Отдалечен достъп. Протоколи, използвани за отдалечен достъп

В традиционната локална комютърна мрежа (LAN) компютрите се свързват към мрежата по кабел. Но всеки тип кабел има ограничения по отношение на разстоянието, което може да измине сигналът без значително затихване. Решенията за отдалечен достъп позволяват на потребителите да установяват връзка към мрежата и да изпълняват задачи по такъв начин, както ако са свързани директно по кабел към останалата част от мрежата.
Отдалеченият достъп до мрежата може да бъде постигнат също по безжични връзки или по кабелни връзки на кабелните оператори (CATV). Отдалеченият достъп ви позволява да разширявате мрежата отвън физическите граници на кабелната мрежа до почти всяка точка на света. Освен това компютрите трябва да работят с един и същ протокол.

1. Защо да използваме отдалечен достъп

Отдалеченият достъп става все по-важен с нарастването на мобилността на потребителите на мрежите и с разрастване на бизнеса на организациите до множество места, или отварянето на техните ресурси за избрани външни партньори без поставяне на тези ресурси в Интернет.

Някои популярни приложения на отдалеченият достъп са следните:

  • Свързване на офиси и филияли
  • Осигуряване на служителите средства за свързване към мрежата след фиксираното работно време
  • Предоставяне на служителите възможност за телекомуникация – т.е. на възможността да работят в къщи в част от работното време или на пълно работно време
  • Възможност за служителите, които са на път да се свързват към корпоративната мрежа
  • Осигуряване на достъп до избрани мрежови ресурси за клиентите на компанията или за нейните партньори

2. Как работи отдалеченият достъп

Има няколко форми на връзки за отдалечен достъп:

  1. Най-често използваният тип отдалечен достъп е dialup връзка по аналогова или цифрова телефонна линия.
  2. Посветената връзка представлява връзка от точка до точка, подобно на линия, при която от една до друга физическа точка се установява постоянна верига.
  3. Протоколи, използвани за отдалечен достъп
  4. Методи за автентикация при отдалечен достъп
  5. IP адресът, задава на отдалечената връзка, която използва TCP/IP
  6. Обединяване на пропускателната способност за осигуряване на по-бръза връзка
  7. Управление на степента на използване на пропускателна способност от администратора с цел недопускане на прекомерното и използване

2.1. Протоколи, използвани за отдалечен достъп

Отдалеченият клиент и отдалеченият сървър трябва да използват най-малкото един и същ мрежов/транспортен протокол. Освен това е неопходим и протокол за връзка за изграждане на връзката по телефонната линия или по Интернет от клиентската машина до сървъра.
Протоколите, използвани за изграждане на връзката, са следните:

  1. Интернет протокол по серийна линия
  2. Протокол от точка до точка
  3. Тунелен протокол от точка до точка
  4. Тунелен протокол, Слой 2

2.2. Автентикация при отдалечен достъп

Сървърът за отдалечен достъп автентицира отдалечените потребители в зависимост от методите за автентикация, зададени от администратора при конфигуриране на връзката за отдалечен достъп.
Примери на методи за автентикация са:

  • Протокол за автентикация чрез парола
  • Shiva PAP (SPAP)
  • Протокол за автентикация с предварително съгласуване на повикването, който криптира паролите
  • Расширяем протокол за автентикация, който испозва MD5, смарт карти или сертификати

2.3. Назначаване на IP адреси

Ако TCP/IP е протоколот, използван в LAN, всички компютри в мрежата трябва да имат правилни IP адреси, за да могат да комуницират. Това важи със същата сила както за отдалечените клиенти, така и за клиентските компютри свързани към мрежата по кабел.
Сървърите за отдалечен достъп, като тези, работещи под Windows 2000 Remote Server, могат да бъдат конфигурирани да установяват контакт DHCP сървър в мрежата и да придобиват IP адрес за отдалечения клиент.

3. Устройства за свързване при отдалечен достъп

Производителността на отдалечения достъп е относително ниска. Макар че все по-широко достъпни стават алтернативи с висока пропускателна способност като DSL и кабелни модеми, типичните най-високи скорости за тези восокоскоростни технологии са от 1 Mbps до 5 Mbps. Най-бавните Ethernet връзки имат скорости на трансфер от 10 Mbps, а най-распространени са тези със скорост 100 Mbps.
Най-популярните средства за изграждане на отдалечена връзка са посредством модем по аналогова телефонна линия.

4. Модеми

Модемът е хардуерно устройство, основната функция на което е да преобразува цифровите сигнали, създавани от предаващия компютър, в аналогови сигнали, които могат да патуват по телефонната линия. След това модемът на другия край на връзката преобразува тези аналогови сигнали обратно в цифрови, за да могат да бъдат обработени от приемащия компютър.
Процесът на конвентиране на аналогови в цифрови сигнали и обратно се нарича модулация. Когато модемът се опитва да се свърже с друг модем, се испраща тонален сигнал от извикващия модем. Тоналния сигнал се задава с конкретна модулация, която претставява бръзо сменящи се тонове с висока и ниска тоналност. Звуковите тонове съответстват на единиците и нулите на оригиналния цифров сигнал.

4.1. Типови модеми

Повечето модерни модеми могат да бъдат класифицирани в следните три типа:

  1. Вътрешни
  2. Външни
  3. PC Card

4.1.1. Вътрешни модеми

Вътрешните модеми, както подсказва самото име, се включват в разширителен слот за карти във вътрешността на компютъра. Модемът трябва да бъде конфигуриран за използване на COM порт, който не се използва от друго устройство. Софтуерните драйвери за модема също трябва да бъдат инсталирани.

4.1.2. Външни модеми

Външния модем използва IRQ и I/O адрес, зададени на серийния порт, към който е свързан модемът, за това обикновено изискват по-малко конфигурации, макар че това предимство може да бъде отречено при използване на вътрешен модем.

4.1.3. Модеми PC Card

Модемите PC Card, често наричани PCMCA модеми, представляват малки карти, които се включват в специални слотове. PC Card, модемът е конфигуриран по начин, подобен на другите типове модеми. Голямо предимство на PC Card е малкият размер и преносимостта.

4.2. Кабелни модеми

Кабелен модем е устройство което действа подобно на LAN интерфейс, като свързва компютъра към кабела на мрежата на кабелния оператор по който се приемат сигналите. Кабелните модеми, за разлика от аналоговите модеми и адаптерите, най-опщо осигуряват само достъп до Интернет. При аналоговите модеми и адаптери може да се набере всеки доставчик на Интернет или сървър за отдалечен достъп в частна мрежа. Кабелните модеми, подобно на техните аналогови и ISDN съотведствия, са достъпни като вътрешни и външни устройства. Кабелният модем включва тунер с вграден дуплексер, за да могат да бъдат осигурени сигналите както на исходящия така и на външния поток. Но, инфраструктурите на някои кабелни телевизии поддържат предаване на сигнали само по исходящия поток.
Модемът приема цифрово модулирани сигнали. Демодулаторът е вграден в модема, и ако това е двупосочен модем, за предаване на исходящия поток се исползва burst модулатор.

5. Конфигуриране на клиенти и услуги за далечен достъп

За да може да се набира и да се установява връзка към сървър за отдалечен достъп трябва да конфигурира компютър, да функционира като клиент за отдалечен достъп. Това включва няколко стъпки:

  • Инсталиране на правилното хардуерно устройство
  • Инсталиране на конфигуриране на софтуерни драйвери за
  • Устройството
  • Свързване на устройството към телефонната линия
  • Задаване на свойства за набиране на връзката

5.1. Конфигуриране на сървър за отдалечен достъп

Сървърът за отдалечен достъп трябва да бъде оборудван с модем или модеми и трябва да бъде конфигуриран за приемане на входящи повиквания.
По отношение на сървъра за отдалечен достъп може да се наложи вземане на решения и да се направат съответни промени на настройките:

  • Дали да се приема Multilink PPP връзки
  • Дали да се исползва BAP за динамично управление на исползването на пропускателната способност.
  • Дали да се разрешава IP марщрутизация, или за LAN протоколи, различни от TCP/IP, дали да се разрешава само достъп до сървъра или до цялата мрежа.
  • Когато се исползва TCP/IP, дали сървърът ще задава IP адреси от комплет от статични адреси или ще исползва DHCP сървър
  • Какъв медот за автентикация да се използва за отдалечени връзки

6. Проблеми на сигурността при отдалечен достъп

Може да се повиши сигурността по няколко начина като едновременно с това се разреши на потребителя отдалечения достъп, който им е неопходим. С помоща на мерки за сигурност в комбинация с позволения за достъп до файлове и споделени ресурси за контрол на достъпа, може да се постигне сигурна среда и в същото време да се осигури на потребителите удобството на отдалечения достъп. Най-често прилагани мерки за сигурност:

  • Сигурност чрез обратно набиране
  • Radius
  • Политики на отдалечен достъп
  • Заключване на акаунт
  • Сигурни хостове

6.1. Сигурност чрез обратно набиране

Сигурноста чрез обратно набиране е възможност на сървъра за отдалечен достъп, която може да расшири сигурността чрез ограничаване на dialup връзки. При включена сигурност обратно набиране сървърът не вярва на акредитивите въведени от потребителя.

6.2. Radius

Radius е протокол който стана индуструален стандарт за автентикация на dialup потребители и усигурява услуги за управление на акаунти за dialup сървъри, използвани от ICP доставчиците. Dialup сървърът се конфигурира като Radius клиент, а информацията за име и парола се испраща от dialup сървъра до Radius сървъра. Radius сървъра осигурява автентикация, осигурява и централизирана автентикация с помоща на определени протоколи:

  • PAP
  • CHAP и MS-CHAP
  • EAP
  • Dialed Number Identification Service (DNIS)
  • Automatic Number Identification (ANI) Service

7. Заключване на акаунт

Заключването на акаунт може да бъде приложено към връзки за отдалечен достъп, за да попречи неоторизирани потребители да познаят валидната парола чрез изпробване на различни пароли в последователен ред. При заклячването на акаунта, след определен брой неуспешни обиди за логване на акаунтът се заключва и системата не приема повече опити. Може да се конфигурура тази възможност по следните начини:

  • Може да се зададе броя на неуспешните опити, които са разрешени преди заключване
  • Може да се зададе дали акаунтът ще бъде освободен след зададен период от време или ще остане заключен, докато администраторът не го отключи

8. Хостове за сигурност

Един хост за сигурност представява устройство, използвано за автентикация на входящи dialup потребители. То се исползва в допълнение към собствените мерки за сигурност на сървъра за отдалечен достъп. Хостът представлява хардуерно устройство, което се инсталира между клиента за отдалечен достъп и сървъра за отдалечен достъп.

9. Видове програми за отдалечен достъп

На пазара има доста софтуер за отдалечен достъп. При избора трябва да се ръководи основно от собствените нужди - не е необходимо да се купува скъп продукт, ако програма с по-скромни възможности също би можела да свърши работа.

RemoteAccess - Програмата се произвежда от българо-немската компания XiTeC Technologies GmbH. Тя предлага основни предимства на крайните потребители. Голямо предимство е, че не е необходимо да има инсталиран клиент на компютъра, който ще използвате за да се свържете с вашето РС.
Поддържа работа в локална мрежа, с кабелен модем, комутируема линия (модем или ISDN), като e предвиден модул за достъп през Интернет към компютри от вътрешна мрежа.

Как се работи с RemoteAccess?

За да се получи достъп до РС-то се отваря произволен браузър. След оторизация можете да прехвърляте и файлове, ползвайки FTP модула на програмата.
Не е необходимо отдалеченият компютър да е в постоянна връзка с Интернет. В RemoteAccess предварително се задава код за достъп. RemoteAccess изпраща ел. поща или SMS с линка за достъп. Се избира през Internet Explorer, след което може да се работи на отдалечения компютър.

PC Anywhere - Най-богата на функции програма за отдалечен достъп е pcAnywhere на Symantec. Освен че позолвява извършването на множество операции на отдалечения компютър, програмата се грижи сериозно и за сигурността на връзката. Специална сериализираща функционалност позволява на отделните компютри да се отделят специални подсигурителни кодове, така че да се предодврати неоторизирания достъп до тях.
Сигурността и големите възможности за отдалечен достъп, предлагани от pcAnywhere правят решението предпочитано в офисите. Системните администратори могат да извършват различни операции по настройката на операционната му система или мрежово обкръжение. Бързо и лесно е и прехвърлянето на файлове между машините. Също безпроблемно става и разпечатването на отдалечение файлове, без да се налага да се прехвърлят на локалния компютър.
За да се осъществи връзката е необходимо и на двата компютъра да има инсталиран pcAnywhere. На едната машина програмата се конфигурура като хост и действа като сървър, а на другата - като клиент. pcAnywhere се разпространява в България от АКТ Софт.

PC Duo - PC Duo е програма предназначена за отдалечен достъп и администриране. Тя предлага следните ключови функции: отдалечен достъп, трансфер и синхронизация на файлове, “снимка” на отдалечения компютър, поделен клипборд, гласова комункация, сигурен пренос на данни с 56-битово кодиране и групов достъп. Неин производител е Vector Networks. PC Duo има контрол и клиент вместо сървър и клиент. Клиентът е версията, която се инсталира на “контролираното” РС. До него има достъп компютърът, на който е инсталиран контролът. Този компютър може да контролира няколко други, които от своя страна можете да обедините в групи. PC Duo предлага 56-битово криптиране. Напредналите потребители могат да конфигурират програмата за работа с firewall с ограничен достъп до определени клиенти.

Remote Desktop – Тази програма предлага дистанционен достъп до файловете в локалната мрежа чрез Интернет. Тя е наследник на по-ранната програма Apple Network Administrator, но разширява възможностите й в множество аспекти, сред които поддръжка на новите LAN протоколи. Програмата работи на версиии от Mac OS 8.1 до Mac OS 9.2 или Mac OS X v10.1 и по-новите. Производител на тази програма е фирмата Apple Computer.

10. Видове протоколи за отдалечен достъп

Софтуерните протоколи VPN и SSH са най-известните протоколи за създаване на виртуелен LAN.

VPN Протоколи - VPN са далеч по-популярни и са приложими дори в най-малките фирми, които се нуждаят от сигурност на добро ниво. Тяхната цена е значително по-ниска, а освен това има много добри open source реализации. Данните чрез VPN се изпращат по обществената мрежа по начин, който емулира връзка от тип „от точка до точка”. Това се постига чрез капсулиране на данните. VPN позволява създаване логическа мрежа, която е независима от местоположението и от възможността за установяване на директна физическа връзка. VPN може да бъде конфигурирана да работи по dialup връзка, или може да бъде конфигурирана като връзка от типа маршрутизатор-маршрутизатор, която използва маршрутизатори със специално заделени Интернет връзки, например линии Т1. Може да се създава VPN връзка по заявка между маршрутизатори. При този тип връзка отговарящият маршрутизатор има посветена Интернет връзка, а извикващият маршрутизатор използва dialup Интернет връзка.
VPN мрежата може да бъде реализирана софтуерно или хардуерно.

  1. Софтеурно-базираните VPN мрежи включват използването на тунелните протоколи. Тази категория може да бъде разделена допълнително на продукти на независими производители и VPN софтуер, поддържан от операционната система.
  2. Хардуерно-базиранете VPN мрежи се произвеждат от компании като Shiva, 3Com и VPNet Technologies. Поддръжката на VPN е вградена в маршрутизаторите на Cisco, както и в маршрутизаторите на други компании.

Проблемите на производителността, свързани с VPN мрежите, могат да бъдат категоризирани по два начина: общи проблеми на производителността и проблеми, които са специфични за конкретни VPN реализации.

  • SSH протоколи - SSH е протокол предназначен да предостави сигурна криптирана комуникация между два компютъра в незащитена мрежа. SSH може да създаде сигурен канал за port
  • forwarding на X11 протокола и на TCP връзки, а освен това компресира данните.
  • SSH протокола предлага сигурна идентификация и на двете
  • страни на връзката чрез автентикационния механизъм RSA. Криптирането на връзката се осъществява чрез Blowfish,
  • 3DES или АES.

Има три начина за ауторизация на клиент на SSH сървър:

  1. Чрез така наречения hostbased метод – той включва разнообразни проверки на сървъра и клиента свързани с въведеното потребителското име, което се опитваме да ауторизираме
  2. На базата на публичен ключ на клиента – тук се използва RSA (DSA)
  3. Чрез въвеждане на парола, която се проверява на сървъра. Клиентът обикновено се опитва да се ауторизира в реда на изброяването на вариантите. И трите варианта имат предимства и недостатъци, но те не са от значение за тази тема.

Основните SSH имплементации са три :

  1. SSH.com
  2. lsh – свободна имплементация на SSHv2
  3. OpenSSH – свободна имплементация на SSHv1 и SSHv2,
  4. използва се много широко във всички UNIX-подобни операционни
  5. системи.

Сходни статии:

  1. Протоколи ot LAYER 4 на OSI модела, UDP, TCP Транспортният слой е разположен над Интернет слоя в четирислойния модел на ТСР/IP. Най- важните протоколи в този слой са Transmission Control Protokol (TCP) и User Datagram Protokol (UDP). ТСР осигурява...
  2. Общ модел за достъп на данни чрез ADO.NET Какво представлява ADO.NET ADO.NET е: Еволюционен, по-гъвкав наследник на ADO Система предназначена за несвързани среди Модел за програмиране със съвременна поддръжка на XML Множество от класове, интерфейси, структури и списъци,...
  3. Същност на понятието файлов трансфер, FTP (File Transfer Protocol) Дава възможност за преместване или копиране на файлове от един компютър на друг. Има специфични указания или протоколи, които управляват файловия трансфер през Интернет, познати като протокол за трансфер на...
  4. Microsoft Remote Desktop Connection Microsoft Remote Desktop Connection е проектиран софтуер за Windows XP и напълно съоръжен с инструменти за отдалечена манипулация. Неговата задача е да свързва компютъра на който се работи в момента...
  5. Изграждане на Интранет мрежи Фактическото планиране на Интранет. То може да протече в следния ред : Натрупване на информация за организацията Дефиниране на необходимостта от изграждане на Интранет Определяне начините за оценка на постигнатото...

Friday, May 8th, 2009 at 09:24
Tags: , , , , , ,
RSS feed for comments on this post
Comments are closed.