранятся на каждом хосте. В Timbuktu присутствует сетевой инсталлятор, но эта утилита консольная и позволяет произвести установку только на Windows NT, 2000 и 2003 системы. Интерфейс главного окна кажется устаревшим, но его вполне хватает и разобраться в нем тебе не составит проблемы. Имеется в наличие голосовой чат, что не может не радовать. Кажется, минусов больше чем плюсов, но этой функциональности вполне хватает при определенных условиях.  Ну вот,
собственно, и всё
что я смог для тебя накопать в сети. Конечно, это не всё из того, что
доступно для широкого круга потребителей =) За бортом моего обзора
остались не менее замечательные вещи: Altiris Carbon Copy Solution,
Funk Software Proxy, LANDeskInstant Support Suite, LapLink Everywhere,
NovellZENworks, Vector Networks PC-Duo Enterprise
Remote Control и PCI NetSupport Manager – мне просто не
хватило
времени выкачать и придирчиво поюзать их. Многие из них по
некоторым параметрам не только не уступают рассмотренным выше, но и
превосходят их по некоторым параметрам. Их рассмотрение остаётся на
твоей совести, собственно, как и по традиции - оканчательный выбор
того, что использовать. Если всё же у тебя возникнут
какие-нибудь
проблемы – пиши. Постораюсь ответить. За сим крепко жму руку
и
прощаюсь.
(c) ShadOS // Hell Knights Crew // Xakep Magazine Автор: ShadOS Email:
ShadOS [at] real [d0t] xakep [d0t] ru
http://hellknights.void.ru/ -•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•-•- (c)
ShadOS, Hell Knights Crew
|