![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Продолжая начатую серию "интернет, для тех, кто в интернете" расскажу об организации удалённого администрирования. Само собой, такие проблемы, как управление удалённым компьютером, могут возникнуть только у опытных сетевых пользователей, так что на этот раз я позволю себе не подбирать выражений и сыпать жаргонами направо и налево.
Итак, задача стоит очень просто: имеется два компьютера в разных сетях, и мы хотим получить доступ к ресурсам одного из них. Под ресурсами будем понимать всё - и чтение/запись файлов, и мониторинг приложений, и "параллельное" управление десктопом.
Когда возникают такие задачи? Во-первых это поддержка, демо и тренинг - тут самым важным является управление десктопом. Во-вторых - скрытый контроль за действиями удалённого пользователя. Ну и в-третьих - элементарное администрирование без необходимости доступа к экрану удалённого компьютера. В моём случае, помимо этих трёх задач, решалась довольно специфическая задача обхода блокировки варезных сайтов на работе - подключение к домашнему компьютеру позволило качать нужные линки не покидая рабочего места и не нарушая корпоративных правил.
С какими проблемами сталкивается организация удалённого администрирования? Во-первых это адресация - ведь простое и привычное соединение по FTP/SSH или доступ к десктопу через VNC невозможны для компьютеров расположенных в разных сетях, так как NAT "приводит" всех к обезличенному внешнему адресу. Во-вторых удалённый компьютер должен быть подготовлен к удалённому доступу (постоянно запущенное серверное приложение и открытый внешний порт). Как альтернатива (в ситуациях не требующих скрытного доступа) пользователь на удалённом компьютере может временно запустить серверную часть и "вырубить" её по окончании сеанса. Третьей проблемой, плавно вытекающей из второй, является опасность атак на серверную часть - ведь оставив удалённый компьютер с открытым портом на всеобщее обозрение мы как бы сами притягиваем потенциальных взломщиков. Тут полезно ограничить доступ по IP (если администраторские соединения всегда идут со статического внешнего адреса). Естественно, как и в случае с "альтернативными источниками" хотелось бы иметь официально бесплатное решение, и это четвёртая проблема. Дополнительно возникли разные экзотические требования - минимум инсталляции с обеих сторон, поддержка видео и звука и прочее и прочее, но это уже не существенно.
Были испытаны три совсем разноплановые системы удалённого доступа: TeamViewer, LogMeIn и SkyFex. Почему именно эти? Во-первых они бесплатны (или условно-бесплатны). Во-вторых, - достаточно известны. Что касается других вариантов, то их я отверг по причинам ненадёжности, малоизвестности и ограниченности услуг.
Вот итоги по всем трём системам:
1. Все решения, связанные с адресацией удалённого компьютера, сидящего за NAT так или иначе сводятся к общению через "третьих лиц" - сервера, транслирующего пакеты между управляющим и управляемым компьютером. Поэтому все испытанные системы требуют регистрации и идентификации у себя на сайте. Естественно, всё это идёт в режиме он-лайн шифрования через SSL (хотя я бы не стал доверять ActiveX плагинам у SkyFex). Для клиентской (административной) стороны имеются плагины к браузеру (LogMeIn, SkyFex) или симметричное приложение (TeamViewer). Естественно, никаким боком не рассматривалось удалённое подключение к Linux-у (да и не запускаю я его для таких целей), но клиент LogMeIn вполне себе работает из-под FireFox на RHEL.
2. Серверная часть выпускается как в виде инсталляционного пакета (LogMeIn), так и отдельным приложением (TeamViewer) - по большому счёту это не критично. Наиболее изящным было решение, предложенное skyfex.com - с обеих сторон использовался ActiveX плагин к IE.
3. У программы TeamViewer наблюдалась странная тенденция - постоянно возникали TCP соединения с подозрительными внешними адресами - то из России, то из Израиля, а то вообще непонятно откуда. Скорее всего порт TeamViewer-а оказался "лакомым кусочком" для любителей пошарить на чужом компьютере. Собственно из-за этого я его "в кипятке и сварил".
Программа LogMeIn приятно обрадовала наличием ограничения на диапазоны входящих IP адресов. Элементарный мониторинг показал, что никакая собака извне к этому серверу не цеплялась, а значит фильтрация сработала как часы.
4. Все три системы позволяют управлять удалённым десктопом, но SkyFex требует Session ID для доступа, а это возможно только при интерактивном контакте с пользователем. TeamViewer даёт возможность работать как с постоянным номером сессии (опасно, но не требует контакта с пользователем), так и с одноразовой сессией. LogMeIn работает с сервером на удалённом компьютере используя родную аутентикацию Windows - это и удобно, но в какой-то мере и опасно.
5. В некоммерческой версии TeamViewer-а при соединении/рассоединении на обеих сторонах выскакивают противные окошки-предупреждения, так что ни незаметного наблюдения, ни даже доступа к файлам на фоне графических игрулек не получается. LogMeIn при всей своей триальности практически незаметен для удалённого пользователя. Правда по окончании триального срока его приходится вручную продлевать, а это в определённых ситуациях может оказаться неприятным сюрпризом.
6. С точки зрения предоставляемых услуг самым мощным оказался LogMeIn - он отображает кучу системных логов, всяческих диаграмм и графиков в реальном времени, позволяет управлять разнообразными настройками Windows, и самое главное - открывает консоль на удалённом компьютере. Я неоднократно открывал незаметно для пользователя такую консоль и запускал в ней Far - всё работало как будто я сидел за "тем" компьютером.
Таким образом LogMeIn оказался идеальным средством администрирования "своего" то есть домашнего компьютера. Он и всемогущ с точки зрения возможностей, и скрытен, и безопасен. Помимо этого, у него оказались совсем экзотические услуги - блокировка удалённой клавиатуры на время сеанса, "лазерная указка", отображение видео и даже ретрансляция звука.
Для оказания одноразовой "скорой компьютерной помощи" на компьютерах друзей и знакомых более подходят TeamViewer (минимум инсталляции, поддержка индивидуальных сессий) и SkyFex (инсталляция плагина в браузере, только индивидуальные сессии). Тут и однотипные клиент/сервер, и оперативность установки соединения, и минимум потенциальных "дыр" (при грамотном использовании).
Итак, задача стоит очень просто: имеется два компьютера в разных сетях, и мы хотим получить доступ к ресурсам одного из них. Под ресурсами будем понимать всё - и чтение/запись файлов, и мониторинг приложений, и "параллельное" управление десктопом.
Когда возникают такие задачи? Во-первых это поддержка, демо и тренинг - тут самым важным является управление десктопом. Во-вторых - скрытый контроль за действиями удалённого пользователя. Ну и в-третьих - элементарное администрирование без необходимости доступа к экрану удалённого компьютера. В моём случае, помимо этих трёх задач, решалась довольно специфическая задача обхода блокировки варезных сайтов на работе - подключение к домашнему компьютеру позволило качать нужные линки не покидая рабочего места и не нарушая корпоративных правил.
С какими проблемами сталкивается организация удалённого администрирования? Во-первых это адресация - ведь простое и привычное соединение по FTP/SSH или доступ к десктопу через VNC невозможны для компьютеров расположенных в разных сетях, так как NAT "приводит" всех к обезличенному внешнему адресу. Во-вторых удалённый компьютер должен быть подготовлен к удалённому доступу (постоянно запущенное серверное приложение и открытый внешний порт). Как альтернатива (в ситуациях не требующих скрытного доступа) пользователь на удалённом компьютере может временно запустить серверную часть и "вырубить" её по окончании сеанса. Третьей проблемой, плавно вытекающей из второй, является опасность атак на серверную часть - ведь оставив удалённый компьютер с открытым портом на всеобщее обозрение мы как бы сами притягиваем потенциальных взломщиков. Тут полезно ограничить доступ по IP (если администраторские соединения всегда идут со статического внешнего адреса). Естественно, как и в случае с "альтернативными источниками" хотелось бы иметь официально бесплатное решение, и это четвёртая проблема. Дополнительно возникли разные экзотические требования - минимум инсталляции с обеих сторон, поддержка видео и звука и прочее и прочее, но это уже не существенно.
Были испытаны три совсем разноплановые системы удалённого доступа: TeamViewer, LogMeIn и SkyFex. Почему именно эти? Во-первых они бесплатны (или условно-бесплатны). Во-вторых, - достаточно известны. Что касается других вариантов, то их я отверг по причинам ненадёжности, малоизвестности и ограниченности услуг.
Вот итоги по всем трём системам:
1. Все решения, связанные с адресацией удалённого компьютера, сидящего за NAT так или иначе сводятся к общению через "третьих лиц" - сервера, транслирующего пакеты между управляющим и управляемым компьютером. Поэтому все испытанные системы требуют регистрации и идентификации у себя на сайте. Естественно, всё это идёт в режиме он-лайн шифрования через SSL (хотя я бы не стал доверять ActiveX плагинам у SkyFex). Для клиентской (административной) стороны имеются плагины к браузеру (LogMeIn, SkyFex) или симметричное приложение (TeamViewer). Естественно, никаким боком не рассматривалось удалённое подключение к Linux-у (да и не запускаю я его для таких целей), но клиент LogMeIn вполне себе работает из-под FireFox на RHEL.
2. Серверная часть выпускается как в виде инсталляционного пакета (LogMeIn), так и отдельным приложением (TeamViewer) - по большому счёту это не критично. Наиболее изящным было решение, предложенное skyfex.com - с обеих сторон использовался ActiveX плагин к IE.
3. У программы TeamViewer наблюдалась странная тенденция - постоянно возникали TCP соединения с подозрительными внешними адресами - то из России, то из Израиля, а то вообще непонятно откуда. Скорее всего порт TeamViewer-а оказался "лакомым кусочком" для любителей пошарить на чужом компьютере. Собственно из-за этого я его "в кипятке и сварил".
Программа LogMeIn приятно обрадовала наличием ограничения на диапазоны входящих IP адресов. Элементарный мониторинг показал, что никакая собака извне к этому серверу не цеплялась, а значит фильтрация сработала как часы.
4. Все три системы позволяют управлять удалённым десктопом, но SkyFex требует Session ID для доступа, а это возможно только при интерактивном контакте с пользователем. TeamViewer даёт возможность работать как с постоянным номером сессии (опасно, но не требует контакта с пользователем), так и с одноразовой сессией. LogMeIn работает с сервером на удалённом компьютере используя родную аутентикацию Windows - это и удобно, но в какой-то мере и опасно.
5. В некоммерческой версии TeamViewer-а при соединении/рассоединении на обеих сторонах выскакивают противные окошки-предупреждения, так что ни незаметного наблюдения, ни даже доступа к файлам на фоне графических игрулек не получается. LogMeIn при всей своей триальности практически незаметен для удалённого пользователя. Правда по окончании триального срока его приходится вручную продлевать, а это в определённых ситуациях может оказаться неприятным сюрпризом.
6. С точки зрения предоставляемых услуг самым мощным оказался LogMeIn - он отображает кучу системных логов, всяческих диаграмм и графиков в реальном времени, позволяет управлять разнообразными настройками Windows, и самое главное - открывает консоль на удалённом компьютере. Я неоднократно открывал незаметно для пользователя такую консоль и запускал в ней Far - всё работало как будто я сидел за "тем" компьютером.
Таким образом LogMeIn оказался идеальным средством администрирования "своего" то есть домашнего компьютера. Он и всемогущ с точки зрения возможностей, и скрытен, и безопасен. Помимо этого, у него оказались совсем экзотические услуги - блокировка удалённой клавиатуры на время сеанса, "лазерная указка", отображение видео и даже ретрансляция звука.
Для оказания одноразовой "скорой компьютерной помощи" на компьютерах друзей и знакомых более подходят TeamViewer (минимум инсталляции, поддержка индивидуальных сессий) и SkyFex (инсталляция плагина в браузере, только индивидуальные сессии). Тут и однотипные клиент/сервер, и оперативность установки соединения, и минимум потенциальных "дыр" (при грамотном использовании).
