ЗАСТОСУВАННЯ ТЕХНОЛОГІЇ термінального доступу

61 Загальні відомості про технологію термінального доступу

Спочатку термінальний режим роботи зявився і використовувався на мейнфреймах Користувачі працювали з терміналами, що забезпечували звязок з термінальним сервером і відображення інформації, отриманої з головного компютера Всі обчислення здійснювалися головним компютером На се-годняшній день суть термінального доступу не зазнала ніяких ідейних змін У сучасних схемах організації обчислювальних процесів замість спеціального апаратного комплексу використовуються програми-клієнти, які забезпечують взаємодію з сервером і відображення отриманої від нього інформації Всю обчислювальну навантаження також несе сервер

Технологія термінального доступу дозволяє перенести обчислювач-

ні витрати з робочих станцій на сервер, вирішуючи ряд проблем:

– Вся обробка даних виконується на сервері, немає необхідності в се-

тевой передачі файлів, з сервера на робочі станції передається лише вимірюв-ненное вміст інформаційних вікон текстових редакторів або СУБД, що спрощує захист мережевого трафіку і дозволяє використовувати в якості робочих станцій практично будь-які компютери з будь ОС, в тому числі бездискові станції

– Відсутня необхідність надавати користувачам потенційно небезпечний мережевий доступ до зберігаються на сервері файлів даних

– Магнітні, а також зовнішні носії, на яких може виявитися повна або часткова копія захищаються файлів даних, розташовані толь-ко на сервері і можуть повністю контролюватися адміністратором

Передбачається наступна схема використання технології вікно терміналу доступу На сервері встановлюється служба термінального доступу, розгортаються програми, необхідні для роботи користувачів Сервер

термінального доступу не повинен виконувати інших мережевих функцій крім обслуговування термінального режиму, а саме, виключаються спільно надаються мережеві ресурси, включаючи принтери Перелік мережевих

служб, що функціонують на сервері і доступних з мережі, обмежується тільки термінальній службою і, при необхідності, службою, забезпечують-вающей шифрування мережевого трафіку

На робочих станціях користувачів встановлюється клієнт терміналу і налаштовується на підключення до термінального сервера Запуск клієнта терміналу може здійснюватися або з основної ОС, встановленої на компютері користувача, або з ОС, яка завантажується з зовнішнього носія

(Дискети або CD-ROM) або завантажується за допомогою мережевої карти видалений-

ної завантаження

У першому випадку для роботи з захищеними даними користувач з основної ОС запускає клієнта термінального доступу При цьому на компю-тере можуть бути встановлені засоби захисту інформації від несанкціоні- рованного доступу Перевагою даного способу є можливість організації додаткового захисту (шифрування) мережевого трафіку шляхом використання протоколу IPSec (в ОС Windows XP) або спеціалізованих СЗІ

У другому випадку користувач для роботи з захищеними даними завантажує компютер із спеціально підготовленого носія (CD-ROM або

дискети), на який записується ОС Linux з клієнтом термінального сер-вера Може бути застосована бездискова станція, завантажувана з сервера за допомогою мережевого адаптера, дозволяючого віддалене завантаження Отрицатель-

вим властивістю цього рішення є неможливість застосування додаткових засобів шифрування трафіку Причина полягає в тому, що не з-Вестн сертифіковані засоби захисту інформації, завантажень з

зовнішнього носія або по мережі

Для обробки даних, що захищаються користувач запускає програму-

клієнта терміналу, реєструється на термінальному сервері з використанням-

ем рядовий облікового запису Особливістю налаштування термінального сервера є установка ряду заборон для користувачів, найбільш важливим з ко-торих є заборона використання спільного буфера обміну Завдяки даному забороні вирішується проблема несанкціонованого копіювання за-щіщают даних на носії робочих станцій Користувач терміналу може виділити і скопіювати в буфер обміну термінальної Windows як файл з даними, так і вміст інформаційного вікна Однак операцію вставки можна виконати тільки у вікні термінального сервера У вікні рабо-чий станції можливість вставки з буфера буде заблокована

Таким чином, копіювання всієї інформації, що захищається або її частини може бути здійснено лише на носії, фізично підключені

до сервера Це накладає деякі обмеження на можливість експор-

та / імпорту даних, так як операції експорту та імпорту також здійснюва-

ються тільки через носії, встановлені на сервері Основним переважно-ством є те, що всі носії, включаючи зовнішні, на яких може виявитися повна або часткова копія даних, що захищаються, розташовані тільки на сервері під контролем адміністратора Це спрощує централізований антивірусний контроль і блокує можливість появи шкідливих програм

Проблема освіти технологічного «сміття» на робочих станціях також вирішується автоматично Для кожного термінального сеансу на сервері

створюється тимчасовий каталог Якщо встановлені відповідні налаштування,

то по закінченні сеансу цей каталог буде видалений Таким чином, технологи-

чний «сміття» залишається лише на носіях термінального сервера

Проблема передачі відкритого мережевого трафіку вирішується насамперед тим, що в технології термінального доступу вся обробка даних, що захищаються виконується на сервері, а на робочі станції передається лише вимірюв-ненное вміст інформаційних вікон відповідних додатків Крім того, можливе шифрування трафіку засобами термінального серве-ра Термінальний сервер підтримує кілька рівнів безпеки, ка-ждий з яких визначає напрям шіфруемого трафіку і довжину клю-ча, використовуваного при шифруванні

До складу Windows Server 2003 включена служба Microsoft Terminal Ser-vices (MSTS) [18] Вона надає можливість або віддалено адмініст-

рировать сервер, або перетворити його на сервер додатків (термінальний

сервер) Крім того, існує надбудова над даною службою, розроблений-

ная компанією Citrix, яка вводить ряд додаткових можливостей і збільшує число підтримуваних платформ

Слід зазначити, що сама реалізація MSTS не вільна від недостат-

ков, які потенційно можуть бути застосовані зловмисниками для порушення безпеки даних Так як всі користувачі, що підключаються до сервера в термінальному режимі, по суті, здійснюють інтерактивний вхід в систему, то вони можуть зареєструватися в системі з консолі сервера Отже, використання термінального сервера предявляє підвищений-ні вимоги до адміністрування та до виконання необхідних настро-ек безпеки застосовуваного програмного забезпечення

Безпека режиму термінального доступу забезпечується сукупність-ністю налаштувань ОС Windows Server 2003, серверної частини MSTS і протоко-ла термінального доступу – RDP У кожному з цих компонентів реалізовувати-

ни різні механізми захисту, але в той же час кожен компонент має власні уразливості, які можуть бути використані зловмисними-ками

Основними групами вразливостей ОС Windows Server 2003, які представляються актуальними для захисту в термінальному режимі, є:

– Можливість мережевого доступу до оброблюваної сервером інформації

– Можливість розширення повноважень при здійсненні локального доступу

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*