Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 44
Вопрос в тему: работающие приложения удалённого доступа к андроиду так и не появились? Человечество утратило знание как писать сервера удалённого доступа?
Про это https://github.com/Genymobile/scrcpy ?
Тестил RuDesktop и Ассистент, они работают с Android, но с ограничениями:
В Ассистенте есть только просмотр экрана и передача файлов и он требует ручного подтверждения доступа, в RuDesktop ситуация получше, но как и Ассистенте без root нет полного управления
anydesk разве не умеет?
В критических ситуациях юзаю Chrome Remote Desktop. Меня спасает
Microsoft Remote Desktop существует много лет, Windows App сейчас
RustDesk (доступно в F-Droid) поддерживает управление телефоном через Accessibility API, должно работать в любой ситуации.
droidVNC-NG
Первое же очевидное решение - ВПН до сервера и работа по rdp внутри безопасного канала.
Это будет лучше чем любое новое закрытое "решение", а накладные расходы на шифрование все равно будут, хоть на транспортном уровне, хоть внутри этого самого решения.
Ах да, ещё требования регуляторов: они могут запретить не-гост, например, или ВПН как таковые...
VPN + RDP — рабочая схема, но она требует сложной настройки безопасности на нескольких уровнях.
И как вы сами сказали, требования регуляторов сейчас требуют решения из "коробки" которые соответствуют требованиям, после Аэрофлота и Неофарма ситуация стала еще острее, теперь для госников или холдингов, лучший расклад если не придется переплачивать вендору за серт ФСТЭКа
Настройка безопасности там одна - ВПН канал, его можно вообще на смарт-токенах сделать и тогда никто без токена не пролезет.
А вот некая новая программа - это новые дыры, о которых ещё не узнал )
Так что тут вопрос не в безопасности, а в продаже этого самого "решения" под соусом безопасности и импортозамещения.
Для подключения точка - точка - впн - безопасное решение. Но вот если это целая корпоративная сеть, куда много чего подключено - то безопасность резко падает. Надо это учитывать)
Да ладно?
Чем подключение "командированный Вася заходит на сервер ГК из Магадана" отличается от "бухгалтерия у нас работает с 1С удаленно"?
Мы не говорим про случай, когда ВПН даёт просто доступ в локалку, в которой терминальный сервер, файлопомойка, рабочие станции с расшаренными дисками c$, сетевые принтеры и прочее такое же.
У нас получается парк устройств, которые потенциально скомпрометированы и слабо контролируются. Хотя я согласен, что идеально разделив доступы и настроив ограничения - можно получить очень хороший уровень безопасности. Из тех атак, методы проведения которых я видел - находим сотрудника с уязвимым софтом или головой, утягиваем у него доступы в впн, сканируем все ПК/устройства внутри сети, ищем уязвимые для повышения привелегий или проведения атаки с их помощью дальше, и так - пока не натворил делов.
Вот если у нас уязвимый сервер, защищённый впн, но все на него ходят - то первым шагом ломается сотрудник, вторым сервер, а третьим - сотрудники которые с ним взаимодействуют с высокими привелегиями.
P.s. я как бы поводу того, что это ВПН лучше - чем непонятная программа, особенно проприетарная - с вами тем не менее полностью согласен)
Mrvpn2 с openid
Rdp для виндовых серверов, nomachine для линукса.
Если на сервер поставить какую нибудь p40/t4 то вообще будет красота по производительности. Хоть етуб в 4к смотри удалённо.
Авторизация как нравится - сертификаты, ключи, пароли, хоть 2fa и ipsec
15 лет полет отличный. Даже в РФ
С настройками проблем никаких вообще..mrvpn2 катится плейбуком за 10 минут.
Nomachine и rdp разворачиваются за час-два с толковыми настройками.
Devolutions поддерживает 2fa из коробки.
Я перепробовал десятки разных тулов удалённого подключения и не нашёл ничего даже отдалённо похожего на RDP.
С точки зрения юзабилити там чаще всего там проблемы с пробросом оборудования на хост, поддержки мониторов, горячих клавиш и буфера обмена. В родном виндовом стеке можно делать ctrl+c/ctrl+v на текст, выделенную картинку или файл. Она сразу понимает какие у меня мониторы и микрофон. Win+буква работает корректно в удалённой системе, а не бесит перепрыгиванием в домашнюю. Почему так сложно поддержать совсем базовый UX? Или "разработчики" подобных систем неспособны собрать минимальный набор требований?
С точки зрения безопасности, часто исходники закрыты, а серверная часть требует связи с материнским кораблём. Это для меня абсолютно дисквалифицирующий фактор. О какой безопасности можно говорить вообще?
Для частного использования Spice работает отлично - 2-3 FHD экрана, и на 4G модеме оно почти не лагает, разве что видео рывками показывает. Пользуюсь уже несколько лет, очень доволен. У него защита никакая, но стандарт отрасли - ipsec (или иной впн), а уже внутри все сервисы, так что не критично.
А вот для многопользовательской терминальной фермы кроме rdp ничего как-то и не завезли. Или анально-закрытое облачное с приличной вероятностью взлома со стороны вендора (сломают облако - считай сломают всех клиентов разом), или решения за миллиарды (которые еще и не работают хорошо без постоянной поддержки вендора), или тормозящие наколенные поделки.
Nomachine хорош, но OLE клипборда нет.
Думал, что проблема преувеличена, но потом с помощью shodan.io увидел, что открытых в Интернет RDP портов - 3,110,255
Современные решения - это какие конкретно?
Какой смысл в этой сгенерированной чатгпт статье? Сказать, что нативные протоколы небезопасны и поголовно переходите на проприетарные anydesk?
"прогрев аудитории" добрался до хабра? :)
Никто не догонит rdp на windows по скорости, т.к ему не надо ждать всей картинки и потом её сживать и передавать.
RDP + Wireguard = быстро и надежно.
Помнится, до того, как я познал WireGuard VPN, был сильно удивлен, как жестко долбятся боты в открытый RDP. Перевешивать его с 3389 порта на другой смысла никакого. Только в связке с VPN
А внутри сети - TightVNC с жесткими правилами доступа
Несколько лет есть в аренде vps с windows server. Ничем не прикрытым 3389 открыт в интернет. Хотя ничего критичного на сервере не запущено, но пока не взломали.
Да, для чего-то более серьезного у меня свой способ защиты rdp.
SSL VPN до DMZ (ipsec, увы, нередко банят, а в некоторых странах типа ОАЭ можно и огрести), в DMZ терминальник с доменной аутентификацией+ MultiOTP, с этого терминальника уже в интранет.
А вот тут отвечу, почему какая-нибудь крупная компания предпочтет купить проприетарное, вместо этой работающей схемы:
Во-первых, ответственность. Если что-то пойдет не так - нужно будет не своего сисадмина по заднице бить, а выкатить претензию вендору, с компенсациями.
Во-вторых, техподдержка: опять же, вместо толкового сисадмина - договор с поставщиком решения, все проблемы на него, и если что-то пойдет не так см.п.1
Ну ещё и локальный закупщик может подарки от вендоров получать, маркетологи на сотрудничество будут ссылаться, безопасники с себя всю ответственность скинут, вот это всё
Да, это всё знакомо. И упомянутые риски использования опенсорса никто не отменял. Однако же упомянутую рабочую связку наблюдал в одной достаточно крупной финансовой компании, и там оно в определённой степени оправдано (используется, в-основном, для выполнения задач в нерабочее время), в случае выхода этой связки из строя максимум придётся доставить свою тушку в офис. Однако, с точки зрения именно ИБ, такая конструкция значительно устойчивее к попыткам НСД, нежели тупо открытый "наружу" RDP.
И да. Для задач, требующих надёжного предоставления удалённого доступа как постоянного внутрикорпоративного сервиса, мы таки используем энтерпрайз продукт, но у нас и возлагаемые на него задачи посерьёзнее.
Нахер нам российские решения? Точнее к чему это ограничение?
Не забудь уточнить сколько из них использует под капотом freerdp, turbo/tigervnc, rustdesk.
Не забудь уточнить кто из них поддерживает несколько пользовательских сессий одновременно. Тимвьюеры, растдески и энидески не нужны
Не забудь уточнить кто из них поддерживает virtualGL или другой способ удаленной отрисовки.
Не забудь уточнить цену.
За пустой ИИ сгенерированный текст маловато минусов.
Кхм. Два ощущения.
Первое - пиво закончилось и статья прервалась так нормально и не начавшись.
Второе - вроде судя по анекдотам профиля автор суровый дядечка, но по тексту какой-то зелёный стажёр.
Не так давно не смог зайти на виндовый сервер. Грешил на провайдеров, но трассировка обрывалась на входе в ДЦ. Потом вспомнил, что уже несколько лет там работает простой скрипт: он считает виндовые события журнала о неуспешных попытках входа и вносит айпишник в чёрный список системного брандмауэра.
Максимально просто и эффективно. Плюс можно нагуглить ещё некоторые настройки винды, уменьшающие вероятность стороннего проникновения. В качестве резервного способа входа на машинке настроен гугловский ремонт десктоп. Так что проблема с RDP походу высосана не знаю даже из чего - нечего там сосать. А в плане эффективности работы на самом жопном интернете это реально хороший протокол.
Возможно здесь найду ответ: rdp через ms gateway, на котором нужно получить ответ от мобильного приложения. Вообще не получается подключиться на linux (remmina, freerdp и все такое). Клиент не ждёт ответа от gateway и пытается пройти дальше. Все возможные настройки (транспорт, таймауты, сертификаты) - мимо. В win работает только начиная с win10. Приходится запускать виртуалку, что кажется overkill. Может кто сталкивался?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Безопасность удалённого доступа: почему RDP и VNC уступают современным решениям