Metody realizacji połączeń zdalnych, VPN, integracja odległych sieci lokalnych, praca zdalna.

W tym artykule, pomagam zapoznać się z rozwiązaniami, zapewniającymi pracownikom, szefostwu, księgowości czy też informatykowi, bezpieczny dostęp zdalny poprzez Internet do:
1) serwera bazodanowego programu handlowego czy księgowego;
2) konkretnej aplikacji zainstalowanej na firmowym komputerze, poprzez pulpit zdalny;
3) plików, zgromadzonych na lokalnym serwerze;
4) całej, firmowej sieci lokalnej (dostęp na przykład dla informatyka).
Do powyższego może dojść potrzeba połączenia w jedną sieć lokalną oddziałów firmy.
W większości przypadków, będę się odnosił do systemów Microsoftu dla stanowisk roboczych.

Ale, po co się nad tym zastanawiać, skoro można zrealizować to wszystko prosto, darmowo i bez specjalnej wiedzy informatycznej, czyli z pomocą aplikacji np. TeamViewer'a, albo z odrobiną wiedzy lub zlecając usługę za 50 czy 100 zł, czyli: przekierowaniem portów na routerze.
Otóż, te "darmowe", w przypadku zastosowań komercyjnych, są niezgodne z licencją takich aplikacji, a do tego obarczone cyklicznym rozłączaniem, bądź limitami czasowymi na dobę. Przekierowanie portów zaś, nie zawsze będzie wystarczające, a już na pewno nie będą bezpieczne.
Postaram się poniżej przedstawić plusy i minusy, każdego z najpopularniejszych rozwiązań do realizacji powyższych celów.

Pierwszą metodą, taką „na szybko”, jest użycie dedykowanego do tego celu, komercyjnego oprogramowania np. TeamViewer czy AnyDesk, które jest instalowane (bądź jedynie uruchamiane na żądanie) na komputerze / serwerze przyjmującym połączenie, jak i komputerze je nawiązującym.

Zalety:
- prostota użycia, bo tutaj nie ma co wdrażać;
- połączenia są szyfrowane i wymagają autoryzacji;
- brak konieczności posiadania RDP (ang. Remote Desktop Protocol) – protokołu do obsługi pulpitu zdalnego, który jest wbudowany w systemy operacyjne MS Windows Pro oraz serwerowe, a wymagany do przyjęcia połączenia;
- możliwość korzystania z aplikacji zainstalowanych na zdalnym komputerze / serwerze (normalna praca na pulpicie).

Wady:
- płatne licencje komercyjne w formie abonamentu;
- zestawianie połączeń realizowane jest przez zewnętrzne serwery pośredniczące, które już nie raz stawały się celem ataku hakerskiego i miewają awarie;
- blokowanie ewentualnej pracy użytkownika na komputerze z przejętym pulpitem, o ile celem połączenia był dostęp pośredni do innego zasobu;
- pośredni (przez komputer / serwer do którego się zalogowaliśmy na pulpit zdalny) dostęp do sieci w firmie;

Wada lub zaleta - zależnie od punktu widzenia i polityki bezpieczeństwa przyjętej w firmie: widać lokalnie to co użytkownik podłączony zdalnie robi. Dobre przy doraźnej pomocy technicznej, gorzej, jeśli to pracownik nie powinien widzieć tego co robi informatyk lub szef czy inny pracownik.
Na marginesie, jest to często metoda wyłudzeń socjotechniką (tzw. phishingowa), wykorzystywana przez cyberprzestępców podszywających się, np. pod pracownika banku, który rzekomo zdalnie usunie usterkę, a przy okazji, wyczyści konto, robiąc testowy przelew...

Druga stosunkowo prosta i szybka metoda, to „wystawienie” zasobu do Internetu poprzez przekierowanie portów na routerze, celem bezpośredniego dostępu do pulpitu zdalnego RDP serwera czy stanowiska PC.

Zalety:
- proste wdrożenie i użytkowanie;
- możliwość korzystania z aplikacji zainstalowanych na zdalnym komputerze / serwerze (normalna praca na pulpicie w systemach MS Windows Pro lub po doinstalowaniu dodatkowego oprogramowania, tudzież na pulpitach systemów serwerowych).
- możliwość bezpośredniego udostępnienia plików z serwera, bez konieczności logowania się na zdalny pulpit.

Wady:
- duża podatność na ataki bezpośrednio z Internetu;
- słabe zabezpieczenia wbudowanego protokołu RDP w przypadku systemów MS Windows;
- przekierowujemy port tylko na jedno urządzenie np. serwer czy stanowisko PC;
- blokowanie ewentualnej pracy użytkownika na tym komputerze (przejęty pulpit), no chyba, że to serwer z obsługą wielu pulpitów (wymaga odpowiedniego systemu i stosownych licencji dostępowych CAL i zdalnych RDS w przypadku serwerów Microsoftu) lub tylko jedna osoba w danym czasie ma mieć dostęp.
- pośredni (przez komputer / serwer do którego się zalogowaliśmy na pulpit zdalny) dostęp do sieci w firmie;

Wada lub zaleta, zależnie od punktu widzenia: podgląd na pulpicie, tego co robi osoba połączona zdalnie, nie jest możliwy przy korzystaniu z usługi pulpitu zdalnego, wbudowanego w system MS Windows Pro / MS Windows Server, no chyba, że doinstalujemy dodatkowe, inne oprogramowanie.

Trzecia metoda, mniej typowa, bo służąca tylko jak dostęp do zasobów lokalnego, sieciowego serwera plików tzw. NAS (Network Attached Storage), oferowana przez producentów takich serwerów, np. firmę Synology czy QNAP, która opiera się o dedykowaną usługę „chmurową”, dającą dostęp do serwera przez przeglądarkę internetową i indywidualny adres WWW.

Zalety:
- proste wdrożenie i użytkowanie;
- połączenia są szyfrowane i wymagają autoryzacji.

Wady:
- wymaga serwera, którego producent zintegrował w systemie takie rozwiązanie;
- bezpośredni dostęp jedynie do serwera plików (nie do sieci czy komputera PC);
- podatność na ataki bezpośrednio z Internetu (nawet jeżeli nieskuteczne, mogą blokować lub spowalniać działanie całej sieci - nie tylko dostępu zdalnego);

Czwarta metoda, to wdrożenie własnego serwera VPN (ang. Virtual Private Network), przyjmującego połączenie przez sieć Internet z oddalonego komputera i tworzącego szyfrowany tunel dla transferu danych między nimi.
Po nawiązaniu połączenia z takim serwerem VPN, efekt może być taki, jak byśmy się wpięli do sieci lokalnej, będąc na miejscu. W ten sposób możemy również zintegrować sieci lokalne z różnych lokalizacji.

Serwer VPN to tak naprawdę tzw. „usługa” w systemie operacyjnym, czyli program, który może zostać skonfigurowany na systemach np. Microsoft Windows Server, na systemach Linux, czy systemie stanowiskowym, jak Microsoft Windows Pro lub nawet Home - choć w przypadku tych dwóch ostatnich, mowa tylko o niektórych implementacjach.
Z racji tego, że wiele firmware (systemów operacyjnych urządzeń) takich jak router czy UTM (ang. Unified Threat Management), bazuje na uproszczonych systemach Linux, twórcy tych systemów czy firmware, dodają do nich funkcjonalność serwerów VPN. Dostępna jest ona również w systemach niektórych serwerów NAS.

Usługa serwera VPN oparta może być na różnych protokołach i sposobach ich implementacji, od których zależy:
- poziom bezpieczeństwa, od ryzykownego, podatnego na ataki i oferującego słabe szyfrowanie (np. protokół PPTP) po najwyższy z możliwych zabezpieczeń opartych o indywidualne certyfikaty, loginy i hasła dla każdego użytkownika (np. protokół Open VPN);
- poziom skomplikowania wdrożenia zarówno po stronie serwera jak i po stronie użytkownika, zależy od wybranego protokołu i jego implementacji – może wymagać dedykowanego sprzętu i/lub oprogramowania;
- szybkość transmisji będzie zawsze niższa niż poza tunelem VPN, zaś o ile, zależy od mocy obliczeniowej serwera VPN oraz wybranego protokołu;

Generalnie jednak własny serwer VPN daje niezaprzeczalną elastyczność czy niezależność i może dać najwyższy poziom bezpieczeństwa i niezawodności ze wszystkich metod tutaj omawianych.

Piąta metoda, to przeniesienie serwera bazodanowego czy serwera plików, do zewnętrznej serwerowni czyli modnie zwanej "chmury" i łączenie się nawet z siedziby firmy przez pulpity zdalne, poprzez Internet.

Zalety:
- zazwyczaj proste wdrożenie po stronie użytkownika;
- zazwyczaj nie wymaga odpowiedniego sprzętu i oprogramowania - choć to zależy od sposobu wdrożenia;
- połączenia są szyfrowane i wymagają autoryzacji;
- możliwość korzystania z aplikacji zainstalowanych na zdalnym serwerze, jednocześnie na wielu niezależnych pulpitach dla każdego użytkownika (co wymaga stosownych licencji dostępowych CAL i zdalnych RDS w przypadku serwerów Microsoftu, czego koszty rozkładane są w abonamencie);
- wprawdzie to nie jest temat naszych rozważań, ale można dopisać, że odpada nam zakup serwera, dodatków jak UPS oraz koszty monitorowania i administrowania, o ile nie chcemy używać "po polsku", o czym pisałem w tym artykule.

Wady - w przypadku serwera bazodanowego:
- skomplikowana infrastruktura po stronie serwerowni wpływa na koszty wdrożenia i abonamentu dla klienta (warto więc przeliczyć w dłuższej perspektywie, względem zainwestowania we własne rozwiązanie, przy okazji hybrydowe, czyli zdalne tylko dla pracowników zdalnych);
- nie każdy chce przenosić dane, gdzieś na zewnętrzne, czyjeś serwery;
- czasami istnieje potrzeba integracji bazy danych na serwerze z oprogramowaniem wspierającym sprzedaż e-commerce (np. Sellintegro), wtyczkami magazynowymi (czytniki kodów itp.) czy drukarkami fiskalnymi, które prze Internet albo nie będą działać albo będą działać wolniej lub miewać "przycięcia";
- zarządzanie serwerem i aplikacjami i to jeszcze z dodatkowymi integracjami, może stać się bardziej uciążliwe, a wynajem najczęściej nie obejmuje kosztów administrowania;
- awaria Internetu po jednej lub drugiej stronie, wstrzyma sprzedaż również w sklepie stacjonarnym czy hurtowni;
- tak jak w przypadku własnego, lokalnego serwera, warto zadbać o kopie zapasowe, ponieważ te oferowane w ramach dzierżawy mogą być nieoptymalne; - im więcej pracowników i działań wykonywanych na bazie danych, rośnie potrzeba na przepustowość łącza i to w obie strony (łącze symetryczne) - radiowe może nie dać rady lub zależeć od pogody i obciążenia przez innych użytkowników; - to nie jest metoda, jeśli potrzebujemy dostępu zdalnego np. do stacji roboczej do renderingu 3D, która z racji parametrów jest komputerem stacjonarnym i znajduje się w siedzibie firmy.

Wady - w przypadku chmury dla plików (typu Dysk Google, czy One Drive Microsoftu):
- nie każdy chce przenosić dane, gdzieś na zewnętrzne serwery;
- nie zawsze wielkość plików na to pozwala, by wszyscy użytkownicy na bieżąco ściągali i wysyłali je przez Internet, nawet jeśli mamy szybkie łącze, które jest symetryczne;
- awaria Internetu lub usługi, może wstrzymać pracę;

Zainteresowanych doborem i implementacją optymalnego rozwiązania pod Państwa potrzeby, zapraszam do kontaktu.