Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Удаленное управление с помощью Web-браузера

PМайк Фратто

Отправляясь в дальнюю дорогу, вы наверняка мечтаете о том, чтобы все содержимое вашего настольного компьютера было всегда под рукой. Вам не приходилось бы мучительно решать проблему, какие приложения загрузить на свой портативный ПК, и беспокоиться о том, чтобы не забыть взять с собой какой-нибудь важный файл.

Для всех, кто часто ездит в командировки, - для пользователей, сетевых администраторов и сотрудников, занятых в службе поддержки, - подобные мечты могут воплотиться в жизнь в виде приложения удаленного управления. Оно позволит им получать доступ к своим настольным компьютерам из любой точки офисного здания и даже с другого конца света.

Однако следует иметь в виду, что, обеспечивая удаленный доступ большой группе пользователей к небольшому числу настольных компьютеров или применяя средства удаленного управления для их обслуживания, вам придется платить за лицензии на все клиентское ПО. Кроме того, вы должны будете контролировать работу соответствующих приложений на всех настольных и переносных компьютерах, с тем чтобы какой-нибудь злоумышленник не проделал "дыру" в системе безопасности вашей сети, подсоединившись через модем к внутренней хост-машине. Эти проблемы могут свести на нет все преимущества работы данным способом.

Лучше попробуйте вместо этого воспользоваться средствами удаленного управления через Web-браузер. Развитие интерактивных технологий и языка Java, ActiveX и наличие разнообразных встраиваемых модулей (plug-ins) позволяет осуществлять удаленное управ-ление с любого ПК, оборудованного Web-браузером.

Традиционные средства удаленного управления обеспечивают эффективную работу с сервером Windows NT Server и его приложениями, передачу файлов между ПК и создание собственного хоста, причем для этого вовсе не обязательна управляющая консоль. Правда, в этом случае придется приобрести необходимое число лицензий на все ваши приложения и, может быть, потратиться на распространение необходимых программных средств среди сетевых администраторов и служб поддержки.

Удаленное управление через Web-браузер идеально подойдет тем пользователям, которым для работы требуется "гибкое" ПО, но они не хотят устанавливать полномасштабное клиентское приложение либо не нуждаются в его функциональных возможностях в полном объеме. Такой вариант вполне приемлем и для служб технической поддержки: время от времени им необходимо устанавливать соединения с пользовательскими настольными компьютерами. ПО простого (thin) клиента занимает минимальный объем памяти, а исполнение основных функций "ляжет на плечи" Web-браузера, уже и так задействованного в системе.

С помощью Web-браузера можно быстро организовать временное удаленное управление через "медленные" коммутируемые каналы. В отличие от своей внушительной "родни" простой клиент имеет размер менее 500 Кбайт и может быть передан через модем менее чем за 2 мин. Однако такой способ имеет и свои ограничения. Это недостаточная защита данных, в частности отказ от "усиленных" методов их шифрования; невозможность осуществлять обмен файлами или сетевыми томами между хост-машинами, а также отсутствие ряда других возможностей.

Как это делается?

Большинство поставщиков средств удаленного доступа через Web-браузер предлагают продукты на базе обоих Web-браузеров - и Netscape Navigator и Microsoft Internet Explorer.

Применяя один из подходов, можно размещать клиентские приложения прямо внутри Web-страниц, чтобы пользователи загружали их на свои машины по мере необходимости. Для продукта pcANYWHERE корпорация Symantec использует именно этот способ, реализуя его при помощи мини-приложений Java и элементов ActiveX. Это дает сразу три преимущества: во-первых, обеспечивает дополнительную защиту благодаря ограничению доступа к соответствующей Web-странице с помощью протокола безопасных соединений (Secure Sockets Layer - SSL); во-вторых, позволяет определять пользователей хостов удаленного управления, которым разрешено устанавливать соединения; в-третьих, обеспечивает более строгий контроль параметров сеанса связи. Прямо внутри Web-страницы, которая содержит Java-приложение или элемент ActiveX, используя язык написания сценариев, можно организовать их запуск на выполнение и присвоение значений любым специальным параметрам пользовательского сеанса.

Средствами продукта pcANYWHERE32 мы создали HTML-файл и добавили к нему элемент удаленного управления ActiveX. В приведенном фрагменте программного кода (см. листинг "Пример HTML-файла с элементом ActiveX") мы сконфигурировали управляющий элемент так, что соединение с локальным корпоративным сервером Isobel осуществлялось только после ввода его имени в качестве параметра процедуры - PAWRem.Con-nect ("Isobel"). Если бы мы не сделали этого, то пользователь имел бы возможность устанавливать соединение с любым доступным хостом pcANYWHERE32 в локальной подсети, что совсем не желательно.

Пример HTML-файла с элементом ActiveX
<p align="center">
<object id="Pawrem" name="Pawrem" data="PAWREM.DLL" classid="clsid:D5EBF06F-9BAF-11D0-B12D-00C04FC39CEA" codebase="PAWREM.DLL" align="baseline" border="0" width="460" height="287">
</p>
<p align="center">
<input type="button" name="BtnConnect" value="Connect" onclick="BtnConnect_OnClick()">
<input type="submit" name="BtnDisconnect" value="Disconnect">
</p>
<script language="VBScript">
<!-
Sub BtnConnect_OnClick


    call PAWRem.Connect("Isobel")

End Sub

Sub BtnDisconnect_OnClick

    call PAWRem.Disconnect()

End Sub

Sub Window_OnLoad()

    PAWRem.CacheFileSize = 15
    PAWRem.EZScrollHotKey = 1
    PAWRem.StartEZZoom = 1
    PAWRem.BlankHostScreen = 1

End Sub

->
</script>

Помимо этого, мы определили значения начальных параметров ActiveX, таких, как размер области для кэширования файлов (в мегабайтах) (PAWRem.CacheFileSize = 15), "гашение" экрана хоста после установления соединения (PAWRem.BlankHostScreen = 1) и использование клавиши Shift для выполнения команды EZScroll (PAWRem.EZScrollHotKey = 1). За исключением размера кэша, пользователь после установления соединения с хостом может менять любой из этих параметров по собственному усмотрению.

Реализация управления при помощи мини-приложений Java требует более тщательной проработки, так как последние могут устанавливать обратные соединения только с тем сервером, с которого они получены. Причем это ограничение не связано с конкретным продуктом, а вытекает из особенностей Java-технологии, и его цель - защита пользователей от "зловредных" программ. В этом случае мини-приложение удаленного управления может устанавливать соединение только с Web-сервером, но не с другими хостами. Если вы пожелаете использовать Java-клиент для доступа к своей настольной системе, вам потребуется персональный Web-сервер для хранения HTML-страницы и мини-приложения Java, что далеко не всегда возможно.

По заявлению фирмы Symantec, к концу года планируется выпуск нового мини-приложения, созданного с помощью пакета JDK 1.1 и способного устанавливать соединения с любым хостом. Если во время работы такое мини-приложение запросит доступ к ресурсу ограниченного доступа (т. е. не к тому серверу, с которого оно получено), пользователь должен будет либо разрешить, либо запретить дальнейшую работу. Для обеспечения безопасности и целостности Java-клиента фирма Syman-tec снабжает свой продукт сертификатом аутентичности VeriSign.

JDK 1.1 позволяет экономить сетевые ресурсы, так как все мини-приложения хранятся в одном файле с расширением .JAR, где также содержатся описания всех классов. Обычно для вызова мини-приложения требуется несколько HTTP-запросов файлов, содержащих Java-классы. В свою очередь, это "съедает" полосу пропускания и увеличивает время ожидания соединения для каждого запроса.

Другой способ реализации удаленного управления заключается в инсталляции простого клиента, например ReachOut Passport фирмы Stac, и последующем запуске его из любого Web-браузера по вашему выбору. С его помощью вы также можете осуществлять удаленное управление своей настольной системой посредством Web-браузера. В этом случае последний предоставляет привычный интерфейс, а лицензирование ПО либо ничего не стоит, либо обходится значительно дешевле, чем применение полнофункционального клиента.

Безопасность

Мысль об относительной легкости, с которой пользователи смогут впускать в корпоративную сеть посторонних, наверняка обеспокоит вас. Что ж, тогда вам придется, как и для всякого сетевого приложения, тщательно продумать способы блокирования возможности управления компьютерами вашей сети через Web. Когда пользователи не слишком озабочены вопросами безопасности, удаленное управление может вызвать множество неприятностей. Если взломщики доберутся до Web-страницы, содержащей приложения удаленного управления, они окажутся на полпути к тому, чтобы проникнуть в вашу сеть. При необходимости запретить удаленное управление вы можете заблокировать соответствующие IP-порты на своем Интернет-маршрутизаторе или межсетевом экране (firewall). Это позволит держать все соединения удаленного управления в пределах "периметра безопасности" вашей сети.

Кроме того, вы можете ограничить доступ к соответствующим Web-страницам средствами протокола SSL или сервера-посредника. С помощью этих средств вы заставите пользователей проходить этап аутентификации до того, как они получат доступ к Web-странице, содержащей пиктограммы нужных соединений. В любом случае вы сделаете необходимый первый шаг к обеспечению безопасности удаленного управления в вашей сети, ограничив доступ к хост-машине. SSL и сервер-посредник также позволят вам шифровать данные для последующей передачи через Интернет.

В отличие от полнофункциональных приложений простые клиенты либо совсем не предоставляют средств шифрования данных, либо предлагают их в урезанном виде. К примеру, в полнофункциональном приложении pcANYWHERE32 от Symantec, помимо собственного метода шифрования, также поддерживается метод RC4 и шифрование открытым ключом. Простые же клиенты этой фирмы поддерживают только собственный метод шифрования Symantec. Если для выполнения задач, требующих особой осторожности, вы захотите использовать удаленное управление через Web-браузер, вам, чтобы обезопасить соединение от "нескромных взоров", придется поискать другое решение.

Для обеспечения аутентификации и шифрования трафика вы можете воспользоваться услугами сервера-посредника VPN Server фирмы Aventail. Мы указали режимы и задали параметры аутентификации и шифрования для всех соединений клиента удаленного управления AutoSocks фирмы Aventail с серверами нашей сети. После установления соединения все сеансы проходили, что называется, без сучка, без задоринки.

Особого рассмотрения заслуживают межсетевые экраны. Удаленное управление посредством простого клиента может быть реализовано таким образом, чтобы ваш Web-мастер мог управлять серверами внутри корпоративной сети. При этом нужно будет установить правила, определяющие, к каким хостам должен направляться пересекающий межсетевой экран трафик, через какие IP-порты он должен проходить, и правила, позволяющие хостам удаленного управления проводить аутентификацию пользовательских соединений. Для трафика Java- и ActiveX-приложений также следует указать правила, разрешающие его пропуск. В случае, если удаленное управление требуется только для демонстрационных целей, можно выделить специальные компьютеры и разрешить устанавливать соединения только с ними. В любом случае следует быть осторожным в предоставлении прав доступа к хостам вашей сети. Чтобы полностью запретить удаленное управление, заблокируйте на своем Интернет-маршрутизаторе или межсетевом экране все входящие и исходящие IP-соединения для соответствующего ПО либо разрешите устанавливать их только определенным IP-хостам.

В настоящее время простые клиенты не предоставляют никаких способов обеспечения безопасности. Если вы намерены разрешить сеансы удаленного управления в вашей сети, то следует всячески обезопасить те рабочие станции, с которыми пользователи могут устанавливать соединения. Для этого, во-первых, обеспечьте аутентификацию на хосте удаленного управления так, чтобы удаленные пользователи обязательно идентифицировали себя. Во-вторых, задайте права доступа в имеющемся на хосте списке пользователей.

С помощью средств пакета pcANYWHERE32 фирмы Symantec мы создали HTML-файл, добавили к нему элемент удаленного управления ActiveX и сконфигурировали его для подсоединения к локальному серверу Isobel.

Два метода доступа

Web-браузеры - и Communicator 4.03 фирмы Netscape Communications и Internet Explorer 4.0 фирмы Microsoft - поддерживают инструментарий JDK 1.1. Однако способы реализации модели обеспечения безопасности в них несколько отличаются. В обоих случаях мини-приложение Java, запрашивающее разрешение на доступ к локальному ресурсу, например к сети или локальному диску, должно иметь цифровой сертификат. Однако его наличие не гарантирует полной безопасности, так как ваши локальные ресурсы оказываются "выставленными на обозрение" посторонним.

При каждой попытке обратиться к ресурсу ограниченного доступа, Netscape Communicator "запрашивает" разрешение у пользователя. Имея его, мини-приложение Java получает доступ к данному ресурсу на время своей работы. По ее завершении или при перегрузке оно вновь должно получить разрешение на пользование ресурсом ограниченного доступа - таким образом, появляется возможность более жесткого контроля за тем, к каким именно ресурсам предоставляется доступ извне. И все-таки, как только кто-нибудь получает доступ к локальным ресурсам, они всегда подвергаются потенциальной опасности.

В Web-браузере фирмы Microsoft ранее использовался другой подход, при котором разрешение запрашивалось только один раз. После его получения доступ предоставлялся ко всем необходимым ресурсам. Однако такое "всеобъемлющее" разрешение могло породить проблемы даже при наличии у мини-приложений цифровых сертификатов. В версии IE 4.0 возможности защиты расширены благодаря тому, что разработчикам разрешено определять права доступа внутри сертификата и запрашивать разрешение на использование сетевого или файлового ввода-вывода. В этом случае пользователь дает каждый раз только однократное, а не всеобъемлющее разрешение.





  
4 '1998
СОДЕРЖАНИЕ

колонка редактора

• На выходные - в XXI век с "Телеком Финланд"

локальные сети

• Не вините во всем сеть

• Сетевые ОС: кому принадлежит будущее?

• Конвертеры среды передачи

• Эффективность экранирования кабельных коробов

• Тестируем DLT-библиотеки среднего уровня

• Взаимодействие Windows NT с другими ОС

корпоративные сети

• Повелители маршрутов

• Российский АТМ. Заметки на марше

• Управление трафиком АТМ

• ADSL поможет АТМ "дойти" до пользователя

• DTP-мониторы для масштабируемых Web-служб

• Оценка эффективности применения ERP-систем

услуги сетей связи

• О качестве телефонной сети общего пользования

• Система WLL на основе технологии FH-CDMA

системы учрежденческой связи

• Отечественные системы локального биллинга

интернет и интрасети

• Интернет в России или Россия в Интернет?

• Будущее Java

• Удаленное управление с помощью Web-браузера

защита данных

• Маршрутизаторы ISDN с функциями межсетевых экранов

• Стабилизаторы напряжения электросети и фильтры

бизнес

• Интервью с вице-президентом компании АМР г-ном Д-Арси Роуч

новые продукты

• Система автоматизации документооборота ЭСКАДО

только на сервере

• ...а CDMA идет!

• Управление трафиком в корпоративных сетях



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх