Comments 41
Не могу быстро найти ссылку, но vnc доступ через браузер уже несколько лет продают.
logmein.com к своему домашнему компьютеру? Продвинутый планктон давно юзает у нас в офисе=)
www.ulteo.com/ — платформа для таких дел.
При условии наличия нормального админа- order deny на диапазон IP такого сервиса, и работать он уже не будет.
спасибо, думаю, все зависит от масштабов. в любом случае этому можно противостоять.
еще идеи как это заблокировать приветствуются.
еще идеи как это заблокировать приветствуются.
Блок по IP обходится через передачу данных через анонимные прокси, где-то на хабре видел пример программы для их автоматической проверки и выбора. Минус способа- должен существовать адрес или диапазон адресов, откуда клиент будет брать адреса прокси. В принципе можно кидать на мыло.
Видел в сети топик, посвященный блокировке VoIP, конкретно скайпа. Способ перехвата основан на передающейся в заголовках пакетов информации. Не думаю, что среднестатистический админ будет этим заниматься, да и нагрузка на процессор корпоративного сервера возрастет, но способ возможен.
Блокировать его и установку новых приложений на каждом компе + заблокировать USB (на предмет использования portable-софта). Хотя проще всего, конечно, блокировка по IP. Можно отключить службу поддержки протокола, по которому будет работать сервис. Причем чем экзотичнее он будт, тем проще. HTTP на 80 вряд-ли кто запретит конечно, можно на счет тунеллирования подумать.
Видел в сети топик, посвященный блокировке VoIP, конкретно скайпа. Способ перехвата основан на передающейся в заголовках пакетов информации. Не думаю, что среднестатистический админ будет этим заниматься, да и нагрузка на процессор корпоративного сервера возрастет, но способ возможен.
1. По умолчанию в винде уже есть mstsc — клиент RDP.
Блокировать его и установку новых приложений на каждом компе + заблокировать USB (на предмет использования portable-софта). Хотя проще всего, конечно, блокировка по IP. Можно отключить службу поддержки протокола, по которому будет работать сервис. Причем чем экзотичнее он будт, тем проще. HTTP на 80 вряд-ли кто запретит конечно, можно на счет тунеллирования подумать.
Скорее, не установка, а запуск, установка обычно и так отрезана из-за отсутсвия прав администратора. Я видел очень жесткий конфиг политик в одной организации, и mstsc был разрешен на запуск, так как часто используется именно внутри, для работы, например для 1С или для подключения к удаленным серверам. Просто так его блокировать врядли кто-то будет, а понять что дыра из-за него, можно не сразу.
В том и прелесть моего решения, что весь траффик инкапсулируется в SSL туннель, врядли кто-то будет блокировать 443 порт, он часто нужен для работы. Хотя современные шлюзы типа Forefront TMG умеют инспектировать SSL траффик, мне кажется что в 98 процентах случаев данная лазейка обнаружена не будет.
В том и прелесть моего решения, что весь траффик инкапсулируется в SSL туннель, врядли кто-то будет блокировать 443 порт, он часто нужен для работы. Хотя современные шлюзы типа Forefront TMG умеют инспектировать SSL траффик, мне кажется что в 98 процентах случаев данная лазейка обнаружена не будет.
Ну можно будет установить дозволенный диапазон IP для mstcs и для пакетов на 443 порт, ограничившись внутренней сетью. Тогда и анонимайзеры не помогут, только регулярное спонсирование админа пивом :)
Ну вот когда проект кем нибудь запустится, наберет базу пользователей и по результатам будет ясно, что админы просекли фишку, можно будет думать как это дело обойти.
А пока ключевая аудитория — пользователи с админами среднего качества, которые максимум могут поставить шлюз на kerio/pfsense, настроить НАТ в пару кликов и добавить одноклассников в блэклист.
А пока ключевая аудитория — пользователи с админами среднего качества, которые максимум могут поставить шлюз на kerio/pfsense, настроить НАТ в пару кликов и добавить одноклассников в блэклист.
во-первых с 4м пунктом несколько оптимистично автор написал, запуститься не только программа а также ещё несколько процессов сопутствующих RDP(rdpclip например для работы буффера обмена) и при первом запуске программы (когда создаётся сессия) запускаются некоторое количество процессов которые сожрут больше памяти чем запускаемая программа + будет задержка
во-вторых — захочет человек передать файлы через аську, или что-нибудь распечатать, в получите много проблем, ибо для правильной работы терминальных серверов зачастую надо настраивать не только сервер, но и клиентский компьютер
в-третьих — если вы хоть на чуть-чуть ошибётесь с безопасностью, злоумышленник может собрать учётные данные и личные данные всех людей подключённых к серверу (может быть это паранойа, но в терминальных решениях очень много мест проникновения как ни странно)
в-четвёртых, а вдруг человеку для работы с программами потребуются какие-либо устройства подключенные непосредственно к компьютеру (несколько веб-камер, гарнитуры и.т.п.)
в-пятых, что делать владельцам с не-windows ОС
во-вторых — захочет человек передать файлы через аську, или что-нибудь распечатать, в получите много проблем, ибо для правильной работы терминальных серверов зачастую надо настраивать не только сервер, но и клиентский компьютер
в-третьих — если вы хоть на чуть-чуть ошибётесь с безопасностью, злоумышленник может собрать учётные данные и личные данные всех людей подключённых к серверу (может быть это паранойа, но в терминальных решениях очень много мест проникновения как ни странно)
в-четвёртых, а вдруг человеку для работы с программами потребуются какие-либо устройства подключенные непосредственно к компьютеру (несколько веб-камер, гарнитуры и.т.п.)
в-пятых, что делать владельцам с не-windows ОС
1 — задержка — при плохой сети и/или плохих настройках
2 — RDP позволяет мапить устройства
3 — каждому по виртуальной машине :)
4 — см. 2, но не все устройства можно прокинуть автоматом
5 — man rdesktop
2 — RDP позволяет мапить устройства
3 — каждому по виртуальной машине :)
4 — см. 2, но не все устройства можно прокинуть автоматом
5 — man rdesktop
спасибо
я хорошо знаком со службами терминалов, да и вообще пост переполнен оптимизмом, все очень приблизительно, без подробностей.
давайте по пунктам
>запуститься не только программа а также ещё несколько процессов
да, действительно, однако эти служебные модули совершенно не расходуют процессорное время, а уж лишних 10 мегабайт памяти и подавно не сделает погоды.
>будет задержка
в запуске? это не страшно. в работе? ну это лучше чем ничего, к тому же далеко не так плохо.
>захочет человек передать файлы через аську
это не цель сервиса, поверьте, человек которые сидит без аськи хочет просто ее получить, а прелестях типа передачи файлов он и не мечтает. в любом случае если это так нужно, то можно реализовать
>что-нибудь распечатать
современные ОС windows умеют easyprint, так что проблем с этим не видиться. к тому же, это опять же дополнительная фича, мы все-таки говорим о том, чтобы посидеть вконтаке а не полноценно поработать.
>если вы хоть на чуть-чуть ошибётесь с безопасностью
это решаемо
>вдруг человеку для работы с программами потребуются какие-либо устройства подключенные непосредственно к компьютеру
решаемо, но это не цель сервиса. в голове мысли о дополнительных фичах за отдельную плату (печать, устройства, доступ к файлам и т.п)
>что делать владельцам с не-windows ОС
об этом я если честно думал совсем мало, но как уже написали ниже, rdesktop вполне умеет.
вообще сервис у меня в голове ориентирован пока на винду. в камментах выше была интересная платформа для этого дела, идеи приходят одна за другой ))
я хорошо знаком со службами терминалов, да и вообще пост переполнен оптимизмом, все очень приблизительно, без подробностей.
давайте по пунктам
>запуститься не только программа а также ещё несколько процессов
да, действительно, однако эти служебные модули совершенно не расходуют процессорное время, а уж лишних 10 мегабайт памяти и подавно не сделает погоды.
>будет задержка
в запуске? это не страшно. в работе? ну это лучше чем ничего, к тому же далеко не так плохо.
>захочет человек передать файлы через аську
это не цель сервиса, поверьте, человек которые сидит без аськи хочет просто ее получить, а прелестях типа передачи файлов он и не мечтает. в любом случае если это так нужно, то можно реализовать
>что-нибудь распечатать
современные ОС windows умеют easyprint, так что проблем с этим не видиться. к тому же, это опять же дополнительная фича, мы все-таки говорим о том, чтобы посидеть вконтаке а не полноценно поработать.
>если вы хоть на чуть-чуть ошибётесь с безопасностью
это решаемо
>вдруг человеку для работы с программами потребуются какие-либо устройства подключенные непосредственно к компьютеру
решаемо, но это не цель сервиса. в голове мысли о дополнительных фичах за отдельную плату (печать, устройства, доступ к файлам и т.п)
>что делать владельцам с не-windows ОС
об этом я если честно думал совсем мало, но как уже написали ниже, rdesktop вполне умеет.
вообще сервис у меня в голове ориентирован пока на винду. в камментах выше была интересная платформа для этого дела, идеи приходят одна за другой ))
xrdp позволит к linux присоедениться по RDP протоколу (только не знаю как менять раскладку клавиатуры)
rdesktop есть и с раскладками у него всё в порядке, единственное что не смог я его заставить работать в seamless режиме, как автор предлагает.
я так понял автор имеет ввиду сервер на линуксе, а подключение к нему по рдп
как раз в мане к нему есть ссылка
-A Enable SeamlessRDP. In this mode, rdesktop creates a X11 window
for each window on the server side. This mode requires the Seam‐
lessRDP server side component, which is available from
www.cendio.com/seamlessrdp/. When using this option, you
should specify a startup shell which launches the desired appli‐
cation through SeamlessRDP.
-A Enable SeamlessRDP. In this mode, rdesktop creates a X11 window
for each window on the server side. This mode requires the Seam‐
lessRDP server side component, which is available from
www.cendio.com/seamlessrdp/. When using this option, you
should specify a startup shell which launches the desired appli‐
cation through SeamlessRDP.
идея — все сделать на винде, чтобы запускать виндовый софт, к которому привык пользователь
Как плюс могу написать, что и VNC и RDP можно через примочку к браузеру запускать, даже грузить с удалённого сайта. Для работы первого вроде бы Java Runtime нужен для второго просто установить дополнение
TS Gateway дает возможность «раздавать» приложения через веб-страницуА эта веб-страница разве не эмбеддит ActiveX, который поставить не везде получится?
Вот тут подробно описано что к чему. Кратко:
промахнулся, сорри. Итак, кратко:
На компьютере должна быть установлена программа подключения к удаленного рабочему столу (RDC) версии 6.0. Если у вас установлена более ранняя версия этой программы, при подключении к веб-узлу TS Web Access Вам будет предложено обновить ее.
Должно быть разрешено использование элемента управления Terminal Services ActiveX Client (этот элемент управления ActiveX входит в состав программы RDC 6.0.).
Если на Вашем компьютере установлена ОС Windows Server 2003 или Windows XP, и Вам предлагается запустить элемент управления Terminal Services ActiveX Client, щелкните на строке сообщений, выберите команду Run ActiveX Control и нажмите кнопку Run. После этого обновите страницу в обозревателе.
Если на Вашем компьютере установлена ОС Windows Server 2008 или Windows Vista, и Вы видите предупреждение в области сведений обозревателя Internet Explorer, наведите курсор мыши на сообщение Add-on Disabled и выберите команду Run ActiveX Control. После этого Вы можете получить предупреждение безопасности. Убедитесь, что издателем элемента управления ActiveX является «Microsoft Corporation», и после этого нажмите кнопку Run.
То есть сам компонент уже есть в системе, нужно только согласиться его запускать. Он подписан, так что скорее всего запустится.
На компьютере должна быть установлена программа подключения к удаленного рабочему столу (RDC) версии 6.0. Если у вас установлена более ранняя версия этой программы, при подключении к веб-узлу TS Web Access Вам будет предложено обновить ее.
Должно быть разрешено использование элемента управления Terminal Services ActiveX Client (этот элемент управления ActiveX входит в состав программы RDC 6.0.).
Если на Вашем компьютере установлена ОС Windows Server 2003 или Windows XP, и Вам предлагается запустить элемент управления Terminal Services ActiveX Client, щелкните на строке сообщений, выберите команду Run ActiveX Control и нажмите кнопку Run. После этого обновите страницу в обозревателе.
Если на Вашем компьютере установлена ОС Windows Server 2008 или Windows Vista, и Вы видите предупреждение в области сведений обозревателя Internet Explorer, наведите курсор мыши на сообщение Add-on Disabled и выберите команду Run ActiveX Control. После этого Вы можете получить предупреждение безопасности. Убедитесь, что издателем элемента управления ActiveX является «Microsoft Corporation», и после этого нажмите кнопку Run.
То есть сам компонент уже есть в системе, нужно только согласиться его запускать. Он подписан, так что скорее всего запустится.
Там вроде только про развёртывание серверов, или я невнимательно прочитал?
Я к тому, что у клиента должен быть установлен ActiveX-компонент какой-то, чтобы он мог логиниться на TS
Я к тому, что у клиента должен быть установлен ActiveX-компонент какой-то, чтобы он мог логиниться на TS
Лучше продавай нетбуки с ётой.
Не забывайте, что тот же mstsc можно заблокировать, как и любую другую. Так же во всех серьезных организациях ведется учет сетевой активности пользователя, исходя из которой можно выяснить чем он польуется и заблокировать этот ресурс. В любом случае админ найдет как испортить жизнь юзверю. Но в конечном счете это все зависит от начальства :D
я это понимаю ))
но также мне кажется, что это направление могло бы принести свои плоды, если бы за него взялся более подкованный человек.
суть идеи постепенно трансформируется из «что можно ПОПРОБОВАТЬ продать» в «что МОЖНО продать».
ключевая мысль — не давать пользователю возможность зайти на конкретный сайт с помощью конкретного сервиса, а предоставить почти полную свободу в выборе по для сетевой коммуникации.
когда-нибудь я обязательно подниму эту тему вновь, добавлю подробностей, постараюсь учесть все аспекты, запощу в «идеи для стартапов» и буду ждать инвестора )
но также мне кажется, что это направление могло бы принести свои плоды, если бы за него взялся более подкованный человек.
суть идеи постепенно трансформируется из «что можно ПОПРОБОВАТЬ продать» в «что МОЖНО продать».
ключевая мысль — не давать пользователю возможность зайти на конкретный сайт с помощью конкретного сервиса, а предоставить почти полную свободу в выборе по для сетевой коммуникации.
когда-нибудь я обязательно подниму эту тему вновь, добавлю подробностей, постараюсь учесть все аспекты, запощу в «идеи для стартапов» и буду ждать инвестора )
Товарищи, а разве для этих целей не подойдёт webOS (на хабре был как-то обзор)??
Нормальная идейка! Может стрельнуть…
Sign up to leave a comment.
Идея продажи терминальных сессий