Протоколы удаленного доступа

Поддержка PPP позволяет компьютерам с Windows Server получать с помощью подключений удаленного доступа к сети доступ к любому серверу, также поддерживающему стандарт PPP. Совместимость со стандартом PPP позволяет компьютеру с Windows Server принимать входящие вызовы и предоставлять доступ к сети клиентам удаленного доступа, использующим программное обеспечение других разработчиков.  
 
Архитектура протокола PPP также позволяет клиентам удаленного доступа использовать любую комбинацию протоколов IPX, TCP/IP, NetBEUI и AppleTalk. Клиенты удаленного доступа операционных систем Windows могут использовать любую комбинацию протоколов TCP/IP, IPX и NetBEUI и программ с интерфейсом Windows Sockets, NetBIOS и IPX.

 

5.1 Протокол PPTP

 

PPTP (Point-to-Point Tunneling Protocol) — туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой сети. PPTP помещает (инкапсулирует) кадры PPP в IP-пакеты для передачи по глобальной IP-сети, например Интернет. PPTP может также использоваться для организации туннеля между двумя локальными сетями. РРТР использует дополнительное TCP-соединение для обслуживания туннеля.

Спецификация протокола была опубликована как «информационная» RFC 2637 в 1999 году. Она не была ратифицирована IETF. Протокол считается менее безопасным, чем IPSec. PPTP работает, устанавливая обычную PPP сессию с противоположной стороной с помощью протокола Generic Routing Encapsulation. Второе соединение на TCP-порте 1723 используется для инициации и управления GRE-соединением. PPTP сложно перенаправлять за сетевой экран, так как он требует одновременного установления двух сетевых сессий.

PPTP-трафик может быть зашифрован  с помощью MPPE. Для аутентификации клиентов могут использоваться различные механизмы, наиболее безопасные из них — MS-CHAPv2 и EAP-TLS.

Компания Cisco первой реализовала PPTP и позже лицензировала эту технологию корпорации Microsoft. PPTP удалось добиться популярности благодаря тому, что это первый протокол туннелирования, который был поддержан корпорацией Microsoft. Все версии Microsoft Windows, начиная с Windows 95 OSR2, включают в свой состав PPTP-клиент, однако существует ограничение на два одновременных исходящих соединения. А сервис удалённого доступа для Microsoft Windows включает в себя PPTP сервер.

Некоторое время в Linux-дистрибутивах отсутствовала полная поддержка PPTP из-за опасения патентных претензий по поводу протокола MPPE. Впервые полная поддержка MPPE появилась в Linux 2.6.13 (2005 год). Официально поддержка PPTP была начата с версии ядра Linux 2.6.14. Тем не менее, сам факт применения MPPE в PPTP фактически не обеспечивает безопасность протокола PPTP.

Операционная система FreeBSD поддерживает PPTP протокол, используя в качестве сервера PPTP порт mpd (/usr/ports/net/mpd), используя подсистему netgraph; можно также использовать программу PoPToP (/usr/ports/net/poptop). В качестве клиента PPTP в системе FreeBSD может выступать либо порт pptpclient (/usr/ports/net/pptpclient), либо порт mpd, работающий в режиме клиента.

Mac OS X поставляется со встроенным PPTP клиентом. Cisco и Efficient Networks продают реализации PPTP клиента для более старых версий Mac OS. КПК Palm, имеющие поддержку Wi-Fi, поставляются с PPTP клиентом Mergic.

Microsoft Windows Mobile 2003 и более новые также поддерживают PPTP.

PPTP был объектом множества анализов  безопасности, в нём были обнаружены  различные серьёзные уязвимости. Известные относятся к используемым  протоколам аутентификации PPP, устройству протокола MPPE, и интеграции между аутентификациями MPPE и PPP для установки сессионного ключа. Краткий обзор данных уязвимостей:

• MSCHAP-v1 совершенно ненадёжен. Существуют утилиты для лёгкого извлечения хешей паролей из перехваченного обмена MSCHAP-v1.
• MSCHAP-v2 уязвим к словарной атаке на перехваченные challenge response пакеты. Существуют программы, выполняющие данный процесс.[2]
• В 2012 году было показано, что сложность подбора ключа MSCHAP-v2 эквивалентна подбору ключа к шифрованию DES, и был представлен онлайн-сервис, который способен восстановить ключ за 23 часа.
• При использовании MSCHAP-v1, MPPE использует одинаковый RC4 сессионный ключ для шифрования информационного потока в обоих направлениях. Поэтому стандартным методом является выполнение XOR’а потоков из разных направлений вместе, благодаря чему криптоаналитик может узнать ключ.[4]
• MPPE использует RC4 поток для шифрования. Не существует метода для аутентификации цифробуквенного потока и поэтому данный поток уязвим к атаке, делающей подмену битов. Злоумышленник легко может изменить поток при передаче и заменить некоторые биты, чтобы изменить исходящий поток без опасности своего обнаружения. Данная подмена битов может быть обнаружена с помощью протоколов, считающих контрольные суммы.

 

 

 

 

 

 

 

 

 

6 ПРОТОКОЛ RDP

Протокол удаленного рабочего стола RDP (Remote Desktop Protocol) обеспечивает удаленный доступ через сеть к рабочему столу компьютеров под управлением операционной системы Microsoft Windows. Используется при подключении тонких клиентов к терминальному серверу Windows с запущенной службой Microsoft Terminal Services. Разработан компанией Microsoft.

Ключевые возможности протокола RDP

• Поддержка шифрования по алгоритму RC-4 с длиной ключа 128 или 56 бит
• Поддержка протоколов TLS (Transport Layer Security)
• Аутентификация пользователей с помощью смарт-карт (на сервере через службу терминальных подключений Microsoft Terminal Services)
• Поддержка звука на локальном компьютере для приложений терминального сервера
• File System Redirection – позволяет работать с файлами локального компьютера на удаленном терминальном сервере
• Printer Redirection – позволяет печатать на принтере локального компьютера из приложений запущенных на удаленном терминальном сервере
• Port Redirection – открывает доступ к последовательным и параллельным портам локального компьютера для приложений запущенных на удаленном терминальном сервере
• Совместное использование буфера обмена как на локальном компьютере, так и на удаленном терминальном сервере
• Глубина цвета дисплея: 24, 16, 15 или 8 бит

Невзирая на то, что сами пакеты проткола RDP передаются по сети в зашифрованном виде, сама терминальная сессия может быть подвергнута атаке Man In The Middle, так как ни серверная часть, ни клиентская не производят взаимную аутентификацию передаваемых и принимаемых пакетов с данными. Поэтому для построения полностью защищенных решений необходимо использовать защиту RDP на уровне SSL появившуюся в Windows Server 2003 Service Pack 1.

 История версий

• Первая версия RDP появилась в Terminal Services Windows NT 4.0. Основан на ITU-T T.128 application sharing protocol (проект, также известный как T.share) из серии рекомендаций T.120. Первая версия RDP была введена Microsoft в Terminal Services как часть их продукта Windows NT 4.0 Server, Terminal Server Edition. Она основывалась на MultiWin технологии Citrix, изначально поставлявшейся как часть Citrix WinFrame для Windows NT 3.51. Поддерживались несколько пользователей и сессий входа одновременно.[1]
• Версия 5.0, появившаяся в Windows Server 2000, имеет дополнительные возможности, например, печать на локальные принтеры, и лучше использует пропускную способность сети.
• Версия 5.1, появившаяся в Windows XP Professional, включала поддержку 24-битного цвета и звука.
• Версия 5.2, появившаяся с Windows Server 2003, включает поддержку консоли, каталог сеанса и подключение (mapping) локальных ресурсов. Начиная с этой версии поддерживается проверка подлинности сервера по сертификату SSL и шифрование соединения по протоколу TLS 1.0.
• Версия 6.0 установлена в Windows Vista и включила поддержку программ удаленного взаимодействия, приложениям Windows Presentation Foundation, поддержку нескольких мониторов
• Версия 6.1 была выпущена в феврале 2007 и включена в Windows Server 2008, и в пакет обновления Windows Vista SP1 и Windows XP SP3. 
  В дополнение к изменениям, связанным с улучшенным доступом к консоли, эта версия включает новые функциональные возможности, появившиеся в Windows Server 2008, такие как Terminal Services Easy Print driver (новая клиентская система перенаправления принтера, которая позволяет выполнять локальную печать из приложений, выполняющихся на сервере, не устанавливая драйвер печати на сервере).
• Версия 7 (вышла в составе Windows 7, поддерживается в Windows XP)

• Поддержка аутентификации сетевого уровня— снижает риск успешной атаки типа DoS (Denial of Service)
• Увеличение производительности ядра RDP
• Поддержка технологии Windows Aero (Aero over Remote Desktop)
• Поддержка технологий Direct2D и Direct3D 10.1 в приложениях
• Полноценная поддержка мультидисплейных конфигураций
• Улучшения в работе с мультимедиа
• Поддержка технологии Media Foundation
• Поддержка технологии DirectShow
• Снижена длительность задержки при воспроизведении аудио

• Версия 7.1 (вышла в составе Windows 7 SP1)

• Версия 8.0 (вышла в составе Windows 8, с октября 2012 года доступна как пакет обновления для Windows 7 SP1 и Windows Server 2008)

Новые возможности появившиеся в шестой версии RDP

• Remote Applications. Прямой запуск приложений на сервере в выделенной терминальной сессии без открытия окна терминальной сессии. Поддержка файловых ассоциаций локального компьютера – возможность запуска приложений на сервере для открытия документа на локальном компьютере в соотвествии с расширением в имени файла.
• Seamless Windows. Эмуляция окна локального компьютера с запуском приложения на терминальном сервере. Автоматическая аутентификация на сервере с данными учетной записи пользователя. Автоматическое завершение соответствующей терминальной сессии при завершении работы приложения.
• Terminal Server Gateway. Поддержка подключений RDP через сервер-шлюз IIS с использованием протокола https. Обеспечивает защищенное подключение к терминальному серверу расположенному за ISS в локальной сети предприятия.
• Windows Aero Glass. Поддержка Windows Aero Glass включая сглаживание шрифтов ClearType.
• Windows Presentation Foundation. Поддерживается на любых клиентах с установленной .NET Framework 3.0.
• Полностью настраиваемые терминальные сервисы включая поддержку скриптов средствами Windows Management Instrumentation.
• Улучшенное управление полосой пропускания для клиентов RDP.
• Поддержка нескольких мониторов. Разделение экрана терминальной сессии на несколько мониторов. Работает только с системами Windows Vista.
• Глубина цвета дисплея: 32, 24, 16, 15 или 8 бит

Благодаря использованию RDP версии 8.0 и RemoteFX пользователи виртуальных машин под управлением Windows 8, развернутых на узлах Windows Server 2012, получили несколько большие возможности по сравнению с использованием VDI (Virtual Desktop Infrastructure) операционных систем предыдущих поколений.

В частности, одной из особенностей VDI Windows 8 является предоставление широких возможностей виртуального рабочего стола при использовании не только на LAN-, но и на  WAN-каналах. С выходом обновления протокола RDP 8.0 стало возможным использование виртуальных машин под управлением Windows 7 SP1 на хостах Windows Server 2012 в сценариях VDI со всеми усовершенствованиями. В частности, будут реализованы следующие возможности.

Для клиентских устройств доступа под управлением Windows 7 SP1 и Windows Server 2008 R2 SP1:

• динамическое пренаправление USB-устройств — позволит пользователям выбирать необходимые устройства уже в процессе сессии удаленного рабочего стола,
• улучшения в плане единой точки входа при веб-доступе к удаленным рабочим столам — предполагает под собой единоразовый ввод паролей для дальнейший соединений,
• переподключение к удаленным рабочим столам и приложениям RemoteApp,
• поддержка Lync 2013 в сценариях VDI — использование видео-конференций посредством клиента Lync  в сессиях удаленных виртуальных рабочих столов.

 

 Для виртуальных машин под управлением Windows 7 SP1:

• RemoteFX для WAN-каналов — заявлена возможность использования RemoteFX на WAN-каналах путем оптимизации UDP-транспорта,
• автоопределение сетей при использовании RemoteFX — позволяет автоматически определить пропускую способность канала, адаптируя тем самым задержки передаваемые данные в условиях изменяющейся загрузки сети,
• адаптивная графика при использовании RemoteFX — предоставление возможностей графики различной сложности в зависимости от нагрузки сервера, клиента и сети,
• потоковые медиа-данные — возможности использования сглаживаемых показателей передачи мультимедиа-контента,
• перенаправление USB в RemoteFX для виртуальных рабочих столов без виртуальной видеокарты,
• поддержка вложенных сессий — запуск “RDP в RDP” официально признан поддерживаемым,
• счетчики производительности для мониторинга пользователей.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ЗАКЛЮЧЕНИЕ

 

В настоящее время технологии удаленного доступа используются практически в любой сфере деятельности, так или иначе связанной с компьютерами. Они позволяют сократить затраты ресурсов и времени для выполнения различного рода операций, без непосредственного нахождения на рабочем объекте. Растет популярность технологии виртуализации рабочих станций, позволяющей централизованно хранить и обслуживать приложения и данные любого количества ПК. Доступ к виртуальным рабочим станциям осуществляется с клиентских устройств из любой точки земного шара, где есть Интернет. Современные технологии удаленного доступа и компьютерных сетей позволяют удаленным пользователям работать с большими объемами графических, видео и аудио данных, что раньше не представлялось возможным. Анализ сегодняшних запросов пользователей позволяет утверждать, что технологии удаленного доступа будут развиваться и оставаться востребованными в будущем.  
Список использованных источников