Metody realizacji połączeń zdalnych, VPN, integracja odległych sieci lokalnych.
Poniższy artykuł (jak każdy na tej stronie) przygotowałem dla tych, którzy nie są informatykami, ale lubią świadomie podejmować decyzje.
Tym razem, pomagam wybrać rozwiązanie, zapewniające pracownikom bezpieczny dostęp zdalny poprzez Internet do:
1) serwera bazodanowego programu handlowego czy księgowego;
2) konkretnej aplikacji zainstalowanej na firmowym komputerze, poprzez pulpit zdalny;
3) plików, zgromadzonych na lokalnym serwerze;
4) całej, firmowej sieci lokalnej (dla informatyka na przykład).
Do powyższego może dojść potrzeba połączenia w jedną sieć lokalną, oddziałów firmy.
Dla uproszczenia rozważań, zakładam, że stanowiska pracują pod kontrolą systemów Microsoft Windows.
Ale, po co się nad tym zastanawiać, skoro można zrealizować większość z powyższych potrzeb za darmo albo prosto i niewielkim kosztem?
Otóż w tym wypadku, rozwiązania nazywane „darmowymi”, są niezgodne z zasadami licencji ich twórców, czyli innymi słowy pirackie.
Najprostsze zaś, nie zawsze będą wystarczające, a już na pewno nie będą bezpieczne. Postaram się przedstawić plusy i minusy (z punktu widzenia użytkownika), każdego z najpopularniejszych rozwiązań do realizacji powyższych celów.
Pierwszą metodą, taką „na szybko”, jest Użycie dedykowanego do tego celu, komercyjnego oprogramowania np. TeamViewer czy AnyDesk, które jest instalowane (bądź jedynie uruchamiane na żądanie) na komputerze / serwerze przyjmującym połączenie, jak i komputerze je nawiązującym.
Zalety:
- prostota wdrożenia dla użytkownika;
- połączenia są szyfrowane i wymagają autoryzacji;
- brak konieczności posiadania RDP (ang. Remote Desktop Protocol) – protokołu do obsługi pulpitu zdalnego, który jest wbudowany w systemy operacyjne MS Windows Pro oraz serwerowe, a wymagany do przyjęcia połączenia;
- możliwość korzystania z aplikacji zainstalowanych na zdalnym komputerze / serwerze (normalna praca na pulpicie).
Wady:
- stosunkowo wysokie ceny licencji komercyjnych, w połączeniu z tym, że jest to usługa abonamentowa;
- zestawianie połączeń realizowane jest przez zewnętrzne serwery pośredniczące, które już nie raz stawały się celem ataku hakerskiego i miewają awarie;
- blokowanie ewentualnej pracy użytkownika na tym komputerze (przejęty pulpit), jeżeli celem połączenia było uzyskać dostęp tylko do plików czy baz danych np. systemu handlowego, księgowego itp.
- pośredni (przez komputer / serwer do którego się zalogowaliśmy na pulpit zdalny) dostęp do sieci w firmie, np. panelu drukarki sieciowej;
- oprogramowanie tego typu, bywa wykorzystywane przez cyberprzestępców do ataków.
Wada lub zaleta, zależnie od punktu widzenia i polityki bezpieczeństwa przyjętej w firmie: widać lokalnie to co ktoś podłączony zdalnie robi na pulpicie. Dobre przy doraźnej pomocy technicznej, gdy nie ufa się informatykowi. Z drugiej jednak strony, jak się okazuje, jest to często metoda wyłudzeń socjotechniką (tzw. phishingowa), wykorzystywana przez cyberprzestępców podszywających się, np. pod pracownika banku, który rzekomo zdalnie usunie usterkę, a przy okazji, wyczyści nam konto...
Druga metoda to „wystawienie” serwera do Internetu poprzez tzw. przekierowanie (najlepiej tylko tych koniecznych) portów na routerze celem dostępu do pulpitu zdalnego RDP serwera czy stanowiska PC.
Zalety:
- proste wdrożenie po stronie użytkownika, serwera i zazwyczaj także i w mairę prose po stronie routera;
- możliwość korzystania z aplikacji zainstalowanych na zdalnym komputerze / serwerze (normalna praca na pulpicie w systemach MS Windows Pro lub po doinstalowaniu dodatkowego oprogramowania, tudzież na pulpitach systemów serwerowych).
- możliwość bezpośredniego udostępnienia plików z serwera, bez konieczności logowania się na zdalny pulpit.
Wady:
- duża podatność na ataki bezpośrednio z Internetu;
- słabe zabezpieczenia wbudowanego protokołu RDP w przypadku systemów MS Windows;
- przekierowujemy port tylko na jedno urządzenie np. serwer lub jedno stanowisko PC;
- w przypadku systemów operacyjnych, tzw. stanowiskowych, zalogowanie się na pulpit zdalny czy to wbudowanej usługi (np. systemy MS Windows Pro) czy doinstalowanej (np. systemy MS Windows Home) blokujemy lokalną pracę na tym stanowisku. Problem ten nie dotyczy systemów serwerowych Microsoftu, gdzie możliwy jest jednoczesna praca na wielu pulpitach (co jednak wymaga stosownych licencji dostępowych CAL i zdalnych RDS).
Wada lub zaleta, zależnie od punktu widzenia: podgląd na pulpicie, tego co robi osoba połączona zdalnie, nie jest możliwy przy korzystaniu z usługi pulpitu zdalnego, wbudowanego w system MS Windows Pro / serwer.
Trzecia metoda, tylko dla dostępu do zasobów lokalnego, sieciowego serwera plików tzw. NAS (Network Attached Storage), oferowana przez niektórych producentów takich serwerów, np. firmę Synology czy QNAP, która opiera się o dedykowaną usługę „chmurową”, dającą dostęp do serwera przez przeglądarkę internetową i łatwy do zapamiętania adres WWW.
Zalety:
- proste wdrożenie na serwerze i proste użytkowanie;
- połączenia są szyfrowane i wymagają autoryzacji;
Wady:
- wymaga serwera, którego producent zintegrował w systemie takie rozwiązanie;
- bezpośredni dostęp jedynie do serwera plików (nie do sieci czy komputera PC);
- podatność na ataki bezpośrednio z Internetu (nawet jeżeli nieskuteczne, mogą blokować lub spowalniać działanie);
Czwarta metoda, to wdrożenie własnego serwera VPN (ang. Virtual Private Network), przyjmującego połączenie przez sieć Internet z oddalonego komputera i tworzącego szyfrowany tunel dla transferu danych między nimi.
Po nawiązaniu połączenia z takim serwerem VPN, efekt może być taki, jak byśmy się wpięli do sieci lokalnej, będąc na miejscu. W ten sposób możemy również zintegrować sieci lokalne z dwóch lub większej ilości lokalizacji.
Serwer VPN to tak naprawdę tzw. „usługa” w systemie operacyjnym, czyli program, który może zostać skonfigurowany na systemach np. Microsoft Windows Server, na systemach Linux, czy systemie stanowiskowym, jak Microsoft Windows Pro lub nawet Home - choć w przypadku tych dwóch ostatnich, mowa tylko o niektórych implementacjach.
Z racji tego, że wiele firmware (systemów operacyjnych urządzeń) takich jak NAS, router czy UTP, bazuje na uproszczonych systemach Linux, twórcy tych systemów czy firmware, dodają do nich funkcjonalność serwerów VPN.
Usługa serwera VPN oparta może być na różnych protokołach, od których zależy:
- poziom bezpieczeństwa, od ryzykownego, podatnego na ataki i oferującego słabe szyfrowanie (PPTP) po najwyższy z możliwych zabezpieczeń opartych o indywidualne certyfikaty, loginy i hasła dla każdego użytkownika;
- poziom skomplikowania wdrożenia zarówno po stronie serwera jak i po stronie użytkownika, zależy od wybranego protokołu i sposobu jego implementacji – może być skomplikowany i wymagający dedykowanego sprzętu i/lub oprogramowania;
- szybkość transmisji będzie zawsze niższa niż poza tunelem VPN, zaś o ile, zależy od mocy obliczeniowej serwera VPN oraz wybranego protokołu;
Generalnie jednak własny serwer VPN daje niezaprzeczalną elastyczność, niezależność i niezawodność.
Piąta metoda, to przeniesienie serwera bazodanowego czy plików do zewnętrznej serwerowni i łączenie się nawet z siedziby firmy przez pulpity zdalne, poprzez Internet.
Zalety:
- proste wdrożenie po stronie użytkownika;
- połączenia są szyfrowane i wymagają autoryzacji;
- nie wymaga odpowiedniego sprzętu po stronie użytkownika;
- brak konieczności posiadania RDP (ang. Remote Desktop Protocol) – protokołu do obsługi pulpitu zdalnego, który jest wbudowany w systemy operacyjne MS Windows Pro oraz serwerowe, a wymagany do przyjęcia połączenia;
- możliwość korzystania z aplikacji zainstalowanych na zdalnym serwerze (normalna praca na pulpicie).
Wady - w przypadku serwera bazodanowego:
- skomplikowana infrastruktura po stronie serwerowni wpływa na koszty wdrożenia i abonamentu dla klienta (warto więc przeliczyć w dłuższej perspektywie, względem zainwestowania w inne, ale własne rozwiązanie, przy okazji hybrydowe, czyli zdalne tylko dla pracowników zdalnych);
- nie każdy chce przenosić dane, gdzieś na zewnętrzne, czyjeś serwery;
- czasami istnieje potrzeba integracji bazy danych na serwerze z oprogramowaniem wspierającym sprzedaż, wtyczkami magazynowymi (czytniki itp.) czy drukarkami fiskalnymi, które prze Internet albo nie będą działać albo będą działać wolniej;
- zarządzanie aplikacją z serwerem bazodanowym i to jeszcze z dodatkowymi integracjami, może stać się bardziej uciążliwe i będzie wymagało zlecenia wszystkiego firmie obsługującej taką serwerownię;
- awaria Internetu może wstrzymać sprzedaż np. w sklepie stacjonarnym czy hurtowni;
Wady - w przypadku chmury dla plików (typu Dysk Google, czy One Drive Microsoftu):
- nie każdy chce przenosić dane, gdzieś na zewnętrzne serwery;
- nie zawsze wielkość plików na to pozwala, by wszyscy użytkownicy na bieżąco ściągali i wysyłali je przez Internet, nawet jeśli mamy szybkie łącze internetowe;
- awaria Internetu może wstrzymać pracę całkowicie;
- koszty mogą być duże, o ile potrzebujemy więcej jak 1TB miejsca na dane.
Zainteresowanych doborem i implementacją optymalnego rozwiązania dla Państwa potrzeb, zapraszam do kontaktu.