一、引言

我們?cè)O(shè)想有一個(gè)遠(yuǎn)程控制方案:一個(gè)公司要安置這樣一個(gè)IISWeb服務(wù)器，它被放在300里以外。服務(wù)器是寬帶網(wǎng)絡(luò)、有空調(diào)裝置、電力控制裝置三者結(jié)合的個(gè)服務(wù)器中心。這個(gè)網(wǎng)絡(luò)服務(wù)中心既穩(wěn)固又價(jià)錢(qián)合理，但要求客戶(hù)必須完全遠(yuǎn)程控制服務(wù)器，這種控制是隨時(shí)的，而不必要經(jīng)常跑到控制臺(tái)對(duì)服務(wù)器進(jìn)行操作。通常遠(yuǎn)程控制存在若干問(wèn)題，最明顯的是客戶(hù)端機(jī)器和主機(jī)的通信要通過(guò)因特網(wǎng)傳送。這樣交換數(shù)據(jù)可能被黑客嗅探；還有一個(gè)問(wèn)題就是遠(yuǎn)程控制本身漏洞 （例如它開(kāi)放的端口）也會(huì)導(dǎo)致網(wǎng)絡(luò)攻擊。選擇遠(yuǎn)程控制方案最終的目標(biāo)就是要保證作為網(wǎng)關(guān)的你 （僅僅是你）能控制服務(wù)器而不會(huì)導(dǎo)致其他網(wǎng)絡(luò)攻擊。

遠(yuǎn)程控制方案安全原則如下：

確保遠(yuǎn)程控制權(quán)限的安全性

遠(yuǎn)程控制必須能夠預(yù)防非授權(quán)訪問(wèn)。這也就意味著遠(yuǎn)程管理軟件只接受一個(gè)小范圍IP地址的連接，并需要用戶(hù)名和口令的控制。通過(guò)智能卡相客戶(hù)驗(yàn)證的引進(jìn)，遠(yuǎn)程控制安全性進(jìn)一步加強(qiáng)。也可以用一些簡(jiǎn)單、現(xiàn)成的技術(shù)來(lái)增強(qiáng)，如使用非標(biāo)準(zhǔn)端口來(lái)提供服務(wù)或者不顯示服務(wù)旗標(biāo)的一些安全配置手段。

確保遠(yuǎn)程交換數(shù)據(jù)的完整性

在遠(yuǎn)程控制中要防止數(shù)據(jù)丟失，我們必須確保遠(yuǎn)程控制服務(wù)器和客戶(hù)端數(shù)據(jù)傳送的完整性和即時(shí)性 （也就是說(shuō)發(fā)送的數(shù)據(jù)是可靠的且不被重發(fā)）。

確保敏感數(shù)據(jù)傳輸?shù)臋C(jī)密性

對(duì)與遠(yuǎn)程控制，最重要的一點(diǎn)是保證敏感數(shù)據(jù)在因特網(wǎng)傳輸?shù)臋C(jī)密性。這就要防止傳輸?shù)臄?shù)據(jù)報(bào)文不會(huì)被黑客嗅擦。這就要使用強(qiáng)健可行的加密算法進(jìn)行會(huì)話加密。這種加密的優(yōu)點(diǎn)在于:即使攻擊者嗅探到了數(shù)據(jù)。對(duì)嗅探的人也沒(méi)什么用處。

確保事件出志能夠安全審計(jì)

良好的安全審計(jì)能大幅度提高遠(yuǎn)程控制的整體安全性，并將安全隱患和技術(shù)犯罪扼殺于萌芽狀態(tài)。審計(jì)日志的主要作用在于讓管理員了解有哪些人訪問(wèn)了系統(tǒng)，使用了哪些服務(wù)等等。這就要求服務(wù)器對(duì)企圖通過(guò)技術(shù)犯罪入侵的黑霉遠(yuǎn)程控制蹤跡有一個(gè)足夠充分、足夠安全的日志記錄。

二、Windows 2000 遠(yuǎn)程控制的3種安全解決方法

盡管遠(yuǎn)程控制Windows2000有很多種方法。并不是所有的軟件都符合上面的遠(yuǎn)程控制方案安全原則，我們可以通過(guò)組合不同的軟件來(lái)完成我們所需要的遠(yuǎn)程控制解決方案。

下面的一些例子就是通過(guò)對(duì)Windows2000自帶服務(wù)或者第三方軟件組合使用來(lái)達(dá)到安全可靠的遠(yuǎn)程控制。

方法1.Windows2000終端服務(wù)結(jié)合Zebedee軟件的使用

終端服務(wù)是在Windows2000中提供的允許用戶(hù)在一個(gè)遠(yuǎn)端的Windows9000服務(wù)器上執(zhí)行基于Windows的應(yīng)用程序的技術(shù)。終端服務(wù)應(yīng)該是Windows2000服務(wù)器進(jìn)行遠(yuǎn)程管理使用最多的辦法，這和它的使用便利性以及其屬于Windows內(nèi)置的服務(wù)同時(shí)帶來(lái)的其他好處有關(guān)，比如可以使用Windows2000服務(wù)器自帶的認(rèn)證系統(tǒng)。但是這個(gè)終端服務(wù)程序本身有一些缺陷:它無(wú)法對(duì)客戶(hù)連接IP作出限制的機(jī)制；它沒(méi)有明確提出改變?nèi)笔”O(jiān)聽(tīng)端口的辦法；它的日志審計(jì)功能，也就是說(shuō)沒(méi)有日志記錄工具。基于本文開(kāi)頭提到的遠(yuǎn)程控制方案的安全原則，單獨(dú)使用終端服務(wù)并不是很安全的。但我們可以通過(guò)通過(guò)與Zebedee軟件結(jié)合，終端服務(wù)就可以實(shí)現(xiàn)上面的遠(yuǎn)程管理安全需要。 Zebedee的工作原理如下'Zebedee監(jiān)聽(tīng)本地指定的應(yīng)用，將要傳輸?shù)腡CP或UDP數(shù)據(jù)進(jìn)行加密、壓縮；Zebedee客戶(hù)端與服務(wù)器端之間建立了一個(gè)通信隧道；壓縮、加密的數(shù)據(jù)就在這個(gè)通道上進(jìn)行傳輸；可以令多個(gè)TCP或UDP的連接建立在同一個(gè)TCP連接之上。 通常使用Zebedee分以下兩步:

第一步:配置Zebedee的監(jiān)聽(tīng)端口

用到如下的命令:

C:zebedee -s -o server.log

第二步:在客戶(hù)機(jī)上配置監(jiān)聽(tīng)3389端口并且

使它重定向到你服務(wù)器上Zebedee的監(jiān)聽(tīng)端口

用到如下命令:

C:>zededee 3389 serverhost:3389

這樣，Zebedee就開(kāi)始啟動(dòng)，它與終端服務(wù)的結(jié)合使用原理如圖1所示。從圖1中可以看到，當(dāng)開(kāi)啟終端服務(wù)的客戶(hù)端進(jìn)程（目標(biāo)TCP端口:3389）時(shí)，緊接著本地Zebedee客戶(hù)端同時(shí)開(kāi)始截取數(shù)據(jù)包；Zebedee將數(shù)據(jù)加密、壓縮后發(fā)給Zebedee服務(wù)器（這里Zebedee服務(wù)缺省端口11965）；Zebedee服務(wù)器接到后再解壓縮、解密傳遞給服務(wù)器的服務(wù)（服務(wù)端口:TCP:3389）。在這里，服務(wù)器上的終端服務(wù)好像是與本地的終端服務(wù)客戶(hù)端進(jìn)行的連接，但實(shí)際上所有傳遞的數(shù)據(jù)包都經(jīng)過(guò)了一個(gè)加密的隧道。此外，Zebedee還可以通過(guò)配置文件來(lái)實(shí)現(xiàn)身份認(rèn)證、加密、IP地址過(guò)濾以及日志的功能。一個(gè)配置良好的Zebedee和Windows2000的終端服務(wù)相互結(jié)合，可以構(gòu)建一個(gè)十分安全的遠(yuǎn)程管理系統(tǒng)。

鑒于一般終端服務(wù)不提供文件傳輸?shù)墓δ埽孕枰紤]其他的辦法。我們可以使用FTP服務(wù)器。但是FTP服務(wù)器通常被認(rèn)為是不安全的，它也可以通過(guò)Zebedee的加密隧道增強(qiáng)其安全性，方法是直接在終端服務(wù)上傳輸數(shù)據(jù)。這中做法比較麻煩，但Zebedee幫助文件已做了詳細(xì)的說(shuō)明。這里推薦兩個(gè)第三方的解決方案，一個(gè)是Analogx的TSDropCopy（http://www.analogx.com/con-tents/download/system/tsdc.htm），另一個(gè)是WTS-FTP（http；//www.ibexsoftware.com/about.asp） 總的來(lái)說(shuō)，Windows2000終端服務(wù)是一個(gè)最方便和最快捷的方法，但就其本身的安全性來(lái)說(shuō)。我們通過(guò)Zebedee與終端服務(wù)的結(jié)合，可以說(shuō)是實(shí)現(xiàn)了一個(gè)方便、快捷、安全的解決方案。 　　方法2.在SSH上的VNC VNC是一個(gè)類(lèi)似于終端服務(wù)的遠(yuǎn)程管理軟件，和終端不同的地方有以下幾點(diǎn): *VNC是和當(dāng)前正在登錄的用戶(hù)共用同一個(gè)會(huì)話，你可以相當(dāng)前登錄的用戶(hù)同時(shí)操作； *VNC客戶(hù)端適用于不同的平臺(tái)，包括WindowsCE和Java； *VNC能夠限制IP訪問(wèn)； 在客戶(hù)端和服務(wù)端沒(méi)有經(jīng)過(guò)加密。 對(duì)于VNC的這些差別，我們意識(shí)到使用VNC的好處，但如果單獨(dú)使用的話仍然有一些安全隱患。最大的問(wèn)題是VNC的數(shù)據(jù)傳輸沒(méi)有經(jīng)過(guò)加密。我們可以配合使用SSH加密來(lái)彌補(bǔ)這一缺陷。通常使用OpenSSH（http://www.networksimplicity.com/openssh）.OpenSSH是一個(gè)理論上類(lèi)似與Zebedee的軟件。但是它更廣泛的被應(yīng)用于SMTP.HTTP.FTP.POP3和Telnet傳輸數(shù)據(jù)包加密。和Zebedee一樣，它是通過(guò)端口通信隧道，不同的是SSH已經(jīng)成為廣大用戶(hù)公認(rèn)并且廣泛使用的加密協(xié)議。

從概念上來(lái)說(shuō)，OpenSSH轉(zhuǎn)發(fā)數(shù)據(jù)包和Zebedee相似。我們通常可以配置服務(wù)器的監(jiān)聽(tīng)端口（通常OpenSSH缺省端口是22），然后就可以連接到SSH使用的端口。一個(gè)SSH客戶(hù)端實(shí)質(zhì)上是一個(gè)加密的telnet遠(yuǎn)程訪問(wèn)控制提示符。但SSH也能用用樣一個(gè)給其它的協(xié)議連接進(jìn)行加密。我們也有下面兩個(gè)步驟實(shí)現(xiàn)在SSH基礎(chǔ)上的VNC' 第一步:C:>ssh ?L5901:serverhost:5900serverhost 這將創(chuàng)建一個(gè)SSH服務(wù)器端口對(duì)VNC在本地和服務(wù)器數(shù)據(jù)包之間的轉(zhuǎn)發(fā)。 第二步.C:>vncviewer:1 圖2實(shí)際上是一個(gè)VNC會(huì)話通過(guò)SSH加密通道進(jìn)行傳送（這種傳送，通俗說(shuō)來(lái)是在VNC服務(wù)器和客戶(hù)段之間進(jìn)行）。

假如你使用多客戶(hù)平臺(tái)，你能夠使用在SSH基礎(chǔ)上的VNC遠(yuǎn)程控制，因?yàn)閂NC和SSH都支持大多數(shù)常用的操作系統(tǒng)。 方法3:VPN技術(shù)應(yīng)用在 Windows 2000 遠(yuǎn)程控制 我們可以通過(guò)windows2000Serve，自帶管理工具遠(yuǎn)程交互管理，比如客戶(hù)機(jī)可以通過(guò)映射服務(wù)器的驅(qū)動(dòng)器。當(dāng)然也可以使用其他的網(wǎng)絡(luò)服務(wù)達(dá)到遠(yuǎn)程控制。Windows 2000 Server遠(yuǎn)程管理是通過(guò)打開(kāi)連接服務(wù)器的445端口，通過(guò)這個(gè)端口對(duì)交換數(shù)據(jù)進(jìn)行轉(zhuǎn)發(fā)。但是在客戶(hù)和服務(wù)器之間的數(shù)據(jù)沒(méi)有經(jīng)過(guò)加密，這就會(huì)導(dǎo)致一些網(wǎng)絡(luò)惡意嗅探，但是我們可以使用另外一些加密隧道技術(shù)。網(wǎng)絡(luò)隧道技術(shù)指的是利用一種網(wǎng)絡(luò)協(xié)議來(lái)傳輸另一種網(wǎng)絡(luò)協(xié)議，它主要利用網(wǎng)絡(luò)隧道協(xié)議來(lái)實(shí)現(xiàn)這種功能。在這種情況下，有一個(gè)好的解決方案.VPN技術(shù)在Windows2000遠(yuǎn)程控制。它就是利用L2TP隧道協(xié)議來(lái)對(duì)交換數(shù)據(jù)進(jìn)行傳輸。這樣安全性就大大加強(qiáng)。 VPN技術(shù)在Windows2000遠(yuǎn)程控制的應(yīng)用有如下優(yōu)點(diǎn): *VPN致力于為網(wǎng)絡(luò)提供整體的安全性，是性能價(jià)格比比較高的安全方式； *VPN的管理性能提高得很快，就單一廠商的環(huán)境，管理工作站可以直接提供多單元的支持； *VPN使用L2TP加密通道是虛擬專(zhuān)用撥號(hào)網(wǎng)絡(luò)協(xié)議； *VPN能夠限制IP訪問(wèn)； *VPN可以網(wǎng)絡(luò)連接中透明地配置，而不需要修改網(wǎng)絡(luò)或客戶(hù)端的配置。 下面我們要做的工作就是配置一個(gè)遠(yuǎn)程客戶(hù)端與一個(gè)VPNServer之間的連接。 VPN服務(wù)器的配置 首先打開(kāi) 路由和遠(yuǎn)程訪問(wèn)，右擊要配置的服務(wù)器->配置并啟用路由和遠(yuǎn)程訪問(wèn)，根據(jù)說(shuō)明我們能夠創(chuàng)建一個(gè) 虛擬專(zhuān)用網(wǎng)絡(luò)（VPN）服務(wù)器。 注意:VPNServer監(jiān)聽(tīng)的是l723端口，如果不期望別人看到這個(gè)開(kāi)放的端口，我們可以對(duì)客戶(hù)的連接IP地址進(jìn)行限制。 客戶(hù)端的配置 右鍵點(diǎn)擊網(wǎng)上鄰居，選擇屬性。從彈出的窗口中點(diǎn)擊 新建連接。根據(jù)提示，我們完成相關(guān)的設(shè)置并且連接到服務(wù)器上。 完成服務(wù)器和客戶(hù)端的配置之后，我們能看見(jiàn)一個(gè)VPN連接圖標(biāo)。雙擊該圖標(biāo)，根據(jù)提示填入用戶(hù)名和密碼，就能連接到服務(wù)器。這時(shí)就有一個(gè)新的網(wǎng)絡(luò)連接，這種網(wǎng)絡(luò)連接跟我們使用網(wǎng)絡(luò)適配器和光纜直接連接到服務(wù)效果是一樣的，不同的地方就是它是通過(guò)加密通道進(jìn)行傳輸交換數(shù)據(jù)的。 對(duì)于任何網(wǎng)絡(luò)連接，我們要考慮到這樣一個(gè)因素:你所用的網(wǎng)絡(luò)協(xié)議是否帶有包過(guò)濾技術(shù)。注意你的連接有可能被黑客利用，入侵到你的電腦，從而威脅到你的服務(wù)器，進(jìn)而人侵你的內(nèi)部網(wǎng)絡(luò)。這些風(fēng)險(xiǎn)我們不得不考慮到。 通過(guò)VPN，我們能夠遠(yuǎn)程管理服務(wù)器，就像在局域網(wǎng)里面一樣簡(jiǎn)單。由于不正確的配置，可能導(dǎo)致一些安全因素。但是VPN技術(shù)應(yīng)用在Windows2000遠(yuǎn)程控制。是迄今為止最便捷的遠(yuǎn)程控制方案。只要我們正確配置服務(wù)端和客戶(hù)端，安全隱患是可以避免的。 三、其他方法 本文中，我們提到3種行之有效相有安全保障遠(yuǎn)程控制解決方案。當(dāng)然方法不止這些。我們只想借此來(lái)幫助大家了解遠(yuǎn)程管理安全方面值得考慮的因素和解決的方法思路。如果你現(xiàn)在使用一個(gè)遠(yuǎn)程管理工具，你可以檢查一下你的軟件是否滿足了上面所說(shuō)的遠(yuǎn)程管理的安全性需要。如果沒(méi)有，你就需要考慮去找些其他軟件增強(qiáng)它的安全性。使用加密隧道及對(duì)防火墻進(jìn)行合理配置是實(shí)現(xiàn)--個(gè)安全的遠(yuǎn)程管理解決方案的關(guān)鍵。