Описание системы безопасности Radmin 3

Система безопасности Radmin

Программы удаленного администрирования предоставляют широкий спектр возможностей как для компаний, так и для домашних пользователей. Однако, всякий раз, открывая доступ к своему компьютеру, пользователь рискует тем, что доступ к нему может получить злоумышленник. Следовательно, решения удаленного доступа должны обеспечивать максимальную безопасность, чтобы доступ к компьютерам могли получить именно те люди, для которых этот доступ предназначен.

Долгое время на компьютерных форумах, посвященных вопросам безопасности, защита Radmin 2.2 называлась “параноидальной”. Такое название она заслужила после того, как в 2004 году компанией “Фаматек” была проведена специальная акция: на компьютер с выходом в интернет был установлен сервер Radmin 2.1, и тот, кому удалось бы взломать защиту и получить доступ к компьютеру мог получить денежный приз. За шесть с лишним месяцев работы сервера взломать его не удалось никому.

Новая версия Radmin 3 предлагает пользователям улучшенную систему безопасности, и включает в себя широкий набор решений для обеспечения максимально безопасного доступа к удаленным компьютерам. Новая система безопасности предоставляет следующие возможности:

Пользователь может выбирать между использованием собственной системы безопасности Radmin или системы безопасности Windows

Система безопасности была существенно улучшена по сравнению с предыдущей версией программы. Собственная система аутентификации Radmin теперь поддерживает имена пользователей с набором прав для них. Новый метод аутентификации использует улучшенный алгоритм Диффи-Хеллмана с 2048-битным ключом. Случайный ключ для каждого соединения и проверка целостности данных позволяют защитить процесс аутентификации от любых попыток несанкционированного доступа, включая одну из самых опасных — использование “злоумышленника-посредника”.

Radmin также поддерживает систему аутентификации Windows, таким образом давая возможность администраторам домена использовать привычные средства задания прав пользователям и группам.

Radmin не сохраняет пароли доступа и не передает их по сети

В отличие от конкурентов, Radmin обеспечивает секретность паролей даже если кто-либо получает физический доступ к локальному или удаленному компьютеру. Серверная часть программы сохраняет не пароль, а его контрольную сумму (hash), которую и использует для аутентификации. При этом даже если кто-либо получает доступ к контрольной сумме пароля на сервере, эту контрольную сумму невозможно использовать для аутентификации не зная текстового пароля.

Клиентская часть программы не позволяет сохранять вводимые пароли, так что даже если кто-либо получит доступ к клиентскому компьютеру у него не будет возможности воспользоваться удаленным доступом не зная пароля, что имеет особое значение для крупных компаний с большим количеством рабочих мест. При подключении клиентской части программы к серверной пароль также не передается ни в какой форме. И наконец, пароль доступа нельзя получить анализируя сетевой трафик программы.

Надежная защита всех передаваемых данных

При использовании как собственной системы аутентификации Radmin так и системы аутентификации Windows, все передаваемые по сети данные (нажатия клавиш, изменения экрана, передаваемые файлы и т. д.) надежно защищены. При этом для каждого соединения используется случайный ключ и все полученные данные проверяются на целостность, что позволяет предотвращать несанкционированное изменение данных. В отличие от конкурентов, Radmin использует защиту данных не как “дополнительную возможность”, а как одно из основных средств обеспечения безопасности. Защиту данных нельзя отключить, она интегрирована в ядро программы. Оптимизированный код программы и продуманные протоколы обмена данными позволяют осуществлять защиту данных почти без потери производительности, используя менее 5% ресурсов процессора.

Защита от попыток подобрать пароль к работающему серверу

Radmin обеспечивает безопасность даже если пользователи используют очень простые пароли доступа. Серверная часть программы автоматически определяет попытки подбора пароля и использует интеллектуальную систему задержек и блокировок для их предотвращения.

IP фильтрация

Для обеспечения максимальной безопасности серверная часть программы может быть настроена таким образом, чтобы разрешать соединения только с указанных IP адресов. Даже если пароль пользователя станет известен злоумышленнику, этот пароль нельзя будет использовать для подключения извне.

Запрос на подтверждение соединения

Серверная часть Radmin может быть настроена таким образом, чтобы запрашивать подтверждение пользователя на подключение к компьютеру. Это позволяет предотвратить случайные подключения к удаленному компьютеру без разрешения пользователя.

Защита настроек сервера

Настройки серверной части Radmin защищены от неавторизованного изменения. Они не могут быть изменены пользователями, не имеющими прав администратора на удаленном компьютере.

Запрет на использование пустых паролей

Подключение к серверу Radmin возможно только при условии использования одной из двух систем аутентификации: Radmin или Windows. При этом запрещено задавать пустой пароль.

Исполняемые файлы программы защищены от модификаций и имеют цифровую подпись

Код исполняемых модулей Radmin содержит надежную защиту от модификаций и проверку на целостность. Если кто-либо попытается встроить в Radmin код для перехвата вводимых паролей, то программа просто не запустится, сообщив о том что ее код был модифицирован. Программа также защищена от изучения (reverse engineering) как в виде исполняемого файла, так и в виде запущенного приложения. Исполняемые файлы программы содержат цифровую подпись компании “Фаматек” для подтверждений их аутентичности.

Протокол соединений

Серверная часть Radmin ведет протокол соединений в виде HTML-файла. Эта информация может быть использована для аудита подключений к удаленному компьютеру и для выявления потенциально опасного поведения, например, попыток подобрать пароль или соединений в нерабочее время. Кроме того, Radmin поддерживает ведение протокола событий Windows.

От каких угроз защищает система безопасности Radmin

Почему так важно защитить удаленные компьютеры от неавторизированного доступа? Очевидная причина – это защита ваших приватных данных, паролей, номеров кредитных карт и другой важной информации, которая может находиться на удаленном компьютере. Но есть и другие причины, которые важно учитывать при выборе программного обеспечения для организации удаленного доступа:

В крупных компаниях пользователи часто используют простые пароли и записывают их в общедоступных местах. Radmin эффективно блокирует попытки подбора пароля, не позволяя сохранять пароль и не допуская настроек серверной части без защиты паролем.

Пользователи могут загрузить из сети или получить по электронной почте небезопасные программы, которые, не являясь вирусами, тем не менее снижают настройки безопасности системы. Radmin не зависит от настроек безопасности системы и защищает от модификации собственные исполняемые файлы.

В локальных сетях, особенно беспроводных, всегда есть опасность перехвата сетевого трафика и попыток получить неавторизированный доступ к внутренним сетевым ресурсам путем его анализа и модификаций. Radmin защищает всю передаваемую по сети информацию и не передает пароли доступа ни в каком виде. Сервер Radmin надежно защищен от попыток неавторизированного доступа путем анализа, замены или модификации сетевого трафика.

Возможность доступа к удаленным компьютерам может быть блокирована из-за DOS атак, нарушения работы или стабильности серверных программ. Серверная часть Radmin эффективно предотвращает DOS атаки и рассчитана на круглосуточную бесперебойную работу в течении долгого времени. Сервер Radmin всегда использует минимальное количество системных ресурсов и обладает высокой стабильностью и надежностью работы.

PDF Версия

Вернуться к списку информационных бюллетеней

Обзор Radmin 3.0 — комплекса для управления удаленным компьютером

Можно привести множество примеров, когда управление удаленным компьютером становится очень полезной, а зачастую даже необходимой функцией. Например, вам звонит знакомый, кто плохо разбирается в технике и просит решить его проблему с системой. Вы можете, надев теплую куртку и сапоги, отправиться, как Чип и Дейл, на выручку или вести долгую, монотонную лекцию с пошаговым описанием всех операций клавиатурой и мышью. При этом, время и силы может сэкономить программа управления удаленным компьютером. Другой пример. В вашей семье каждый ее член имеет свой компьютер. Необходимо загрузить у жены справочник по прическам, а у сына на жестком диске лежит дистрибутив Quake. И что, для этого необходимо бегать по комнатам, отвлекать ненаглядную от сериала, а также нарушать приватность сына, первый раз в жизни пригласившего домой девушку? Нет, совершать подобные бесчинства совсем не обязательно, достаточно удаленно включить компьютеры и переписать оттуда всю информацию. Подобные ситуации могут возникать и в офисах, где требуется контроль над рабочими станциями. Для того, чтобы установить какую-то специализированную программу не нужно бежать через производственные цеха и коридоры бухгалтерий, достаточно подключиться к машине по сети. Аналогичным способом можно следить за сотрудниками, не давая им чрезмерно увлекаться играми, сносить друг другу головы из снайперских винтовок.

Radmin предназначен для удаленного администрирования систем Windows (включая Vista). Архив, загружаемый с официальной страницы проекта, состоит из двух дистрибутивов, устанавливаемых раздельно. Один модуль предназначен для организации сервера, а второй является инструментом подключения к тем машинам, где установлен предыдущий компонент.

Первым этапом разворачивания программного продукта в сети является установка серверной части на машины, к которым планируется удаленное подключение. Во время первого старта модуля открывается диалоговое окно со списком доступных действий, настроек.

Режим запуска приложения может быть автоматическим и ручным. Во втором случае вы можете осуществлять старт приложения через стандартное меню Пуск. Автоматический запуск позволяет подключаться к удаленному компьютеру даже в том случае, если в систему не вошел ни один пользователь.

Настройки сервера выполнены в виде древовидного меню, навигация по которому, переключает наборы опций. Вы можете менять рабочий порт, запрашивать подтверждения на соединения, фильтровать IP-адреса. Последняя функция позволяет ограничить доступ к рабочей станции, разрешив подключения только для тех машин, чьи адреса прописаны в настройках. Помимо IP-адресов, можно сразу вводить их диапазоны. Настройки сервера содержат также опции, позволяющие конфигурировать отдельные сетевые инструменты программного продукта.

Управление правами доступа позволяет обеспечить высокую безопасность удаленных соединений. Radmin использует аутентификацию с запросом и подтверждением. Этот метод имеет аналог в системах Windows с ядром NT, но использует секретный ключ большей длины. Другие подобные функции включают поддержку системы безопасности Windows, протокола NTLM/Kerberos и активных каталогов (Active Directory). Программа проверяет права доступа пользователей, а также таблицы IP-фильтрации.

Права доступа могут настраиваться на основе собственных данных, а также используя системные учетные записи Windows. Во втором случае вы можете управлять как отдельными учетными записями, так и целыми группами.

Собственная система разграничения прав Radmin не позволяет создавать группы. Вы вводите список пользователей и распределяете между ними права. Они включают в себя девять пунктов. Десятый пункт меню позволяет быстро включать и отключать все права сразу.

Значок приложения Radmin Server постоянно находится в системном лотке Windows. Двойной щелчок левой кнопкой мыши по нему открывает служебное окно с указанием используемого порта и списком сетевых соединений. Здесь стоит отметить одну особенность Radmin. С помощью данной программы вы можете подключаться сразу к нескольким удаленным рабочим станциям. Возможна и обратная ситуация – к каждому компьютеру может быть осуществлено несколько удаленных подключений.

Второй компонент программного продукта называется Radmin Viewer. С его помощью происходят подключения к удаленным компьютерам.

Для хранения адресов удаленных компьютером используется адресная книга. Она имеет древовидную структуру. Папки никак не привязываются к физическому расположению рабочих станций или к структуре сети.

Для определения рабочей станции необходимо ввести ее IP-адрес или доменное имя. Допускается подключение через промежуточный сервер Radmin, что является некоторой аналогией прокси.

Программа поддерживает гибкое управление качеством передаваемой картинки с удаленной машины в целях обеспечения оптимальной скорости соединения. Глубина цвета может варьироваться от 1 до 24 бит. В первом случае изображение содержит 2 цвета, во втором – 16.7 миллионов оттенков. Вы можете также указывать вид экрана удаленного компьютера. Он может отображаться на весь рабочий стол, а также внутри отдельного окна. Допускается передача картинки в реальном масштабе, а также ее уменьшение или увеличение. И, наконец, можно указывать максимальное количество обновлений экрана в секунду. По умолчанию, данный параметр имеет значение 100.

При наведении указателя мыши на экран удаленного компьютера, указатель мыши может менять форму в соответствии с настройками машины, к которой произведено подключение. Допускается также сохранение формы и размера курсора, а также отображение двух указателей мыши на экране одновременно.

В настройках соединения можно также ввести личные данные для текстового и голосового чата. Вы вводите имя пользователя и его описание. Кроме того, для общения голосом указывается максимальная пропускная способность канала, дабы обеспечить наиболее качественное звучание.

Подключение к удаленной рабочей станции производится с помощью двойного щелчка мышью по соответствующему значку в адресной книге Radmin Viewer. Сразу же запрашивается имя и пароль. Данные вашей учетной записи должны быть введены на сервере удаленной машины, иначе соединение будет невозможно. В зависимости от указанных внутри учетной записи прав, вы сможете осуществлять определенные действия с удаленным компьютером.

Выбор режима взаимодействия производится с помощью кнопок панели инструментов Radmin Viewer. По умолчанию используется режим управления мышью и клавиатурой удаленного компьютера.

Все операции осуществляются без каких-либо видимых задержек. При переключении в реальный масштаб и полноэкранный режим, можно ненароком даже забыть о том, что идет работа через сеть, настолько явно чувствуется, что вы просто работаете за локальной машиной. Задержек в нажатии клавиш нет. Вы можете свободно набирать текст на удаленной машине. Программа тестировалась внутри стандартной 100Мбит/с сети.

При переключении в полноэкранный режим на рабочем столе остается небольшая плавающая панель с основными режимами работы Radmin Viewer. С ее помощью можно всегда вернуться в оконный режим или вовсе разорвать текущее соединение.

Режим наблюдения за удаленной рабочей станцией внешне практически не отличается от предыдущего способа соединения. Вы точно также видите рабочий стол компьютера, однако не можете совершить на компьютере никаких действий, только наблюдение.

Вы можете подключаться к удаленной машине, используя командную строку. Данный тип соединения называется telnet. Подобный режим допустим на медленных каналах, например, при использовании коммутируемого соединения. Между компьютерами передается только текстовая информация, а она не порождает много трафика.

В виде отдельного режима реализован обмен файлами между рабочими станциями. Для этого используется особый файловый менеджер, имеющий, впрочем, традиционную структуру, состоящую из двух панелей.

Каждая панель может быть представлена в виде значков, списка и таблицы. Миниатюры документов не создаются. Это логично, ведь в подобном случае пришлось бы передавать большие объемы информации по сети, что не рационально. Управление с клавиатуры напоминает старый добрый Norton Commander. Например, F5 отвечает за копирование файлов и папок. Поддерживается механизм drag & drop.

Вы можете соединяться с удаленным компьютером с целью беседы с его пользователем. Допускается текстовый и голосовой чат. Программа допускает несколько удаленных соединений, поэтому если к удаленной машине подключено несколько пользователей, то все они будут присутствовать в списке пользователей чата.

По умолчанию, вы имеете имя User. Оно меняется в настройках Radmin Viewer. Впрочем, имя всегда можно поменять уже во время беседы.

Во время начала разговора создается канал General. Новые пользователи, подключающиеся к одному и тому же серверу, автоматически попадают на данный канал. Вы можете создавать дополнительные каналы и отправлять другим пользователям приглашения. На каждом канале есть операторы, которые имеют право запрещать доступ к чату или выгонять нерадивых собеседников. Можно отправлять приватные сообщения каждому конкретному пользователю.

Имеется два состояния каждого пользователя. Одно из них означает присутствие у компьютера, а другое – отсутствие. Если вы отошли от машины на какое-то время, то программа может автоматически изменить статус.

Помимо текстового чата, вы можете общаться с другими пользователями голосом, с помощью гарнитуры, включающей в себя наушники и микрофон.

Программа работает по принципу рации. Пока вы говорите, не слышно речи собеседника. Как только вы закончили фразу, то переключаетесь снова в режим прослушивания. Голосовой чат не отрицает и отправки текстовых сообщений. Вы можете комбинировать голосовое и текстовое общение. Все сказано вами и вашими собеседниками, позволяется записывать в файл.

Еще один, очень примитивный режим взаимодействия с удаленной машиной заключается в отправке на нее текстовых сообщений. Это не чат, так как диалоговое окно с текстом не интерактивно, оно не имеет средств организации беседы и даже простой кнопки ответа.

И, наконец, последняя возможность Radmin Viewer заключается в выключении удаленных рабочих станций. Подобным образом, например, лаборант в институте может оканчивать пару, а системный администратор завершать свой рабочий день.

Radmin обладает очень высокой скоростью работы, что позволяет комфортно работать на удаленных машинах, забывая о том, что картинка передается через сеть. Возможность создания нескольких соединений позволяет организовывать многопользовательские беседы текстовым и голосовым способом. Мощная система авторизации пользователей обеспечивает высокую безопасность системы.