SERVISI ZA ODDALJEN DOSTOP DO RAČUNALNIKOV

Transcription

1 Fakulteta za elektrotehniko, računalništvo in informatiko Tadej Šetinc SERVISI ZA ODDALJEN DOSTOP DO RAČUNALNIKOV Diplomsko delo Maribor, Avgust 2015

2 SERVISI ZA ODDALJEN DOSTOP DO RAČUNALNIKOV Diplomsko delo Študent: Študijski program: Mentor: Tadej Šetinc Računalništvo in informacijske tehnologije (VS) doc. dr. Danilo Korže, univ.dipl.inž.rač. in inf.

3 i

4 Zahvala Zahvaljujem se mentorju, doc. dr. Danilu Koržetu za strokovno pomoč in vodenje pri pisanju in izdelavi diplomskega dela. Zahvaljujem se tudi moji družini, ki mi je omogočila študij, ter vsem ostalim, ki so mi pomagali in me podpirali skozi celoten študij. ii

5 Servisi za oddaljen dostop do računalnikov Ključne besede: oddaljen dostop, storitve, varnost, vpn UDK: (043.2) Povzetek V diplomski nalogi so predstavljeni servisi za oddaljen dostop do računalnika. Oddaljen dostop je postal pomembna storitev za domačo in poslovno uporabo, ki jo uporabljajo skoraj vsi uporabniki računalnikov. Servisi, ki omogočajo oddaljen, dostop so nam v veliko pomoč in nam prihranijo veliko časa. V prvem delu diplomske naloge je opis, zgodovina, uporabnost in varnost oddaljenega dostopa. V naslednjih poglavjih pa se osredotočimo na sistemske zahteve, varnost in nastavitve izbranih servisov za oddaljen dostop do računalnika. V zaključku naloge so predstavljeni rezultati praktičnega preizkusa izbranih servisov, njihova analiza in medsebojne primerjave. iii

6 Remote desktop services Key words: remote access, services, security, vpn UDK: (043.2) Abstract This thesis presents services for remote access to computers. Remote access has become an important service for home and business use and is used by almost all computer users. Services that allow remote access are of great help, and save us a lot of time. Within the first part of the thesis the description, history, usability and security of a remote access is introduced. In the following chapters, we focus on system requirements and security settings of selected services for remote access to computers. In conclusion, the test results of a practical test of the selected services are described, as well as analysis and peer comparisons are performed. iv

7 KAZALO 1. UVOD Oddaljen dostop Opis Raziskava o oddaljenem dostopu VPN SSH Telnet Dial-up modem Lokalna oddaljena delitev zaslona Webbased Terminal Services Spletna seja delitve zaslona Prednosti oddaljenega dostopa Pasti oddaljenega dostopa Uporaba oddaljenega dostopa Domača uporaba Videokonference Tehnična podpora Zgodovina oddaljenega dostopa Oddaljen dostop prej in sedaj Iskanje učinkovitega oddaljenega dostopa Oddaljeni dostop danes Varnost oddaljenega dostopa Nevarnosti in grožnje Vrste napadalcev RAT - Remote Administration Tool Varnostne nastavitve oddaljenega dostopa Servisi za oddaljen dostop TeamViewer Opis Uporaba v

8 5.1.3 Varnost Windows Remote Desktop Connection Opis Varnost RealVNC Opis Varnost LogMeIn Opis Varnost Strežnik VPN Vzpostavitev strežnika VPN Povezovanje na strežnik VPN Povezovanje iz operacijskega sistema Windows Povezovanje iz operacijskega sistema Android Primerjava servisov za oddaljen dostop Primerjava uporabnosti in zahtevnosti Primerjava varnosti Podpora operacijskih sistemov Zaključek vi

9 KAZALO SLIK Slika 2.1: Oddaljeni dostop... 3 Slika 4.2: RAT Slika 4.3: DarkComet Slika 5.4: Začetno okno programa TeamViewer Slika 5.5: Delovanje programa TeamViewer Slika 5.6: Okno za vzpostavitev oddaljenega dostopa Slika 5.7: Delovanje RealVNC v LAN omrežju Slika 5.8: Arhitektura delovanja programa LogMeIn Slika 6.9: Dohodne povezave Slika 6.10: Vzpostavljanje povezave VPN Slika 6.11: Vzpostavljena povezava VPN Slika 6.12: Nova povezava Slika 6.13: Prijava iz operacijskega sistema Android KAZALO TABEL Tabela 7.1: Primerjava uporabnosti in zahtevnosti orodij Tabela 7.2: Primerjava varnosti orodij Tabela 7.3: Podpora operacijskih sistemov vii

10 UPORABLJENE KRATICE VPN - Virtualno privatno omrežje (Virtual Private Network) SSH - Protokol za upravljanje računalnika na daljavo (Secure Shell) TCP - Nadzorni protokol prenosa (Transmission Control Protocol) DOS - Zavrnitev storitve (Denial Of Service) RAT - Orodje za oddaljeno administracijo (Remote Administration Tool) LDAP - Programski protokol za poizvedovanje in spreminjanje imeniških storitev (Lightweight Directory Access Protocol) SHA - Zgoščevalna funkcija (Secure Hash algorithm) RSA - Rivest-Shamir-Adleman cryptosystem MD5 - Zgoščevalna funkcija (Message-Digest algorithm 5) MAC - Avtentikacija sporočil (Message-authentication codes) NAT - Prevajanje omrežnega naslova (Network address translation) USB - Univerzalno serijsko vodilo (Universal Serial Bus) AES - Algoritem za simetrično šifriranje (The Advanced Encryption Standard) UDP - Uporabniško podatkovni protokol (User datagram protocol) HTTP - Protokol za prenos informacij na spletu (HyperText Transfer Protocol) RDP - Protokol oddaljenega namizja (Remote Desktop Protocol) LAN - Lokalno omrežje (Local Area Network) RFB - Protokol za oddaljeni dostop (Remote Frame Buffer) IPsec - Standard za varno privatno komunikacijo po internetu (Internet Protocol Security) RADIUS - Standard, ki omogoča klicno preverjanje uporabnika (Remote Authentication Dial In User Service) IP - Internetni Protokol (Internet Protocol) PPTP - Protokol za tuneliranje iz točke v točko (Point-to-Point Tunneling Protocol) DSA - Digital Signature Algorithm GSSAPI - Generic Security Services Application Program Interface viii

11 1. UVOD Oddaljen dostop do računalnika je postal pomemben del računalništva. Storitev oddaljenega dostopa omogoča pooblaščenim posameznikom dostop do omrežja podjetja od doma, do strank ali drugih lokacij po državi, celini in svetu. V zadnjem času je postala ena od pogosto rabljenih storitev. Remote Desktop ali oddaljeno namizje omogoča uporabniku priklop na katerikoli drug računalnik, ki je v istem ali drugem lokalnem omrežju. Uporabnik vidi zaslon oddaljenega računalnika in lahko dela na računalniku tako, kot bi dejansko sedel za tem računalnikom. Za oddaljen dostop do računalnika obstajata dve skupini programov. Programi, ki vzpostavijo neposredno povezavo med dvema računalnikoma ter programi, ki vzpostavijo povezavo med dvema računalnikoma, ki poteka preko nekega vmesnega strežnika. Za končnega uporabnika je lažja uporaba programov, katerih povezava poteka skozi vmesni strežnik. Razlog za to je, da se uporabniku ni potrebno ukvarjati z nastavitvami požarnega zidu ter usmerjevalnika. S tem tudi ne ogrozimo bistveno hitrosti delovanja povezave. Veliko je različnih potreb za uporabo oddaljenega dostopa. En vidik oddaljenega dostopa je, da si ljudje želijo, da bi lahko preverili svojo e-pošto in dostop do podatkov, ko niso za računalnikom. Drug vidik je, da so nekateri ljudje večino časa prisotni v omrežju stranke, vendar še vedno potrebujejo tudi dostop do omrežja svojega podjetja. Vsi našteti načini se razlikujejo v nekaj podrobnostih, vendar pa imajo tudi veliko skupnega. Oddaljeni dostop je eno od področij, pri katerih se tehnologije nenehno spreminjajo. 1

12 2. Oddaljen dostop 2.1 Opis Oddaljen dostop je zmožnost dostopa do računalnika ali omrežja nekje v oddaljenosti [1]. V ustanovah, ki imajo oddelke na različnih lokacijah ali pa njihovi uslužbenci veliko potujejo, se lahko le-ti povežejo z lokalno mrežo ustanove. Tako lahko uporabljamo mrežo in računalniške vire ustanove, čeprav delamo od doma. Za tak oddaljen dostop običajno potrebujemo računalnik ali notesnik, opremljen z internetno povezavo. To je lahko tudi klicna ali najeta telefonska linija oziroma namenska povezava z oddaljenim računalnikom. Povežemo se lahko tudi brezžično. Na oddaljeni strani imamo strežnik z ustrezno programsko opremo. Včasih mu pravimo tudi komunikacijski strežnik. Navezava na oddaljeni računalnik omogoča predvsem: Dostop do oddaljenih datotek in Dostop do oddaljenega namizja in njegovo uporabo (remote desktop access) Namen dostopa do oddaljenih datotek je jasen, dostop do oddaljenega namizja pa pomeni, da na zaslonu našega računalnika vidimo namizje oddaljenega računalnika in ga uporabljamo, kot bi to bilo naše namizje. Idealno bi bilo, če bi tako imeli na voljo celotno delovno okolje oddaljenega računalnika. Vendar pa ima oddaljeno namizje tudi svoje slabosti. Najbolj bistvena je ta, da nadzorovanje oddaljenega namizja ne poteka brez časovnih zakasnitev. Tako je potreben določen čas za prenos ukazov z naše miške in tipkovnice na oddaljeni računalnik, ter za prikaz osvežene slike oddaljenega namizja na našem zaslonu. Na sliki 2.1 je primer uporabe oddaljenega dostopa. 2

13 Slika 2.1: Oddaljeni dostop 2.2 Raziskava o oddaljenem dostopu VPN VPN pomeni Virtual private network oziroma virtualno privatno omrežje [2] [3]. Z VPNjem se srečujemo tako doma kot v službi, saj omogoča varno povezovanje v službeno ali domače omrežje od kjerkoli po svetu. Prav zato ga pogosto uporabljajo podjetniki in uslužbenci, ki so veliko na poti, hkrati pa je delo z njim preprosto in omogoča enake možnosti dela, kot bi bili v pisarni. Podatki, ki se prenašajo po kanalu VPN niso vidni oziroma so šifrirani, za neudeležene uporabnike in naprave. VPN omogoča povezovanje v omrežje tudi preko večjih razdalj. Glavna prednost VPN-ja je lastnost, da lahko za povezovanje uporablja internetne povezave namesto najetih privatnih linij. Tehnologija VPN-ja vzpostavi omrežje z nadzorovanim dostopom na enak način, kot je to narejeno v notranjih službenih omrežjih kar preko javnih omrežij, pri tem pa ne žrtvuje varnosti uporabnika, omrežja in podatkov. Storitev VPN omogoča povezovanje oddaljenih enot podjetja v navidezno zasebno omrežje preko uporabe javnega omrežja, s tem pa omogočimo učinkovito in varno komunikacijo med lokacijami. Z uporabo omrežja VPN lahko povežemo vse tipe lokacij, omogočimo delo na domu, navidezno pisarno. 3

14 2.2.2 SSH Secure Shell ali SSH je protokol in program za upravljanje računalnika na daljavo [4]. Isto funkcijo ima tudi Telnet, vendar je Secure Shell varnejši, saj pošlje odjemalcu geslo v šifrirani obliki. Protokol SSH določa, kako zagotoviti varno komuniciranje preko svetovnega spleta. SSH zajema overovitev, šifriranje in celovitost podatkov. Avtentikacija pri vzpostavitvi povezave SSH se izvaja na odjemalcu (geslo zahteva odjemalec in ne strežnik). Nekateri izmed načinov avtentikacije so naslednji: - Geslo - uporabnik se prijavi s pomočjo gesla. - Javni ključ in zasebni ključ - prijava s pomočjo ključev (navadno DSA [41] ali RSA [31]). - GSSAPI - mogoč je zunanji način prijave, ki nam omogoča način enkratne prijave za vse storitve. Na operacijskem sistemu Windows sta najbolj razširjena dva SSH odjemalca: prvi se imenuje Putty [5], ki ne potrebuje namestitve in je primeren za uporabo od doma (npr. šola, služba), drugi pa je SSH TectiaTM Client [6] in potrebuje namestitev. Strežnik SSH privzeto posluša na vratih 22, TCP transportnega sistema. SSH se večinoma uporablja: - Za prenos datotek. - Za posredovanje ali tuneliranje. Na tak način ustvarimo varen kanal, preko katerega prenašamo ne prekrite podatke. - Z uporabo odjemalca SSH lahko na oddaljenem računalniku popravljamo nastavitve strežnika. - Za izvajanje raznoraznih skript preko varne povezave Telnet Telnet je omrežni protokol in aplikacija, ki temelji na besedilu, omogoča oddaljeno povezovanje in se uporablja v Internetu ali v lokalnih omrežjih [7]. Uporablja 7-bitni nabor znakov ASCII (8-bitne znake uporablja le za ukaze). S posebno izbiro lahko sproži tudi 8 bitno delovanje. Poleg klasičnih terminalskih lastnosti omogoča tudi pošiljanje celotne vrstice v paketu (ne zgolj znak za znakom). Uporabniški podatki so vrinjeni v pas z nadzornimi informacijami Telnet-a, v 8-bitne usmerjene podatkovne povezave preko protokola za krmiljenje prenosa (TCP). 4

15 2.2.4 Dial-up modem Povezava od točke do točke je narejena, ko je omrežni promet poslan skozi. Telefonske številke lahko filtrirajo dohodne klice in včasih prej definirano telefonsko številko uporabijo za povratne klice. Strežniki dial-in imajo po navadi možnost za filtriranje prometa na podlagi pravil o dostopu. Ta metoda je v uporabi že mnogo let, vendar ima nizko pasovno širino. Dial-up povezave do interneta potrebujejo samo telefonsko omrežje, modeme in strežnike [8]. Kjer je telefonski dostop, ostaja dial-up modem še vedno uporaben in pogosto tudi edina izbira, ki je na voljo uporabnikom v določenih okoljih, kjer širokopasovni dostop do interneta ni mogoč Lokalna oddaljena delitev zaslona Pri tej vrsti oddaljenega dostopa imamo uporabniki operacijskega sistema Windows že nameščen program na ciljnem računalniku/strežniku [9]. To nam omogoča, da se osebje IT poveže, ko ta program teče. Značilno je, da se to uporablja, če strokovnjak IT uporablja dial-up modem ali povezavo VPN. Za to vrsto oddaljenega dostopa obstaja ogromno programov, ki delujejo tudi na različnih operacijskih sistemih. Eden od programov, ki je tudi brezplačen za uporabo, je ShowMyPC [10] Webbased Terminal Services Če se želijo oddaljeni uporabniki povezati z omrežjem podjetja in je neposreden dostop do omrežne infrastrukture nedovoljen, potem lahko uporabimo Microsoft Terminal Services, Citrix [11] ali kakšno drugo podobno rešitev. Ta način dopušča nadzor dostopa do lokalnih in oddaljenih virov ter zmanjša nevarnost za pridobivanje virusov ali črvov [9]. Terminal Services prenaša samo uporabniški vmesnik programa ter možnost uporabe tipkovnice in miške. 5

16 2.2.7 Spletna seja delitve zaslona Za ta način oddaljenega dostopa obstaja veliko različnih orodij, nekatera so bolj varna in uporabniku prijazna kot druga [9]. Skupne za večino teh so metode povezovanja; uporabnik, ki potrebuje podporo dostopa do spletne strani zažene program, ki prosi za ID/geslo seje. To bo zagotovil IT svetovalec ali administrator in seja delitve zaslona se bo začela. Končni uporabnik sprejme povezavo in ima sposobnost, da vidi, kaj se dogaja in deluje v skoraj katerem koli okolju. Nekatere rešitve ponujajo več funkcij, ki lahko vključujejo povezave brez posredovanja uporabnika. Programa, ki omogočata to vrsto oddaljenega dostopa sta recimo WebEx [12] in TeamViewer [13]. 2.3 Prednosti oddaljenega dostopa - Izboljšana produktivnost - osebje lahko dela od doma, v hotelih ali kjerkoli, kjer je dostop do interneta. To je enostaven dostop do pomembnih informacij, kot so dokumenti, e-pošta in celo aplikacije, ki se nahajajo na strežniku podjetja ali domačem računalniku. - Osebje lahko nadaljuje z delom na projektih od doma. - Povečana dobičkonosnost. Ljudje se lahko odzovejo na e-poštna sporočila in zahteve kupcev hitro in ne glede na to, ali so na potovanju ali ne. To lahko izboljša uspešnost prodaje in skrb za stranke. - Kakovost življenja. Zaposlenim, ki morda živijo daleč od sedeža svojega podjetja omogoča, da ne porabijo ogromno časa za potovanje do in iz delovnega mesta. Ljudje na splošno cenijo prožnost, ki jo sistem oddaljenega dostopa ponuja. - Prav tako pomaga pritegniti nadarjene delavce, ki živijo predaleč od delovnega mesta, da bi se lahko vsak dan vozili na delovno mesto. - Zadrževanje cenjenih delavcev. Na primer, če se mora delavec preseliti na neko oddaljeno območje, lahko še vedno dela za isto podjetje, saj oddaljenost ni več ovira. 6

17 - Izboljšana učinkovitost. Osebje lahko ostane v stiku z e-pošto in razvojem svojega podjetja, ne glede na čas in oddaljenost. - Računalniške sisteme je mogoče upravljati na daljavo. To strokovnjakom omogoča dostop do računalnikov za reševanje morebitnih tehničnih težav, brez potrebe po fizični prisotnosti. - Odpravlja potrebo za sinhronizacijo datotek in drugih podatkov, med posameznikovim prenosnim in namiznim računalnikom. - Nižje pisarniške stroške. Sistemi za oddaljen dostop omogočajo podjetjem, da lahko uporabljajo manjše pisarne, kot če bi vsi zaposleni morali biti vsak dan ob istem času prisotni v pisarni. - Ni potrebno nositi prenosnika za pridobitev dostopa do omrežja. Možno je pridobiti dostop do omrežja organizacije, preko katerega koli računalnika ali druge naprave. 2.4 Pasti oddaljenega dostopa - Zakasnitveni čas. Z oddaljenim dostopom do programske opreme je delo malo počasneje, kot dejanska uporaba lastnega računalnika, saj se mora vsak pritisk na tipko in gibanje miške prenesti na oddaljeni računalnik in nato nazaj. - Sistemi za dostop na daljavo navadno ne zagotavljajo varnosti, tako da je to lahko problem, če se prenašajo občutljivi podatki. Obstaja možnost uporabe šifriranja podatkov, ali uporaba kanala VPN (Virtualno privatno omrežje). - Oddaljen dostop lahko postavi tudi vprašanja upravljanja v smislu produktivnosti. Na primer, potreba po samodisciplini, da je delo od doma še naprej učinkovito. - Vsi ljudje ne delajo radi ves čas od doma (potreba po socialnih stikih). - Pri delu od doma je lahko potrebna tudi dodatna strojna oprema, ki je lahko draga. Zato morajo podjetja upoštevati tudi to pri naložbeni perspektivi. 7

18 2.5 Uporaba oddaljenega dostopa Oddaljen dostop je sposobnost enega ali več računalnikov, ki se jih lahko nadzoruje oziroma upravlja neodvisno od uporabnika ali uporabnikov na drugem računalniku na nekem oddaljenem mestu [14]. Tehnologijo oddaljenega dostopa lahko uporabimo, da prevzamemo nadzor nad miško in tipkovnico oddaljenega računalnika, imamo možnost pregledovanja sistemskih in uporabniških datotek, dodajanje ali brisanje datotek ter spreminjanje nastavitev sistema in tudi registra. Vse to je možno, če je uporabnik prijavljen kot administrator, medtem ko ima navaden uporabnik nadzor nad tipkovnico in miško ter pogled na namizje oddaljenega računalnika. Za oddaljen dostop je na voljo ogromno programov, tako brezplačnih kot plačljivih Domača uporaba Za domačo uporabo obstaja ogromno brezplačnih programov, ki nam omogočajo vsaj najosnovnejše in preproste primere uporabe, kot so na primer: kopiranje datotek iz našega računalnika na oddaljenega in obratno, možnost pregleda datotek in njihovih nastavitev ter drugo. Oddaljen dostop nam je lahko v veliko pomoč, če nismo doma in potrebujemo nekaj, kar se nahaja na domačem računalniku, ali za pomoč ostalim družinskim članom, ko nas ni doma ali ostalim znancem, ki imajo kakšen problem, ki ga lahko rešimo s pomočjo oddaljenega dostopa. Oddaljen dostop pa se uporablja tudi v podjetjih, večjih in manjših, saj lahko podjetju in zaposlenim prihrani veliko stroškov in časa. Za profesionalno rabo programov, ki omogočajo oddaljeni dostop, so na voljo plačljive oblike, veliko teh programov je na voljo tudi za brezplačno uporabo, vendar imajo brezplačne verzije običajno omejene funkcionalnosti Videokonference Videokonference sicer niso orodje za dostop do računalnikov na daljavo, omogočajo pa sodelovanje ljudi na daljavo in imajo nekatere funkcije za dostop do računalnika na daljavo, kot je na primer delitev namizja. Za izvedbo videokonferenc obstaja veliko programov, tudi brezplačnih za domačo uporabo. Zelo pogost program za izvedbo videokonference je Skype [15], ki je na voljo tudi v brezplačni obliki. Eno od poznanih orodij je spletna videokonferenčna platforma Cisco WebEx [12]. Gre za eno najstarejših spletnih storitev, ki jo uporabljajo številna 8

19 podjetja po svetu. Priljubljena je za potrebe spletnih konferenc in predavanj. WebEx ponuja odlična orodja za predavanje veliki množici ljudi, sprejem njihovih vprašanj in razdeljevanje gradiva. Ogromno podjetij ima WebEx kot osnovo za izobraževanje zaposlenih. Storitev je na voljo le v plačljivi izvedbi, lahko pa jo preizkusimo v krajšem preizkusnem obdobju. Videokonference je mogoče uporabljati v skupini, kjer je na eni lokaciji (na primer sejna soba) več uporabnikov in ti uporabljajo en videokonferenčni sistem, ali osebno, kjer videokonferenčni sistem uporablja en sam uporabnik. Zato videokonferenčno opremo delimo na sobne (skupinske, strojne) in osebne (namizne, programske) videokonferenčne sisteme Tehnična podpora Tehnična podpora preko oddaljenega sistema pomeni, da je manj potrebe po razlagi problema uporabniku, kot je na primer, sporočilo o napaki. Sposobnost pregleda in dostopa do datotek, lahko operaterju tehnične podpore prihrani veliko časa, ki bi ga sicer porabil za pojasnjevanje uporabniku, kje se nahaja določena datoteka ali nastavitev in kako poiskati spremembo ali napako teh datotek oziroma nastavitev. Ko je računalnik v okvari, lahko operator tehnične podpore z oddaljenim dostopom zažene diagnostično opremo med ponavljanjem dejanja, ki je povzročilo napako, da se hitro in učinkovito ugotovi vzrok problema. V nekaterih primerih nam oddaljeni dostop omogoča, da se odkrije in odpravi napake, brez potrebe po fizičnem obisku serviserja. 3. Zgodovina oddaljenega dostopa 3.1 Oddaljen dostop prej in sedaj Če smo prijavljeni v videokonferenco, kjer smo si ogledali predstavitev na nekem drugem računalniku ali sodelovali v virtualni učilnici, kjer profesor odgovarja na vprašanja učencev, ki so jih zastavili na svojem računalniku in so prikazani na profesorjevem računalniku, si lahko mislimo, da je oddaljeni dostop zelo moderen. Čeprav so res današnji vmesniki za dostop do oddaljenega računalnika veliko bolj napredni in izpopolnjeni, kot so bili pred nekaj leti, je oddaljeni dostop že desetletja star koncept. 9

20 Ko so raziskovalne infrastrukture na univerzah in državnih laboratorijih začele uporabljati navidezne terminale, nameščene na glavnih računalnikih, so računalniški uporabniki hitro spoznali, da lahko uporabljajo telefonske linije za dostop do podatkov in prenos podatkov iz velikih računalnikov. Prvi modemi so bili uporabljeni leta 1950 za prenos podatkov iz vladnih laboratorijev za proti-letalske obrambne sisteme. Prvi komercialni modem je bil izdelan leta 1962 in tehnologija se je hitro razvijala, postala hitrejša in prenos podatkov je postal bolj razširjen. 56k modem so izumili leta 1996, takrat je omogočal prenos višjih hitrosti, kot so bile do tedaj običajne pri uporabi telefonskih linij. Multipleksiranje je dovoljevalo informacijam, da se pretakajo na bolj učinkovit način, preko telefonskih linij v frekvenčnem območju, ki je na voljo [14]. Modemi dovoljujejo daljinsko upravljanje osebnih računalnikov in računalniških sistemov, vendar pa so bili stroški za uporabo telefonske linije na dolgih razdaljah visoki. Zato se je vztrajalo pri iskanju cenejših in hitrejših medijev. 3.2 Iskanje učinkovitega oddaljenega dostopa Širokopasovna internetna povezava je omogočila neomejen dostop do interneta in naredila računalniško administracijo na dolge razdalje bolj dostopno. Zgodnja orodja tehnologije oddaljenega dostopa so navadno "poslušala" privzeta vrata (port) in se sklicevala na relativno (ne)varna gesla. To je omogočalo hekerjem spremljanje določenih vrat in prestrezanje šifriranih podatkov. Zato kot merilo za večjo varnost oddaljenega dostopa do programske opreme, poleg ponovitev te tehnologije, vključuje tudi ustvarjanje varnostnega tunela, za podatke z uporabo strojne opreme požarnega zidu na strani gostitelja, v kombinaciji s stranko programske opreme na oddaljeni strani. Šifrirani podatki so poslani skozi tunel in se na drugi strani prejmejo dešifrirani. Ta dokaj zahteven sistem zahteva veliko strokovnega znanja za vzpostavitev in lahko pomeni oviro za vzdrževanje. 10

21 3.3 Oddaljeni dostop danes Te dni spletni programi uporabljajo širokopasovni internet za doseganje prednosti oddaljenega dostopa. Varne internetne strani pošiljajo varnostna potrdila uporabnikom, ki dostopajo do spletne strani, da preverijo svojo varnost. Podjetje, ki ponuja program za oddaljeni dostop omogoča uporabniku, da se prijavi na njihovo varno mesto in vzpostavi povezavo z oddaljenim uporabnikom, ki ima pri podjetju svoj račun. Vzpostavljen je dnevnik gostitelja (hostname) pri uporabi gostiteljskega računalnika in varne povezave. Ta vrsta storitve (povezave) zahteva le majhen prenos pri vsakem uporabniku in je vzpostavljena v zelo kratkem časovnem obdobju, običajno v manj kot minuti. Varne visoke hitrosti povezave so omogočile velik napredek pri oddaljenem dostopu do računalnikov. Današnji primeri uporabe oddaljenega dostopa so široka območja, vključno s podporo programske opreme, odpravljanje napak računalnika, varen prenos datotek, namestitev programske opreme in nadgradenj, usposabljanj, skupnih delovnih sej, virtualne učilnice in številne druge aplikacije, ki potrebujejo uporabnike in računalnike na različnih lokacijah za interakcijo. Varen oddaljeni dostop je spremenil način poslovanja, ki se izvaja po vsem svetu. 4. Varnost oddaljenega dostopa Varnost je praksa, ki brani podatke pred nepooblaščenim dostopom, uporabo, razkritjem, motnjami, spremembami, branjem, pregledovanjem, snemanjem ali uničenjem podatkov na sistemu. Varen sistem je tisti, v katerem je bila vsaka možna grožnja analizirana in kjer so bila ocenjena in sprejeta vsa tveganja. Danes postaja delo na domu vse bolj običajno, kar zmanjša podjetjem veliko stroškov (pisarne, prevoz, itd.). Se pa s tem poveča problem varovanja podatkov oziroma varnosti omrežja. Oddaljeni dostop je v bistvu tako varen, kot si ga naredite varnega, seveda pa je varnost odvisna tudi od programa, ki se uporablja za oddaljeni dostop. Posameznikom je potrebno omogočati dostop ob upoštevanju varnostnih omejitev, ki jih nastavimo na strežnem (klicanem) računalniku. Najbolj pomembno je, da se uporabnik predstavi (avtentikacija uporabnika). 11

22 Ena od varnostnih omejitev je tudi zahteva, da poteka prenos podatkov med dvema računalnikoma šifrirano. Tako lahko vzpostavimo tako imenovani tunel SSH (Secure Shell tunnel) [4]. Tunel SSH predstavlja šifrirano povezavo med dvema računalnikoma v omrežju. Pri dostopu preko klicnih telefonskih linij lahko tudi omejimo, s katerih telefonskih številk je klic oziroma dostop sploh možen. V največji meri pa lahko za varnost poskrbi sam uporabnik, ki pa je obenem lahko tudi sam največji krivec, če pride do nepooblaščenega vdora. Zato je potrebno biti pazljiv in se držati varnostnih omejitev, ki smo si jih zadali pri uporabi oddaljenega dostopa. 4.1 Nevarnosti in grožnje Nevarnost predstavljajo "Back door" programi in programi, ki omogočajo administriranje na daljavo. Za pridobitev oddaljenega dostop do računalnikov, ki uporabljajo okolja Windows, napadalci najpogosteje uporabljajo tri orodja: Back Orifice [16], Netbus [17] in SubSeven [18]. Ti "back door" programi oziroma programi za oddaljen nadzor, ko so enkrat nameščeni, omogočajo drugim ljudem dostop in kontrolo vašega računalnika. Poznamo 3 različne nevarnosti za računalniške sisteme: Fizične grožnje: vreme, naravne katastrofe, izpad električnega omrežja. Človeške grožnje: vdiranje, kraje, prevare, podkupovanje, vohunjenje, sabotaže, nesreče. Programske grožnje: virusi, trojanski konji, logične bombe, DOS. Za večino le-teh so prav tako odgovorni ljudje oz. napadalci. 12

23 4.2 Vrste napadalcev Zunanji napadalec: Potrebuje dostop do sistema Deluje hitro, da ga ne bi odkrili Vgradi zadnja vrata (trapdoors) za nadaljni dostop Deluje v okolju, ki ga ne pozna Notranji napadalec (Ima dostop do sistema): Deluje lagodno Ima zagotovljen dostop v prihodnosti Dela v znanem okolju Ve, kaj je pomembno 4.3 RAT - Remote Administration Tool Programska oprema RAT omogoča oddaljenemu uporabniku nadzor sistema, kot če bi imel fizični dostop do tega sistema (pogoj je seveda, da je ta sistem priklopljen v splet). Programska oprema RAT je pogosto lahko povezana s kriminalno ali zlonamerno aktivnostjo. Zlonamerna programska oprema RAT se običajno namesti brez vednosti žrtve, pogosto kot tovor trojanskega konja in poskuša skriti svoje delovanje pred uporabniki in pred varnostno programsko opremo [19]. Mnogi trojanci in programi»backdoor«imajo zmogljivost oddaljenega upravljanja, ki omogoča posamezniku, da nadzira računalnik žrtve. Velikokrat je potrebno datoteko (pogosto imenovana stranka ali škrbina) odpreti na računalniku žrtve, preden lahko heker dostopa do računalnika. Te datoteke so običajno poslane preko e-pošte, P2P izmenjave datotek programske opreme ali se prenesejo pri internetnem prenosu. Običajno so prikrite kot legitimni program ali datoteka. Večina teh datotek ob odpiranju prikaže lažno sporočilo o napaki, da je videti, kot da je ni bilo možno odpreti. Nekatere tudi onemogočijo požarne zidove in protivirusno programsko opremo. Trojanske datoteke RAT lahko na splošno storijo naslednje: Blokirajo miško in tipkovnico, spremenijo ozadje namizja, uničujejo strojno opremo, prenos/dodajanje/brisanje/preimenovanje datotek, spreminjanje registrov, nameščanje črvov in virusov, uporaba interneta za povzročitev zavrnitve dostopa, formatiranje trdega diska, kraja gesel in številk kreditnih kartic, skrivanje ikon namizja, opravilne vrstice in 13

24 datotek, nameščanje aplikacij, pošiljanje sporočil, predvajanje zvokov, nadzor miške in tipkovnice, snemanje zvoka in videa s pomočjo mikrofona in kamere, prikazovanje lažnih sporočil o napakah, ugašanje računalnika in monitorja, ogled, zapiranje in začenjanje novih opravil v upravitelju opravil, dnevniki tipkanja oz. namestitev programske opreme, ki beleži uporabnikovo tipkanje [19]. Dobro zasnovan program RAT omogoča oddaljenemu uporabniku vse, kar bi lahko naredil, če bi imel fizični dostop do računalnika. Na sliki 4.2 je prikazano, kako heker oddaljeno dostopa do več računalnikov hkrati. Slika 4.2: RAT Znani primeri programske opreme RAT in trojanskih konjev so: Back Orifice [16], NetBus [17], Sub Seven [18], Beast Trojan [20], Bifrost [21], BlackShades [22], Darkcomet [23], Optix Pro [24] in drugi. Slika 4.3 prikazuje delovanje programa Darkcomet [23]. 14

25 Slika 4.3: DarkComet 4.4 Varnostne nastavitve oddaljenega dostopa Vsakdo, ki uporablja VPN v deljenem omrežnem okolju širokopasovnega dostopa, še posebej s kritičnimi aplikacijami in programi, bo želel izpolniti cel niz osnovnih varnostnih zahtev. Te zahteve se uporabljajo ne glede na tehnologijo, ki je uporabljena za ustvarjanje povezave VPN [25]. 1. Preverjanje prisotnosti Avtentikacija [25] Odjemalec VPN za preverjanje pristnosti s strežnikom VPN je bistvenega pomena za učinkovito varnost. Avtentikacija se običajno dogaja na dveh ravneh, certifikat ali skrivnost. Preverjanje pristnosti certifikata se opravi z izmenjavo spričevala in ali prej znanih ključev za končne točke VPN. Skrivnost, ki je znana tudi kot geslo za preverjanje prisotnosti, je lahko baza podatkov ali pa je lahko vezana na dovoljenje v centralnem imeniku, kot je na primer Microsoft Active Directory [26], Radius [27] ali LDAP [28]. Dvojna avtorizacija je potrebna v okoljih, ki zahtevajo visoko stopnjo varnosti. Kombinacija nečesa, kar uporabnik ve (skrivnost/geslo) in potrdila o preverjanju prisotnosti bo ustavila številne napade VPN, ki temeljijo na ogrožanju gesel. Veliko povezav VPN podpira žeton (token), ki ustvari enkratno geslo, ki dodaja posebno 15

26 strojno opremo, kot zahtevo za pravilno preverjanje prisotnosti. Močni»hash«algoritmi za sporočila, kot je SHA, so potrebni tudi za zaščito veljavnosti podatkov za preverjanje uporabnika. 2. Avtorizacija [25] Uporabniku ali sistemu je dovoljen dostop do določenih omrežnih virov in uporabe VPN, šele potem, ko uspešno opravi preverjanje pristnosti. Skupni sistemi dovoljenj za integracijo so Microsoft Active Directory [26] in Radius [27]. Uporaba centraliziranega sistema ne sme biti podcenjena, saj omogoča boljše upravljanje VPN in dostop. Nasprotno pa je potrebno dovoljenje (avtorizacijo) redno pregledovati in čim prej odstraniti, za zaščito sistema pred napadom. 3. Revizija [25] Dnevniki VPN so koristni ne samo za odpravljanje težav, temveč tudi za odkrivanje in odzivanje na incidente (napade, napake,..). Seznam, kot je spodnji, se lahko uporablja za upravljanje posebnih dogodkov, ki jih je treba zbrati, pregledati in arhivirati: 1. Uporabnik 2. Datum, čas in ukaz 3. Sistemska lokacija 4. Preverjanje pristnosti uspešno/neuspešno 5. Avtorizacija uspešno/neuspešno 6. Spremembe nastavitev, zlasti za zaščito (anti-virus in odkrivanje vdorov) 7. Privilegiran dostop 8. Omrežni naslovi in protokoli Preiskava o napadu VPN bo odvisna od revizijskih sledi, saj so podrobnosti za vsako področje bistvenega pomena za ugotavljanje, kaj je kdo naredil, kje in kdaj. 4. Razpoložljivost [25] Razpoložljivost se nanaša na odstotek časa delovanja storitve VPN. Povezave, ki niso na voljo, tvegajo uhajanje informacij ali zavrnitev storitve. Za sistem VPN je najboljše, da spremlja svoje stanje in preklaplja povezave na nove storitve VPN brez zahteve po posredovanju administratorja. Preklapljanje mora omogočiti uporabnikom, da nemoteno nadaljujejo svoje delo brez okvare podatkov ali potrebe po ponovnem preverjanju pristnosti. 16

27 5. Celovitost [25] Celovitost se upravlja z nadzorom, ki preprečuje spremembo podatkov. Storitve VPN uporabljajo tri načine za zagotavljanje nadzora celovitosti. Prvi je enosmerna sekljalna (hash) funkcija, ki lahko sprejme vsako dolžino vhodnih in ustvari fiksno dolžino izhodnih vrednosti. Ta vrednost je za datoteko enostavna za izračunati, vendar je težko ustvariti datoteko, ki bi izračunala enako vrednost. Podatki zato postanejo težko spremenljivi brez detekcije. Prejemnik datoteke lahko potrdi svojo celovitost z ustvarjanjem sekljalne kode, ki jo primerja z sekljalno kodo, ki jo je ustvaril pošiljatelj in poslal skupaj z datoteko. VPN lahko zagotavlja celovite sekljalne mehanizme za ustvarjanje edinstvenega podpisa za podatke, ki se pošiljajo, ko se podatki spremenijo, se podpis ne bo ujemal z originalnim podpisom. Dva algoritma, ki ga VPN pogosto uporablja za preverjanje podatkov sta MD5 in SHA. MD5 se je izkazal za nezanesljivega, tako da je slednji boljša možnost. Drugi način je s kodami sporočilne avtentifikacije (MAC-message-authentication codes), kjer se doda ključ za sekljalne funkcije. MAC se izračuna s ključem, ki je v skupni rabi med pošiljateljem in prejemnikom. Pošiljatelj ustvari MAC iz datoteke in ga pošlje skupaj z datoteko prejemniku. Tretji način so digitalni podpisi, ki tudi lahko zagotavljajo celovitost podatkov VPN. Digitalni podpis deluje v obratnem vrstnem redu v primerjavi s kriptografijo javnega ključa. Dokument je digitalno podpisan od pošiljatelja z uporabo zasebnega ključa, nato pa prejemnik uporabi pošiljateljev javni ključ, da preveri dokument. 6. Zaupnost [25] Podatki so šifrirani s strani VPN za preprečitev razkritja, ko se prenašajo prek skupnih ali javnih omrežij. Upravljanje ključa in močno šifriranje sta temelj za zagotavljanje učinkovitega šifriranja. Dolžina šifriranega ključa, na primer, je pomembna odločitev. Priporočljiva je največja sprejemljiva velikost. 17

28 5. Servisi za oddaljen dostop 5.1 TeamViewer Opis Podpira operacijske sisteme Windows, Mac OS X, Android, Linux, ios, Windows RT, Windows Phone in BlackBerry. Namenjen je za zasebno in poslovno uporabo. Pri operacijskem sistemu Android je oddaljen dostop mogoč samo iz mobilne naprave s sistemom Android, na računalnik s sistemom Windows in ne obratno. Je popolnoma brezplačen za domačo uporabo. Brezplačna različica podpira prenos datotek, prenos zvoka, nastavitve kakovosti in velikosti slike. Podpira tudi štiri različne načine povezave, ki so prilagojeni za oddaljeno pomoč, prenos datotek, VPN ali predstavitve. Omogoča tudi različne možnosti identifikacije s statičnim ali dinamičnim geslom. Ena največjih prednosti je ta, da se zelo dobro znajde ob prisotnosti požarnih zidov ali posrednikov NAT. Omogoča tudi dostop do sistem,a v katerega se ni še nihče prijavil, potrebno pa je to vrsto dostopa prej omogočiti. Možen je tudi dostop preko spletnega brskalnika. Pri namestitvi lahko izbiramo med trajno namestitvijo v sistem ali pa program zaganjamo neposredno iz namestitvene datoteke, slednje omogoča uporabo iz ključka USB ali katerekoli druge prenosne naprave Uporaba - Partnerja, ki se želita povezati, zaženeta program "TeamViewer" - Gostitelj sporoči nadzorniku ID in PASSWORD (v polju Allow Remote Control) - Nadzornik v polje Control Remote Computer vnese ID in klikne "Connect to partner" - Povezava se vzpostavi, nadzornik vpiše Password in klikne "LogOn" - Povezava se vzpostavi, nadzornik in gostiltelj opazujeta dogajanje na zaslonu - Oba lahko uporabljata tipkovnico in miško - Povezavo prekine eden od uporabnikov z klikom na X TeamViewer omogoča tudi možnost snemanja seje, medtem ko poteka oddaljeni dostop. Na sliki 5.4 je prikazano okno za vzpostavitev oddaljene povezave z orodjem teamviewer. 18

29 Slika 5.4: Začetno okno programa TeamViewer Varnost TeamViewer uporablja RSA [31] izmenjavo zasebnega/javnega ključa (2048-bitno) in AES [32] (256 bitno) šifriranje seje. V privzeti konfiguraciji TeamViewer uporablja enega od strežnikov TeamViewer.com za vzpostavitev povezave in usmerjanje prometa med lokalno stranko in oddaljenim gostiteljem. Programska oprema nato določa, kako vzpostaviti povezavo. V 70% primerov je vzpostavljena neposredna povezava preko UDP ali TCP protokola. Ostale povezave so usmerjene skozi TeamViewer GmbH usmerjevalnik omrežja (preko TCP ali HTTP tuneliranja) [29] [30]. Na sliki 5.5 si lahko ogledamo šifriranje in delovanje programa TeamViewer, ki je prikazano in opisano v dokumentaciji na spletni strani izdelka [38]. 19

30 Slika 5.5: Delovanje programa TeamViewer Zlonamerna uporaba TeamViewer in podobne storitve so bile uporabljene za goljufijo preko telefonskih klicev. Napadalci kličejo na naključne telefonske številke in se predstavljajo, da kličejo iz računalniške podpore kakšnega večjega podjetja npr. Microsoft in povejo, da so opazili, da je žrtvin računalnik okužen z zlonamerno programsko opremo. Nato prosijo žrtev, da jim omogoči oddaljeni dostop do računalnika in od tu naprej lahko počnejo kar hočejo (kradejo ali brišejo datoteke, dostopajo do številk bančnih računov in gesel bančnih kartic, itd..). 20

31 5.2 Windows Remote Desktop Connection Opis Program je na voljo samo uporabnikom operacijskega sistema Windows, ponuja možnost prenosa zvoka in datotek. Uporablja se za osebno in poslovno uporabo. Prvi operacijski sistem v katerega je bil vgrajen, je Windows XP Professional. Od takrat je vključen v vse različice, z izjemo Home različic. Glavna prednost je vsekakor ta, da je program že naložen na računalniku in tudi samo delovanje je hitro in enostavno. Pomanjkljivosti pa so, da podpira samo povezavo med sistemi Windows, ne podpira več sej hkrati, pri uporabi znotraj lokalnih omrežij pa so potrebne dodatne nastavitve (desni klik z miško na ikono»računalnik«nato izberemo»lastnosti«ter v novem oknu izberemo»oddaljene nastavitve«in tu potem omogočimo želene nastavitve za dostop do našega računalnika), uporabnik mora tudi sam poskrbeti za izjemo v požarnem zidu, kar sicer ni težko, lahko pa predstavlja problem za začetnike in neizkušene uporabnike (odpremo»nadzorno ploščo«in poiščemo»windows Firewall«nato izberemo»dovoli programu ali funkciji skozi požarni zid Windows«ter označimo okno»dovoli«pri programu»remote Desktop«). V našem primeru sicer ni bilo potrebno nastavljati ničesar. Na spletu je na voljo vsa potrebna dokumentacija z nastavitvami in opisom delovanja. Za delovanje je potrebno le to, da je v obeh računalnikih, ki ju želimo povezati, omogočen oddaljen dostop in da je v ciljnem računalniku odprt uporabniški račun, ki je zaščiten z geslom (če nimamo nastavljenega gesla, oddaljen dostop ni mogoč). Na sliki 5.6 je prikazano okno programa, kamor vnesemo ime računalnika ali IP naslov. 21

32 Slika 5.6: Okno za vzpostavitev oddaljenega dostopa Varnost Šibko geslo je lahko veliko tveganje, saj lahko vsak, ki pozna naslov računalnika, poskuša oddaljeno dostopati do namizja. Če se omogoči kakršnokoli oddaljeno dostopanje do računalnika s tem ali z katerimi drugimi orodji, je zelo pomembno, da uporabljamo močna gesla in onemogočimo vse uporabniške račune brez gesla (tudi račun za goste»guest«). Prav tako imamo tudi možnost, da oddaljenega dostopa do našega računalnika ne dovolimo, oziroma imamo lahko nastavitve, ki dovoljujejo dostop vključene samo takrat ko to želimo. Nastavimo lahko tudi, da so seje zavarovane z 128-bitnim šifriranjem. Uporabljen je protokol RDP (Remote Desktop Protocol), ki ga je izdelal Microsoft. Omogoča uporabniku z grafičnim vmesnikom povezavo z drugim računalnikom prek omrežne povezave. 22

33 Protokol RDP v privzeti konfiguraciji je občutljiv na napade tipa mož v sredini (man-in-themiddle). Administratorji lahko omogočijo šifriranje podatkov seje za zmanjšanje tega tveganja. 5.3 RealVNC Opis Podpira operacijske sisteme Windows, Mac OS X in Linux ter tudi ostale na Unixu temelječe operacijske sisteme, podpira tudi Android in ios za iphone. Osnovna različica RealVNC Free je brezplačna in odprtokodna, obstajata pa še komercialni in plačljivi različici, RealVNC Personal Edition in RealVNC Enterprise Edition. Osnovna različica omogoča samo enostaven oddaljeni dostop in avtentikacijo, ne podpira pa šifriranja in ostalih funkcij, ki so na voljo v plačljivih različicah. Orodje je namenjeno zasebni in poslovni uporabi, velika pomanjkljivost pa je ravno ta, da osnovna različica podpira zelo malo funkcij. Za delovanje je potrebno na računalniku, do katerega želimo dostopati, zagnati RealVNC server, na drugem računalniku pa VNC Viewer (client). Da lahko končno dostopamo do oddaljenega računalnika, je potrebno vpisati naslov IP (lahko vnesemo tudi IPv6), do katerega želimo dostopati in geslo, ki ga sami določimo. Sam sem program preizkusil v omrežju LAN, kjer morajo biti računalniki priključeni na isto omrežje TCP/IP. To so lahko zasebna omrežja, kot so LAN ali VPN ali javna omrežja, kot je internet. Potrebno je upoštevati, da morajo biti požarni zidovi in usmerjevalniki običajno konfigurirani (privzeta vrata komuniciranja VNC so 5900), preden se lahko vzpostavi internetna povezava. V našem primeru to ni bilo potrebno, kako pa se oddaljeno povezati preko interneta, je navedeno v dokumentaciji programa, ki se nahaja na uradni spletni strani produkta [33]. Na sliki 5.7 je grafični prikaz, kako poteka oddaljena povezava v omrežju LAN, ki je prikazan in opisan v dokumentaciji na spletni strani izdelka [39]. 23

34 Slika 5.7: Delovanje RealVNC v LAN omrežju Varnost Plačljivi različici podpirata 128-bitno ali 256-bitno šifriranje AES [32], odvisno od različice, medtem ko osnovna različica ne podpira šifriranja, kar je tudi ena največjih pomanjkljivosti te različice. Podatki, ki se prenašajo v obe smeri med oddaljenim dostopom, so ves čas izpostavljeni morebitnim napadom (prisluškovanju). Zato pa tudi osnovna različica podpira preprečevanje nepooblaščenega dostopa z geslom, specifičnem za VNC, ki ga določimo sami. Gesla pa so vedno šifrirana, tudi če je šifriranje izklopljeno ali če ga uporabljena različica ne podpira, kot v našem primeru. RealVNC uporablja protokol RFB (remote frame buffer) [34]. Je preprost protokol za oddaljeni dostop do grafičnega uporabniškega vmesnika, ki omogoča stranki, da si ogleda in nadzoruje okno sistema na drugem računalniku. Protokol RFB, kot je opredeljeno v dokumentaciji, ne zagotavlja zaščite pri neobveznih in šibko šifriranih geslih. Predvsem pa ne nudi zaščite pred opazovanjem ali poseganjem v podatkovni tok. Ta protokol je značilno bil uporabljen pri varnih fizičnih ali virtualnih omrežjih. Lahko se uporabljajo varnostne metode, ki presegajo tiste, opisane v dokumentaciji, da zaščitijo celovitost podatkov. Odjemalec in strežnik se lahko dogovorita za uporabo 24

35 razširjenih vrst varnosti za šifriranje seje ali pa se zasedanje seje lahko prenaša preko varnega kanala, kot je IPsec [35] ali SSH [4]. 5.4 LogMeIn Opis LogMeIn deluje tako, da je računalnik, na katerega namestimo program, dostopen kjerkoli preko spletnega vmesnika. Edini pogoj za uporabo po namestitvi je dostop do spleta in poljuben brskalnik. Zelo poudarja mobilnost, dostop preko spletnega vmesnika in mobilnih naprav. Ponuja velik spekter izdelkov, ki so primerni za vse vrste uporabnikov in delujejo v sistemih Windows ali Mac OS X in podpira tudi Android. Ravno tako kot pri TeamViewerju, je tudi tu možno dostopati do računalnika iz mobilne naprave in ne obratno. Namenjen je predvsem poslovni rabi, primeren je tudi za večja podjetja. Slabost pa je ta, da je na voljo samo še v plačljivi obliki oz. možna je 14-dnevna brezplačna preizkusna različica. Medtem ko je do približno leto dni nazaj bila na voljo tudi brezplačna različica LogMeIn Free, ki pa ni imela funkcij, kot so prenos datotek, oddaljen zvok, oddaljeno tiskanje in podobno. Podobno kot TeamViewer tudi LogMeIn ne vzpostavi direktne povezave med dvema računalnikoma, ampak deluje preko vmesnega strežnika, ki se nahaja na naslovu Na sliki 5.7 je prikazana arhitektura delovanja programa LogMeIn, ki je prikazana v dokumentaciji na spletni strani izdelka [36]. 25

36 Slika 5.8: Arhitektura delovanja programa LogMeIn Varnost V dokumentaciji [36], ki se nahaja na spletni strani izdelka, je zapisano, da je največja nevarnost uporabnik sam, kar drži pri večini računalniških sistemov. V dokumentaciji je zapisano tudi, da so njihove storitve za uporabnike varne, saj jih vodi pet varnostnih zahtev: 1. Overjanje ciljnega računalnika. 2. Overjanje uporabnika, ki se želi povezati na njihov strežnik. 3. Overjanje strežnika ciljnemu računalniku. 4. Overjanje ciljnega računalnika strežniku. 5. Šifriranje podatkov. Zgoraj navedene varnostne zahteve so podrobno opisane v dokumentaciji [36]. Komunikacijski protokol, ki ga programi LogMeIn uporabljajo, je SSL/TLS (OpenSSL) [37]. Enak protokol je standard za spletno trgovino in spletno bančništvo. Zagotavlja avtentikacijo in zaščito pred prisluškovanjem, nedovoljenimi posegi in ponarejanjem sporočil. 26

37 6. Strežnik VPN 6.1 Vzpostavitev strežnika VPN Strežnik VPN smo vzpostavili v okolju Windows, natančneje na računalniku, ki deluje z operacijskim sistemom Windows 7 (vzpostavili smo strežnik, ki je že vgrajen v operacijskih sistemih Windows). Vzpostavitev strežnika VPN po korakih, je potekala tako: 1. Najprej smo odprli središče za omrežje in skupno rabo (Network and Sharing Center). 2. Nato kliknemo na Spreminjanje nastavitev kartice (Change Adapter Settings) in odpre se nam seznam omrežnih naprav. 3. Ko smo v seznamu omrežnih naprav pritisnemo tipko Alt, da se nam odpre zgornji menu. Nato v menu-ju izberemo Datoteka (File) -> Nova dohodna povezava (New Incoming Connection). 4. Odpre se nam okno, kjer lahko nastavimo, kdo lahko dostopa do našega strežnika VPN. Priporočljivo je, da ustvarimo novega uporabnika, ki mu dodelimo uporabniško ime, polno ime in geslo. To storimo z klikom na gumb Dodaj (Add someone). 5. Ko zaključimo z dodajanjem uporabnikov, ki imajo dostop do našega strežnika, kliknemo na gumb Naprej (Next), v naslednjem oknu obkljukamo, da se uporabniki lahko povezujejo v omrežje VPN in še enkrat kliknemo na gumb naprej (Next). 6. V naslednjem koraku je potrebno nastaviti želene transportne protokole. Označiti je potrebno vsaj Internet Protocol Version 4 TCP/IPv4, ostale možnosti pa označimo glede na naše potrebe uporabe omrežja VPN. 7. Nato kliknemo na gumb Dovoli dostop (Allow Access) in odpre se nam novo okno z imenom računalnika, na katerem smo postavili strežnik VPN. Ime računalnika potrebujemo za vzpostavitev povezave z omrežjem VPN, zato ga ne smemo pozabiti. Za dokončanje vzpostavitve strežnika kliknemo na gumb Zapri (Close). Po končani namestitvi se nam v oknu mrežne povezave (Network Connections) pojavi nova povezava, Dohodne povezave (Incoming Connections), to je razvidno na sliki

38 Slika 6.9: Dohodne povezave Za vzpostavitev strežnika in odjemalca VPN obstajajo tudi odprtokodni programi, kot je na primer OpenVPN [40]. 6.2 Povezovanje na strežnik VPN Povezovanje iz operacijskega sistema Windows Na strežnik VPN smo se povezali z računalnikom, na katerem je nameščen operacijski sistem Windows XP, v katerem je prav tako že vgrajen strežnik in odjemalec VPN. Za vzpostavitev povezave je potrebno najprej narediti novo povezavo za povezovanje na strežnik VPN. Novo povezavo smo naredili po naslednjih korakih: 1. Najprej smo odprli Nadzorno ploščo (Control Panel) ter dvakrat kliknili na ikono Omrežne povezave (Network Connections). 2. Nato smo kliknili na Ustvari novo povezavo (Create a new connection), da se nam je odprl čarovnik za namestitev nove povezave. 3. V čarovniku najprej kliknemo na gumb Naprej (Next), nato pa izberemo možnost Vzpostavi povezavo z mojim delovnim mestom (Connect to the network at my workplace) in kliknemo Naprej (Next). 4. V naslednjem koraku izberemo možnost VPN povezava (VPN connection) in zopet kliknemo Naprej (Next). 5. Nato vnesemo želeno ime naše povezave (v našem primeru smo dali enako ime, kot je ime računalnika, na katerem je vzpostavljen strežnik), kliknemo Naprej (Next). 6. V naslednjem koraku lahko izbiramo ali želimo ob vzpostavljanju povezave VPN, vzpostaviti še povezavo z našim internetnim uporabnikom ali ne. V našem primeru smo odkljukali to možnost, ker se računalnik ob zagonu sam poveže z internetom in kliknemo Naprej. 28

39 7. Nato je potrebno vnesti samo še naslov IP strežnika, kliknemo Naprej. In na koncu imamo še možnost ali želimo dodati bližnjico povezave na namizje in zaključimo postopek z klikom na gumb Končaj (Finish). Po končani namestitvi je povezava vidna v oknu Omrežne povezave (Network Connections). Povezavo vzpostavimo tako, da dvakrat kliknemo na ikono povezave in odpre se nam okno, ki je razvidno na sliki 6.9. V ustrezna polja vnesemo uporabniško ime in geslo, ki smo jih določili za določenega uporabnika ob namestitvi strežnika in vzpostavimo povezavo. Slika 6.10: Vzpostavljanje povezave VPN Ko kdo izmed uporabnikov vzpostavi povezavo s strežnikom, lahko uporabnik strežnika to vidi in spremlja promet ter tudi prekine povezavo, če to želi. Kako izgleda na strežnem računalniku, ko nekdo vzpostavi povezavo, lahko vidimo na sliki

40 Slika 6.11: Vzpostavljena povezava VPN Povezovanje iz operacijskega sistema Android Na strežnik VPN smo se povezali z mobilno napravo, na kateri je nameščen operacijski sistem Android 5.1. Preden lahko vzpostavimo povezavo VPN, je tudi na mobilnem telefonu potrebno najprej ustvariti novo povezavo. To storimo po naslednjih korakih: 1. Najprej gremo v nastavitve mobilne naprave, nato poiščemo in izberemo več, kjer se nahaja VPN. 2. Ko izberemo VPN, se nam odpre nova stran, ki je prazna (če še nismo uporabljali povezav VPN). 3. Za dodajanje nove povezave izberemo znak + v zgornjem desnem kotu. In odpre se nam novo okno, kjer je potrebno vnesti ime povezave VPN ter IP naslov strežnika na katerega se bomo povezali. Pustimo obkljukano šifriranje in ustvarjanje povezave zaključimo z dotikom na Shrani. Ko naredimo novo povezavo je ta prikazana v zavihku VPN, to prikazuje slika

41 Slika 6.12: Nova povezava Z izbiro povezave se nam odpre okno za vnos uporabniškega imena in gesla, ki ga je ustvaril skrbnik strežnika za določene uporabnike, okno za prijavo je prikazano na sliki Ko zaključimo z vnosom, vzpostavimo povezavo s strežnikom. 31

42 Slika 6.13: Prijava iz operacijskega sistema Android 32

43 7. Primerjava servisov za oddaljen dostop 7.1 Primerjava uporabnosti in zahtevnosti Pri primerjavi uporabnosti in zahtevnosti smo uporabili parametre, ki so za običajne uporabnike najbolj pomembni in tudi najbolj koristni. Tabela 7.1 prikazuje primerjavo uporabnosti in zahtevnosti testiranih orodij. Potrebno je vedeti, da smo vse programe preizkusili v brezplačnih različicah in nekateri izmed teh programov, kot na primer RealVNC so v brezplačni različici zelo okrnjeni in ne ponujajo veliko funkcionalnosti. Zato smo tudi parametre primerjave prilagodili tako, da smo preizkusili čim več takšnih funkcionalnosti, ki so vključene v večino preizkušenih orodij. Tabela 7.1: Primerjava uporabnosti in zahtevnosti orodij TeamWiewer Windows RealVNC LogMeIn VPN Remote Desktop Connection Mobilno DA NE DA DA DA Klepet DA NE NE (samo NE (samo NE plačljive različice) plačljive različice) Dostop iz DA NE DA DA DA različnih OS Več DA DA DA DA NE monitorjev hkrati Več sej DA NE DA DA NE hkrati Prenos DA NE NE (samo NE (samo DA datotek plačljive različice) plačljive različice) Prenos zvoka DA DA NE (samo plačljive različice) NE (samo plačljive različice) NE 33

44 Brezplačna uporaba Povleci in spusti prenos datotek Izognitev NAT protokola Hitrost namestitve Hitrost prenosa datotek (50 MB) Hitrost prenosa datotek (100 MB) DA DA DA (pomanjkanje funkcionalnosti) Samo 14 dni DA DA NE NE (samo NE (samo DA plačljive plačljive različice) različice) DA DA DA DA V našem primeru DA 1 min 13 s Že 44 s 1 min 40 s Že nameščen v nameščen v operacijskih operacijskih sistemih sistemih Windows Windows, potrebna je samo konfiguracija Na oddaljeni Na oddaljeni / / Na oddaljeni računalnik: računalnik: računalnik: 24,77 s 28,27 s 24,63 s Iz Iz Iz oddaljenega oddaljenega oddaljenega računalnika: računalnika: računalnika: 26,33 s 29,66 s 26,04 s Na oddaljeni Na oddaljeni / / Na oddaljeni računalnik: računalnik: računalnik: 44,60 s 54,48 s 48,28 s Iz Iz Iz oddaljenega oddaljenega oddaljenega računalnika: računalnika: računalnika: 50,95 s 1 min 1,61 s 50,22 s 34

45 Sodeč po tabeli 7.1 velikih razlik med orodji ni, razen tega, da je RealVNC v brezplačni verziji zelo okrnjen in zato tudi nekoliko negativno izstopa pri zgornjem testu ter, da je LogMeIn po novem na voljo brezplačno samo v 14-dnevni poizkusni različici, ki tudi ne podpira mnogo opravil. Vendar pa bi po lastnih izkušnjah manjšo prednost pred vsemi dali TeamViewer-ju, ker je za začetnike najlažji za namestitev in uporabo. Med drugim podpira tudi dostop iz različnih operacijskih sistemov, tudi dostop iz mobilnih naprav s sistemom Android. Testirali smo tudi hitrost prenosa datotek v obe smeri, za testiranje smo uporabili datoteko veliko 44 MB. 7.2 Primerjava varnosti Pri primerjavi varnosti smo uporabili parametre, ki so za običajne uporabnike najbolj bistvenega pomena, se pa mora vsak uporabnik oddaljenega dostopa zavedati, da bo sistem toliko varen, kolikor si ga bo sam naredil varnega. V tabeli 7.2 so prikazane primerjave varnostnih zahtev in nastavitev izbranih programov. Šifriranje podatkov pri prenosu Varnostne nastavitve Izklop pri neaktivnosti Zahteva za dovoljenje dostopa Geslo za oddaljeni dostop Vgrajeno šifriranje Tabela 7.2: Primerjava varnosti orodij TeamViewer Windows Remote Desktop Connection RealVNC LogMeIn VPN 256-bitno 128-bitno NE (samo 128-bitno 128- plačljive bitno različice) DA DA NE (samo DA DA plačljive različice) NE DA DA DA NE NE NE NE NE NE DA DA DA DA DA DA DA NE (samo DA DA plačljive 35

46 različice) Protokol UDP/TCP RDP RFB (VNC) SSL/TLS PPTP Pri primerjavi varnosti v tabeli 7.2 opazimo, da so si vsi štirje izbrani programi zelo podobni, negativno izstopa samo RealVNC, ki je v brezplačni različici zelo okrnjen tudi kar se tiče varnosti in varnostnih mehanizmov. Zato je priporočljivo, da se za brezplačno uporabo ne uporablja RealVNC Free, ki je v preteklosti že tako bil velikokrat tarča spletnih napadov. Poleg zgoraj omenjenih štirih servisov za oddaljeni dostop, smo primerjali tudi VPN povezavo, ki se je v našem primeru izkazala za podobno varno kot ostali servisi. 7.3 Podpora operacijskih sistemov Pri podpori operacijskih sistemov smo se osredotočili na Windows in Android, zato smo tudi izbrali programe, ki delujejo na obeh, razen seveda Windows Remote Desktop Connection, ki je na voljo samo za operacijske sisteme Windows. Dodamo naj, da povezave VPN seveda delujejo tudi na ostalih operacijskih sistemih, ne samo v Windows, vendar sta v našem primeru strežnik in odjemalec VPN, ki smo ju ustvarili, že vgrajena v operacijske sisteme Windows in zato naša povezava ne deluje na ostalih sistemih. V tabeli 7.3 je prikazano, katere operacijske sisteme podpirajo izbrani programi. Tabela 7.3: Podpora operacijskih sistemov TeamViewer Windows RealVNC LogMeIn VPN Remote Desktop Connection Windows DA DA DA DA DA Android DA NE DA DA DA Mac OS X DA NE DA DA NE Linux DA NE DA DA NE ios DA NE DA DA NE Blackberry NE NE NE NE NE Windows Mobile NE NE NE DA DA 36

47 8. Zaključek Cilj te diplomske naloge je bil bolje spoznati in preizkusiti oddaljen dostop ter servise za oddaljen dostop do računalnika. Opisali in preizkusili smo servise, ki so med bolj priljubljenimi in znanimi med uporabniki oddaljenega dostopa, obstaja pa seveda še ogromno drugih. Spoznali smo, da za oddaljen dostop do računalnika obstajata dve skupini servisov. Prva je skupina servisov, ki vzpostavijo neposredno povezavo med dvema računalnikoma, druga skupina pa so servisi, ki vzpostavijo povezavo med dvema računalnikoma preko vmesnega strežnika. Za uporabnike je lažja uporaba servisov iz druge skupine, torej, da povezava poteka preko vmesnega strežnika. Ker uporabnikom ni potrebno nastavljati usmerjevalnika in požarnega zidu (v našem primeru ni bilo potrebe po dodatnih nastavitvah. Se pa lahko zgodi, da požarni zid blokira katerega izmed programov in je potrebno v nastavitvah požarnega zidu ta program omogočiti). Skozi izdelavo te diplomske naloge smo spoznali, da je oddaljen dostop zelo pomemben za podjetja, šole, domače uporabnike ter mnoge druge ustanove. Praktično je postal ena vodilnih storitev v svetu računalništva, brez katere si milijoni uporabnikov po svetu ne morejo niti predstavljati njihovega običajnega dne v službi ali doma. Obenem omogoča ljudem in podjetjem prihraniti ogromno časa in stroškov z uporabo storitev oddaljenega dostopa. Torej, glavni prednosti oddaljenega dostopa sta vsekakor prihranek denarja in časa, zato tudi postaja vse bolj priljubljena in razširjena rešitev po svetu. Ima pa ta razširjenost in raznolikost servisov oddaljenega dostopa tudi svoje pomanjkljivosti, ena glavnih je vsekakor varnost. Veliko servisov se uporablja za goljufije in prevare, kljub temu pa se velikokrat zgodi, da so si za vdore krivi uporabniki sami, ker so bili nepazljivi. Skratka, ena glavnih stvari, ki smo se jih naučili v tem diplomskem delu je vsekakor ta, da je sistem varen toliko, kolikor si ga naredimo varnega. Zato je pomembno, da smo pri uporabi oddaljenega dostopa in tudi pri drugih računalniških storitvah, zelo previdni in da ne zaupamo vsakomur. 37

48 Literatura in viri Knjige: [1] A. Limoncelli Thomas, J. Hogan Christina, R. Chalup Strata, The Practice of System and Network Administration, Second Edition, [2] Burgess Mark, Principles of Network and System Administration, Second Edition, Norway, Oslo University College, Spletne strani: [3] Virtual Private Network. Dostopno na : [ ]. [4] Secure shell. Dostopno na: [ ]. [5] Putty. Dostopno na: [ ]. [6] Tectia SSH. Dostopno na: [ ]. [7] Telnet. Dostopno na: [ ]. [8] Dial-up internet access. Dostopno na: [ ]. [9] WindowSecurity. Dostopno na: [ ]. [10] ShowMyPc. Dostopno na: [ ]. [11] Citrix. Dostopno na: [ ]. [12] Cisco WebEx. Dostopno na: [ ]. 38

49 [13] TeamViewer. Dostopno na: [ ]. [14] The remote access site. Dostopno na: [ ]. [15] Skype. Dostopno na: [ ]. [16] Back Orifice. Dostopno na: [ ]. [17] NetBus. Dostopno na: [ ]. [18] Sub7. Dostopno na: [ ]. [19] Remote administration tool. Dostopno na: [ ]. [20] Beast (Trojan horse). Dostopno na: [ ]. [21] Bifrost (Trojan horse). Dostopno na: [ ]. [22] Blackshades. Dostopno na: [ ]. [23] DarkComet. Dostopno na: [ ]. [24] Optix Pro. Dostopno na: [ ]. [25] Remote Access Attack Vectors. Dostopno na: [ ]. [26] Microsoft Active Directory. Dostopno na: [ ]. [27] Radius. Dostopno na: [ ]. [28] LDAP. Dostopno na: [ ]. 39

50 [29] TeamViewer security information. Dostopno na: [ ]. [30] TeamViewer. Dostopno na: [ ]. [31] RSA. Dostopno na: [ ]. [32] AES. Dostopno na: [ ]. [33] VNC user guide. Dostopno na: df [ ]. [34] The Remote Framebuffer Protocol. Dostopno na: [ ]. [35] IPsec. Dostopno na: [ ]. [36] LogMeIn Security. Dostopno na: [ ]. [37] OpenSSL. Dostopno na: [ ]. [38] TeamViewer Security Statement. Dostopno na: [ ]. [39] RealVNC documentation. Dostopno na: [ ]. [40] OpenVPN. Dostopno na: [ ]. 40

51 [41] DSA. Dostopno na: [ ]. 41

52 Smetanova ulica Maribor, Slovenija I Z J A V A O A V T O R S T V U Spodaj podpisani/-a z vpisno številko sem avtor/-ica diplomskega dela z naslovom: Tadej Šetinc E Servisi za oddaljen dostop do računalnikov (naslov diplomskega dela) S svojim podpisom zagotavljam, da: sem diplomsko delo izdelal/-a samostojno pod mentorstvom (naziv, ime in priimek) Doc. dr. Danila Koržeta in somentorstvom (naziv, ime in priimek) so elektronska oblika diplomskega dela, naslov (slov., angl.), povzetek (slov., angl.) ter ključne besede (slov., angl.) identični s tiskano obliko diplomskega dela. soglašam z javno objavo elektronske oblike diplomskega dela v DKUM. V Mariboru, dne Podpis avtorja/-ice:

53 Smetanova ulica Maribor, Slovenija IZJAVA O USTREZNOSTI ZAKLJUČNEGA DELA Podpisani mentor : Doc. dr. Danilo Korže (ime in priimek mentorja) in somentor (eden ali več, če obstajata): (ime in priimek somentorja) Izjavljam (-va), da je študent Ime in priimek: Tadej Šetinc Vpisna številka: E Na programu: Računalništvo in informacijske tehnologije izdelal zaključno delo z naslovom: Servisi za oddaljen dostop do računalnikov (naslov zaključnega dela v slovenskem in angleškem jeziku) Remote desktop services v skladu z odobreno temo zaključnega dela, Navodilih o pripravi zaključnih del in mojimi (najinimi oziroma našimi) navodili. Preveril (-a, -i) in pregledal (-a, -i) sem (sva, smo) poročilo o plagiatorstvu. Datum in kraj: Podpis mentorja: Datum in kraj: Podpis somentorja (če obstaja): Priloga: - Poročilo o preverjanju podobnosti z drugimi deli.«

54 Smetanova ulica Maribor, Slovenija IZJAVA O ISTOVETNOSTI TISKANE IN ELEKTRONSKE VERZIJE ZAKLJUČNEGA DELA IN OBJAVI OSEBNIH PODATKOV DIPLOMANTOV Ime in priimek avtorja-ice: Vpisna številka: Študijski program: Naslov zaključnega dela: Tadej Šetinc E Računalništvo in informacijske tehnologije Servisi za oddaljen dostop do računalnikov Mentor: Doc. dr. Danilo Korže Somentor: Podpisani-a Tadej Šetinc izjavljam, da sem za potrebe arhiviranja oddal elektronsko verzijo zaključnega dela v Digitalno knjižnico Univerze v Mariboru. Zaključno delo sem izdelal-a sam-a ob pomoči mentorja. V skladu s 1. odstavkom 21. člena Zakona o avtorskih in sorodnih pravicah dovoljujem, da se zgoraj navedeno zaključno delo objavi na portalu Digitalne knjižnice Univerze v Mariboru. Tiskana verzija zaključnega dela je istovetna z elektronsko verzijo elektronski verziji, ki sem jo oddal za objavo v Digitalno knjižnico Univerze v Mariboru. Zaključno delo zaradi zagotavljanja konkurenčne prednosti, varstva industrijske lastnine ali tajnosti podatkov naročnika: ne sme biti javno dostopno do (datum odloga javne objave ne sme biti daljši kot 3 leta od zagovora dela). Podpisani izjavljam, da dovoljujem objavo osebnih podatkov, vezanih na zaključek študija (ime, priimek, leto in kraj rojstva, datum zaključka študija, naslov zaključnega dela), na spletnih straneh in v publikacijah UM. Datum in kraj: Podpis avtorja-ice: Podpis mentorja: (samo v primeru, če delo ne sme biti javno dostopno) Podpis odgovorne osebe naročnika in žig: (samo v primeru, če delo ne sme biti javno dostopno)