Существуют 3 основных варианта организации удаленного доступа к администрированию оборудования систем радиосвязи. Как правило оборудование TETRA или других систем содержит множество компьютеров и контроллеров, объединенных в локальную сеть, управление которыми ведется с рабочего места администратора - компьютера, на котором установлены нужные сервисные программы.
- Использовать технологию виртуальных сетей (VPN).
- Использовать технологию коллективного доступа.
- Использовать технологию "удаленного рабочего стола"
1. Использовать технологию VPN. Например - OpenVPN, - открытая, бесплатная, доступная на всех платформах, с достаточной степенью защиты.
Недостатки такого подхода проявляются в том, что доступ с удаленного компьютера появляется не только к АРМ администратора, но и ко всем компьютерам локальной сети, в том числе и тем, к которым он не нужен, что требует принятия специальных мер по защите от несанкционированного доступа, усложняет администрирование сети и т.п. Кроме того, если сервисное ПО привязано к компьютеру, то возникает необходимость в приобретении дополнительных экземпляров сервисного ПО для установки на удаленных компьютерах.
2. Использовать технологию коллективного доступа. Например - TeamViewer, - популярная программа.
Недостатки такого подхода проявляются в том, что для доступа необходимо ручное вмешательство оператора на месте (передать код, который меняется от сеанса к сеансу), а также постоянное подключение к интернету, в котором находится сервер программы. Т.е. в корпоротивных сетях без доступа в интернет (с точки зрения безопасности ) такое решение работать не будет.
3. Использовать технологию "удаленного рабочего стола". Например - Remote Desktop Connection, - стандартно присутствующую во всех версиях ОС Windows, на которых как правило и разворачиваются большинство АРМ администратора.
Здесь не нужно использовать какое-либо сторонее ПО, не требуется наличие сервера доступа, степень защиты вполне достаточная.
Для активации удаленного доступа на компьютере АРМ нужно лишь отметить пункт меню
Мой Компьютер - Свойства - Удаленные сеансы - Разрешить удаленный доступ
и затем выбрать (и/или создать) пользователей, которым будет разрешено удаленно подключаться. Надо еще проверить, что Брандмауэр Windows разрешает входящие подключения на порт 3389 (Пуск - Настройка - Панель управления - Брандмауэр - Исключения - Дистанционное управление рабочим столом).
Но здесь есть одна опасность, - при включении в интернет стандартный порт этого сервиса будет просканирован и компьютер если и не подвергнется взлому, то будет сильно загружен атакой извне.
Простым но эффективным средством защиты является ограничение доступа к порту только с определенных IP адресов. К сожалению, стандартными средствами Windows не получается просто администрировать такой доступ.
На помощь приходит небольшая утилита wipfw - портированая под Windows из FreeBSD реализация firewall. Архив содержит драйвер фильтрации ip пакетов, командные файлы запуска/остановки сервиса, конфигурационный текстовый файл с правилами, а также графический интерфейс с таблицей фильтрации. Архив с примером для скачивания.
Для установки и запуска firewall надо просто распаковать архив в удобное место, прописать нужные ip адреса в конфиг-файл и запустить команду install.cmd. Некоторые антивирусные программы могут ругаться на драйвер как на возможный вирус.
Надо только не забывать регулярно чистить log-файлы, которые пишутся этой программой.
Конечно это не единственно возможный вариант, но показавший свою простоту и эффективность на практике.
|