萬盛學電腦網

 萬盛學電腦網 >> 健康知識 >> 給Win2000一個安全遠程管理

給Win2000一個安全遠程管理

  服務器的遠程管理,對系統管理人員來說是十分重要的。但遠程管理在帶來便利性的同時,也帶來了不安全隱患。最明顯的安全隱患就是,當管理員在和服務器進行通信的時候,存在被人用一些嗅探類的軟件(如Sniffer)進行旁路截聽的威脅。另外,要實現遠程管理,服務器就需要安裝遠程管理軟件並打開一些端口,這就可能為服務器帶來新的攻擊點。      好的遠程管理系統要具備四點       一個優秀的遠程管理方案的目標是,在不增加服務器威脅的同時,為管理員提供使用的方便。通常,遠程管理服務系統要關注的安全性問題有:存取控制(Access Control)、數據真實可靠性(Integrity)、機密性(Confidentiality)、審計(Auditing)。    存取控制    存取控制就是保證僅僅只有管理員才能夠做服務器的遠程管理。這也就意味著遠程管理軟件只接受一個小范圍IP地址的連接,並需要用戶名和口令的控制。存取控制可以通過硬件卡和證書等第三方認證系統來增強,也可以用一些簡單、現成的技術來增強,如使用非標准端口來提供服務或者不顯示服務旗標的一些安全配置手段。    數據真實可靠性    數據的真實可靠性是要確保服務器收到的數據真的是管理員剛發出的,還要確保發出的數據包真實可信,不會在以後的某個時間裡被重發。    機密性    這可能是遠程管理最關心的事情,5自學網,尤其是需要敏感數據在公網中傳輸的遠程管理系統。機密性確保這些數據包不被中途截取、被其他人看到,這可以通過使用足夠長的秘鑰加密機制來實現機密性的要求。    審計    審計是對所有進出服務器的行為作日志記錄,留作日後的分析,這對還原犯罪現場是十分重要的,對任何一個遠程訪問解決方案來說,這都是最基本的功能,要求對每個與服務器的連接都要記錄詳細的信息。此外,這些日志記錄應該能夠實現從服務器自動轉移到安全的地方,從而確保日志數據的安全性。      用Zebedee實現Win2000的安全遠程管理      盡管有很多遠程管理Windows 2000服務器的辦法,但並不是所有的產品都可提供安全的方案,能夠解決上面我們列出的所有需求,但這也並不意味著我們不能使用它們。通過不同產品或技術之間的相互結合,我們可以實現十分安全的遠程管理解決方案。    以Windows 2000服務器為例,終端服務(Terminal Services)是Windows 2000自帶的服務,同時還提供一個遠程客戶端管理軟件,來實現對服務器遠程管理。終端服務應該是Windows 2000服務器進行遠程管理使用最多的辦法,這和它的使用便利性,以及其屬於Windows內置的服務,同時帶來的其他好處有關,比如可以使用Windows 2000服務器自帶的認證系統。    但是,終端服務有很多自身難以克服的缺陷:例如沒有進行基於IP地址的訪問控制機制,沒有公開如何改變服務端口的辦法,沒有日志審計的功能。對照上面提到的遠程管理的安全需要,顯然僅僅是終端服務是不能提供好的遠程管理需要的。通過與Zebedee軟件結合,終端服務就可以實現上面的遠程管理安全需要。    Zebedee的工作機制如下:Zebedee監聽本地指定的應用,將要傳輸的TCP或UDP數據進行加密、壓縮;Zebedee客戶端與服務器端之間建立了一個通信隧道;壓縮、加密的數據就在這個通道上進行傳輸;可以令多個TCP或UDP的連接建立在同一個TCP連接之上。     在Zebedee上的終端服務    從圖中可以看到,終端服務的客戶端進程開啟後(目標TCP端口:3389),本地Zebedee客戶端截取數據包;Zebedee將數據加密、壓縮後發給Zebedee服務器(這裡Zebedee服務缺省端口11965);Zebedee服務器接到後再解包、解密傳遞給服務器的服務(服務端口:TCP:3389)。在這裡,服務器上的終端服務好像是與本地的終端服務客戶端進行的連接,但實際上所有傳遞的數據包都經過了一個加密的隧道。此外,Zebedee還可以通過配置文件來實現身份認證、加密、IP地址過濾以及日志的功能。一個配置良好的Zebedee和Windows2000的終端服務相互結合,可以構建一個十分安全的遠程管理系統。    一般終端服務不提供文件傳輸的功能,所以需要考慮其他的辦法,比如使用FTP服務器。但是FTP服務器通常被認為是不安全的,它也可以通過Zebedee增強其安全性,方法是直接在終端服務上傳輸數據,這裡推薦兩個第三方的解決方案,一個是Analogx的TSDropCopy (),另一個是WTS-FTP()。    終端服務是遠程管理Windows2000服務器最便捷的工具,但其本身在安全性上的考慮遠遠不足。通過Zebedee與終端服務的結合,可以說實現了一個便捷、安全的解決方案。    以上只是Windows2000實現遠程安全管理的諸多解決方案中的一種。我們只想借此來幫助大家了解遠程管理安全方面值得考慮的因素和解決的方法思路。如果你現在在使用一個遠程管理工具,5自學網,你可以檢查一下你的軟件是否滿足了上面所說的遠程管理的安全性需要。如果沒有,你就需要考慮去找些其他軟件去增強他的安全性。使用加密隧道及對防火牆進行合理配置是實現一個安全的遠程管理解決方案的關鍵。      認識Zebedee      Zebedee是一個公開源代碼的自由軟件,它通過建立一個加密的通信隧道,允許TCP或UDP數據包在隧道內傳送。另外,Zebedee還提供身份認證、IP地址過濾以及日志審計的功能,可以很好地彌補終端服務的不足,組成一個十分安全的遠程管理解決方案。Zebedee軟件可以從下載。
copyright © 萬盛學電腦網 all rights reserved