نوشته‌ها

زیرساخت مناسب دورکاری

زیرساخت مناسب دورکاری


در عصر امروز به طور کلی 3 نوع زیرساخت مناسب برای دورکاری داریم:

  1. Remote Desktop
  2. VPN با Remote Desktop
  3. VDI

باید توجه داشته باشید که تعداد کاربرهای یک سازمان، بزرگی سازمان را مشخص نمی‌کنند. بلکه داده‌های سازمان هستند که نشانگر اندازه، بزرگی و ارزش یک سازمان می‌باشد. به عنوان مثال شاید سازمانی وجود داشته باشد که 3 یا 4 ترابایت داده داشته باشد که آن 3 یا 4 ترابایت به اندازه چندین میلیارد ارزش داشته باشد. پس به هرنحوی که شده این داده‌ها باید حفظ و نگهداری شوند. زیرا با ازدست رفتن آن‌ها شرکت ورشکست شده و عملا بی‌استفاده می‌شود.

از دست رفتن داده‌ها می‌تواند بر اثر ویروس یا باج افزار باشد، Encryption و یا دزدی اطلاعات اتفاق بیفتد. سازمان سریعا متوجه دزدی اطلاعات نمی‌شود و ممکن است دزدی اطلاعات سال‌ها اتفاق بیفتد و یک شرکت دومی راه‌اندازی شده که از داده‌های شرکت اول استفاده کند. سریعا خودش را بالا بکشد و شرکت مادر را نابود کند. پس لازم است برای حفظ امنیت داده‌ها و اطلاعات سازمان تصمیماتی اتخاذ شود تا به این زیرساخت‌ها لطمه‌ای وارد نشود.

تکنیک Remote Desktop

ساده‌ترین و دم‌دست‌ترین روش، تکنیک Remote Desktop است. در این روش به راحتی و با کمترین هزینه در داخل یک مودم عملیات Port Forwarding انجام می‌شود و کاربر نهایی از طریق آن به سرور در داخل سازمان متصل می‌شود. تجهیزات مورد نیاز برای پیاده‌سازی این روش، یک مودم و اینترنت نسبتا خوب با IP ثابت که روی آن Port Forward انجام شود، می‌باشد.

مشکل این روش این است که در عین سادگی خیلی راحت مورد حمله قرار می‌گیرد. چون کاربر نهایی بعد از آنکه Remote Desktop را استفاده می‌کند، مستقیما به سرور نهایی وصل شده و به راحتی می‌تواند اطلاعات را Copy، Past کند، سازمان را آلوده به ویروس‌های مختلف کند و یا کلا همه چیز را Delete و Format کرده و از بین ببرد.

تکنیک VPN با Remote Desktop یا تکنیک VPN و RDP

روش بعدی که نسبت به روش قبل بهتر و هزینه‌برتر است، تکنیک VPN و RDP است. برای پیاده‌سازی این روش به یک Router که VPN را Support کند و یک اینترنت خوب نیاز است. در این روش نیز کاربر نهایی بعد از آنکه به VPN متصل شد، مستقیما با سرور در ارتباط است. سپس به راحتی می‌تواند عمل Copy، Past و هر تخریب دیگری را بدون آنکه مانیتور شود، برای ادمین Visibility داشته باشد را انجام دهد. فرض کنید یک سازمان بنابه دلایلی می‌بایست زیرساخت مناسبی برای دورکاری را فراهم کند تا کاربرهایش دورکاری را انجام دهند. این سازمان از تکنیک دوم استفاده می‌کند و VPNای را راه‌اندازی می‌کند و روی VPN برای کاربرانش اینترنت ارائه می‌دهد.

در این حالت اینترنت هم از سمت کاربر و هم از سمت سازمان استفاده می‌شود. چون کاربر برای متصل شدن به سازمان باید تمام بسته‌هایش را از آن VPN عبور دهد. در نهایت هم سمت خود کاربر اینترنت مصرف می‌شود و هم در سمت خود سازمان. پس این روش هزینه‌بر است. از طرف دیگر اگر کاربر Untrusted باشد و از VPN استفاده کند، می‌تواند از IP Public سازمان سواستفاده‌های مختلفی را انجام دهد. پس اگر ادمین بخواهد روی بسته‌های اینترنتی آن کاربر مانیتور داشته باشد مجبور است از Fire Wall قدرتمند و گرانتری استفاده کند.

VPN چیست؟

امروزه کلمه VPN خیلی مورد استفاده قرار می‌گیرد. ولی در اینجا منظور از VPN، فیلترشکن نیست. بلکه منظور این است که کاربر نهایی در هر کجای دنیا بتواند از طریق پروتکل‌های VPN که انواع و اقسام مختلفی دارند به سازمان متصل شوند. همچنین بتواند همان فضای سازمانی که در داخل آن شرکت به صورت فیزیکی داشت، در خانه و یا در هر مکانی که حضور دارد حس کند و بعد از آنکه VPN را زد و به سازمان متصل شد از RDP یا سرویس‌های دیگر استفاده کند.

امنیت دورکاری با روش VPN با Remote Desktop

پس این روش در مقایسه با روش اول کمی گرانتر است و نیاز به Router و Fire Wall کنترلی دارد تا یک سری محدودیت‌ها اعمال شود و به کاربر اجازه دسترسی به سرورهای محدودی داده شود. با اینکه امنیت این روش نسبت به روش قبل بیشتر است ولی کاربر در نهایت به پورتی که برایش مجاز است ارتباط مستقیم دارد و می‌تواند عمل Copy، Past و… را انجام دهد.

تکنیک VDI

روش سوم تکنیک VDI است. این روش از سیستمی به نام Unifi Access Gateway (UAG) استفاده می‌شود. در این روش همانند روش‌های قبلی از Router و Fire Wall استفاده می‌شود و به جای استفاده از VPN، بعد از پیاده‌سازی VDI از UAG استفاده می‌شود. در این حالت وقتی کاربر بخواهد به سازمان متصل شود می‌تواند از نرم‌افزارهایی مانند Horizon Client استفاده کند و یا به صورت تحت وب به سازمان متصل شود. ولی در اینجا ارتباط مستقیم نیست و کاربر در این سمت با UAG ارتباط دارد و در سمت دیگر UAG سرویس‌هایی که کاربر درخواست داده را در حد تصویر، کیبورد و ماوس به کاربر ارائه می‌دهد.

فرض کنید یک ویندوز 10 در داخل سازمانی که در آن VDI نصب شده است وجود دارد، در این سازمان UAG هم راه‌اندازی شده است. در این حالت هر کاربر به یک آدرس اینترنتی که برای هر کاربر مشخص شده است وارد شده، Username و Password خود را وارد می‌کند و ویندوز 10 برایش باز می‌شود. ولی در داخل این ویندوز 10 کاربر نهایی نمی‌تواند چیزی را Copy، Past کند و فقط تصویر ویندوز 10 را در حد ماوس و کیبورد خواهد داشت.

امنیت دورکاری با روش VDI

در این روش می‌توان کاری کرد که Desktop کاربر به طور کامل رکورد شود و در اختیار ادمین یا حراست سازمان قرار بگیرد. هزینه VDI نسبت به دو روش قبل بالاتر است ولی امنیتی که برای سازمان فراهم می‌کند خیلی چشمگیر است. چون هیچ دیتایی از سمت کاربر رد و بدل نمی‌شود و هیچ حمله‌ای توسط هیچ ویروس باج افزاری صورت نمی‌گیرد و سازمان با خیال راحت می‌تواند تمام Activity کاربر را با Recording دسکتاپ کنترل و بررسی کند. برای راه‌اندازی این روش به یک سرور، یک Router، یک اینترنت مناسب، راه‌اندازی سرویس VDI و در کنار آن راه‌اندازی UAG نیاز می‌باشد.

هم‌چنین به این نکته نیز باید توجه داشت که سازمان می‌تواند بر روی VDI، 2Step Authentication داشته باشد، ارتباطاتش را کاملا Encrypt کند و به طور کلی می‌تواند یک امنیت کاملا وسیع را پیاده‌سازی کند تا کاربرها بتوانند از این زیرساخت دورکاری خیلی راحت استفاده کنند. در این روش بسته به هدف سازمان می‌توان Fire Wall را حذف یا اضافه کرد. اگر VDI در یک محیط ایزوله داخل سازمان راه‌اندازی شود که به هیچ جا دسترسی نداشته باشد و از داخل آن محیط ایزوله با استفاده از یک Router معمولی دسترسی‌های محدودی به کاربران داده شود تا کاربران بتوانند سرویس مورد نظر خود را دریافت کنند. البته توجه داشته باشید که در این حالت تمام Activity کاربر Record می‌شود و اگر بستر Record به خوبی راه‌اندازی شود نیاز به Fire Wall از بین می‌رود، اما برای امنیت بیشتر قطعا به Fire Wall نیاز خواهد بود.

پروتکل دسکتاپ از راه دور یا Remote Desktop چیست؟

پروتکل ریموت دسکتاپ


پروتکل RDP در سال 1998 توسط مایکروسافت معرفی شد. این پروتکل این امکان را به کاربر می‌دهد که برای متصل شدن به یک سرور دیگر به جای اینکه به اتاق سرور مراجعه کند و یا در پشت سیستم مقصد بنشیند از طریق پروتکل Remote Desktop از راه دور به سرور یا سیستم مقصد متصل شده و کارهایش را انجام دهد. پس پروتکل RDP به کاربر این امکان را می‌دهد که از راه دور و از طریق شبکه به سرور یا سیستم مقصد مورد نظر خود متصل شود. اما پروتکل RDP امنیت بسیار پایینی دارد به طوریکه باعث می‌شود سازمان به راحتی Hack شده و به راحتی انواع ویروس‌های مختلف به شبکه سازمان متصل می‌شوند.

نحوه راه‌اندازی دسکتاپ از راه دور

نحوه راه‌اندازی پروتکل RDP به این صورت است که در داخل سیستم مقصد پروتکل RDP فعال شده، IP سیستم بررسی شده و یک User name و Pass word برای آن در نظر گرفته می‌شود. کاربرهای Admin Streator بدون محدودیت می‌توانند به آن متصل شده ولی برای کاربرهای جدید باید User Name و Pass Word تعریف کرده تا بتوانند به آن متصل شوند. در سیستم مبدا نیز کاربر باید نرم‌افزار مربوط به RDP باز کرده و IP مقصد باید وارد شود و با وارد کردن User Name و Pass Word به سیستم مورد نظر متصل می‌شود. البته باید به این نکته توجه شود که در حالت معمول فقط یک نفر در سیستم مقصد می‌تواند Log in کرده و کار کند، البته می‌توان این محدودیت را حذف کرد ولی امنیت ویندوز در این حالت به شدت پایین می‌آید.

مزایای دسکتاپ از راه دور( پروتکل ریموت دسکتاپ)

از RDP برای دورکاری و مدیریت سرویس‌ها و ویندوزهایی که بر روی سرور اصلی راه‌اندازی شده‌اند استفاده می‌شود. به طور کلی پروتکل RDP برای یک شبکه Local مناسب است نه برای یک شبکه Inter Prize. از مزایای RDP می‌توان به راحتی آن و از معایب آن می‌توان به امنیت بسیار پایین آن اشاره کرد.

مقایسه پروتکل‌های VPN و RDP

پروتکل‌های VPN و RDP کاملا موضوعات متفاوتی دارند و قابل مقایسه با هم نیستند. در مرحله اول کاربر از طریق پروتکل VPN به سازمان متصل شده و در مرحله آخر اگر نیاز باشد به سرور یا سیستم دیگری متصل شود از طریق پروتکل RDP این کار را انجام می‌دهد.

اگر VPNای در سازمان وجود نداشته باشد به راحتی می‌توان بر روی مودم سازمان به سیستم مقصد Port Forward کرده  با استفاده از IP پابلیک سازمان به سیستم مقصد متصل شد.

اگر RDPای در سازمان وجود نداشته باشد از طریق VPN به Router سازمان متصل شده و می‌توان از پورتال سازمان، یا یک ویندوز و… استفاده کرد ولی نمی‌توان به سیستم دیگری متصل شد.

ولی با استفاده از هر دوی VPN و RDP، کاربر از طریق VPN با یک اتصال امن به سازمان متصل می‌شود و در صورت نیاز از طریق پروتکل RDP به یک سیستم مقصد متصل می‌شود.

پروتکل RDP سیستم شخصی کاربر را مستقیما به سیستم مقصد متصل می‌کند و کاربر نهایی می‌تواند هر چیزی را به راحتی جابجا کند بدون آنکه ادمین بر این شرایط Visibility داشته باشد. پس پروتکل RDP به دلیل امنیت پایین آن می‌تواند بسیار خطرناک باشد و بهترین جایگزین برای آن راه‌اندازی تکنولوژی VDI و استفاده از UAG می‌باشد.

آیا برای راه‌اندازی VDI به VPN نیاز داریم؟

در تکنیک VDI به VPN نیاز نیست و می‌توان بدون VPN آن را راه‌اندازی کرد. در این روش کاربر در داخل نرم‌افزار Horizon Client خودش آدرس سازمان را وارد کرده وارد یک صفحه‌ای می‌شود و با وارد کردن User Name و Pass Word خودش در نهایت یک ویندوز 10 برایش باز می‌شود که می‌تواند از آن استفاده کند. نکته‌ای که در اینجا وجود دارد این است که بعد از راه‌اندازی UAG در داخل VDI، کاربر ارتباط مستقیم با UAG دارد و UAG سیستم مقصد را برای کاربر فراهم می‌کند تا کاربر بتواند از آن سرویس بگیرد، در این حالت ارتباط مستقیمی بین کاربر و سیستم مقصد وجود ندارد.

در کنار آن سازمان می‌تواند روی دسکتاپ کاربر، Recording را راه‌اندازی کرده و تمام فعالیت‌های کاربر را record کند. هم‌چنین عملیات User Name و Pass Word کاربر می‌تواند دو مرحله‌ای شود و از این طریق سیستم کاربر نمی‌تواند چیزی را وارد ساختار VDI کند و یا از آن خارج کند. در کلام آخر بهتر است به جای RDP از تکنولوژی VDI استفاده شود.

خدمات پروتکل RDP

شرکت نسام می‌تواند نسبت به بودجه سازمان حالت‌های مختلفی از VDI را راه‌اندازی کرده و برای دورکاری آماده کند. و در صورت استفاده از RDP حتما از VPN هم استفاده شود تا مشکلات ناشی از آن کمی کاهش یابد. یک نسخه از RDP نیز وجود دارد که در سرور پیاده‌سازی می‌شود. در این حالت به جای آنکه یک کاربر به طور همزمان به یک سیستم متصل شده و آن را اشغال کند و کاربر دیگری نتواند به طور همزمان به آن سیستم متصل شود، با راه‌اندازی ویندوز سرور و نصب سرویس RDSH که همان RDP است، یک سیستم با ویندوزهای مختلف به 200، 300 کاربر می‌تواند سرویس RDP را ارائه دهد. این روش نیازمند خریداری License می‌باشد.

معایب پروتکل ریموت دسکتاپ( دسکتاپ از راه دور)

از معایب این روش می‌توان گفت که چون همه کاربرها به یک سیستم متصل هستند، اگر اتفاقی برای ویندوز سرور بیفتد ارتباط همه کاربرها قطع شده و Down Time به وجود می‌آید. چون داده‌های همه کاربرها در یک ویندوز قرار گرفته، نگهداری آن‌ها کمی سخت‌تر بوده و کنترل زیادی روی استفاده از CPU و RAM کاربرها وجود ندارد. اما در روش VDI هر کاربر به یک ویندوز 10 مجزا متصل بوده و قطعا همه چیز به راحتی قابل کنترل است.