Предисловие

Ниже перевод английской статьи,
опубликованной несколько дней назад на
сайте SecurityFocus. По моему довольно интересна
по ряду причин: 1) Управляя в терминальном
режиме серверами и рабочими станциями я (почему-то
🙂 никогда не задумывался о возможности
перехвата информации; 2) Статья описывает
ряд инструментов и процессов, интересных
каждому интересующемуся безопасностью,
особенно начинающим. Несогласные идут
лесом и пишут свои варианты 🙂

За дело

Один из вопросов, стоящих перед
администратором Windows сети — как безопасно
управлять удаленными компьютерами? В мире
Linux все решает SSH, этого протокола вполне
достаточно для решения такой  задачи. Благодаря SSH мы не
только можем управлять удаленной станцией
в текстовом терминальном режиме, но и при помощи
туннелирования запустить X-Window и рулить
компьютером уже через него — в графике. И все это,
заметьте, с мощным шифрование, которое
защищает информацию от посторонних глаз.

К сожалению в Windows безопасное управление
не столь элементарно. Почему? Во-первых только
NT Terminal Server, 2000 Server и XP поставляются с
терминальными службами. Во-вторых
программы для удаленного управления для
Windows вообще не шифруют передаваемые данные
или шифруют, но в таком случае стоят как
паровоз.

В предлагаемом мной решении этой проблемы
мы будем пользоваться следующим софтом:

  • VNC — Virtual Network Computing, программа для
    удаленного управления Windows системой. В
    нашем случае VNC будет ядром всего решения.
  • Stunnel — утилита, создающая SSL «туннели»
    для передачи зашифрованных данных. В
    нашем случае она будет прокладывать
    дорогу для протокола VNC.
  • OpenSSL — библиотека с криптографическими
    функциями, при помощи нее можно управлять
    открытыми ключами (генерировать, подписывать.
    отзывать), в нашем случае именно это и
    надо для клиента и сервера. 

Привожу концепцию работы всей системы:

Устанавливаем 

VNC

Качаем отсюда: http://www.uk.research.att.com/vnc/,
устанавливаем на машину, откуда будем
рулить, сервер. Регистрируем (Register VNC Server Service)
и ребутимся, после чего настраиваем
параметры. Главное: задать правильный
пароль и отключить опцию Enable Java Viewer.

Далее грузим клиент и устанавливаем на управляемую
машину. Нужно проверить, могут ли клиент и
сервер соединиться в принципе и продолжить
конфигурацию. Так как VNC сервер по идее
должен иметь связь только с локально
установленной Stunnel, надо добавить в реестр
следующий ключ:

Key: HKEY_LOCAL_MACHINE\Software\ORL\WinVNC3
Name: LoopbackOnly
Type: REG_DWORD
Value: 1

Это позволит только локальному
компьютеру (127.0.0.1) получить доступ к 5900 TCP
порту и оградит VNC от доступа из локальной
сети. Для того, что бы изменения вступили в
силу надо рестартовать сервис.

Stunnel

Следующий шаг — установка утилиты на
клиент и сервер. Качать тут: http://www.stunnel.org/download/binaries.html,
необходимо скачать библиотеки libeay32.dll,
libssl32.dll и положить их в каталог программы.

OpenSSL

Библиотека поставляется в большинстве
Linux’овых дистрибутивов, наверное в основном
из-за того, что библиотека требуется для
работы OpenSSH. Но существует b версия OpenSSL
портированная под MS Windows. Бинарник OpenSSL (openssl.exe)
можно скачать с сайта Stunnel, в каталог
программы нужно доложить те же либы, что и в
предыдущем случае. Дополнительно нужен
конфигурационный файл openssl.conf
и батник ca.bat
для генерирования ключей.

Ключи и сертификаты

Авторитет по сертификатам 🙂  

Начать следует с создания приватного\публичного
ключей и сертификата для третьей стороны,
Certification Authority. Приватный ключ далее будет
использоваться для удостоверения
сертификатов клиента и сервера VNC.
Сертификаn СА будет размещен на всех
серверах и клиентах. Так как приватный ключ
— один из основных элементов системы, его
надо хранить в сухом и прохладном месте, генерировать лучше со сложным паролем. Для
генерации ключей и сертификатов надо
сделать примерно следующее:

C:\progra~1\OpenSSL\ca genca

после этого сертификат можно будет найти в
файле C:\CA\CAcert.pem file, а ключи оставят в
C:\CA\private\CAkey.

VNC сервер

C:\progra~1\OpenSSL\ca server

Результат смотрим в C:\CA\temp\vnc_server:

  • server.key — пара ключей
  • server.crt — серверный сертифика
  • server.pem — server.key + server.crt

VNC клиент

C:\progra~1\OpenSSL\ca client

Подбираем:

  • client.key
  • client.crt
  • client.pem

(Продолжение следует)

Оставить мнение

Check Also

Что можно сделать с iPhone, зная пасскод. Как сливают данные, уводят iCloud и блокируют остальные устройства

Последние несколько месяцев мы много писали о нововведениях в iOS 11. «Теперь-то заживем!»…