Мы, ЗА безопасный с…. сервер терминалов!

Терминальный сервер дает возможность удаленной работы пользователям вне зависимости от его географического положения. Для большинства современных компаний это давно не новость. Согласитесь, весьма удобно, когда сотрудники вашей компании имеют доступ к необходимым данным, не зависимо от используемого ими устройства (телефон, компьютер, планшет и т.д.), а так же от того, где они сами в этот момент находятся (при наличии Интернет). Очень часто такая возможность является важной не только для выполнения некоторых рабочих вопросов, но и дает конкурентное преимущество. Самым популярным протоколом для доступа к терминальному серверу является RDP (Remote Desktop Protocol).

Но не смотря на огромное число плюсов, которые предоставляют терминальные технологии, предоставление доступа к терминальному серверу через Интернет может скрывать в себе угрозу взлома, которая может повлечь за собой ряд нежелательных последствий, таких как:

  • утечка информации к конкурентам или иным лицам;
  • банальное вымогательство со стороны злоумышленников, которые обещают предоставить пароль от зашифрованной информации за определенное вознаграждение
  • удаление всей информации с вашего сервера без возможности ее восстановления
  • заражение сервера вирусом или установка на него ботнета с целью рассылки спама или проведения ДДОС атак и других не правомерных операций;

Конечно, удаленную или зашифрованную информацию можно восстановить из резервной копии, если конечно вы ее делаете систематически и не на тот же сервер. Но все это требует трудовых и временных затрат. Да и в случае утечки важных данных третьим лицам с публикацией их в Интернет, вам не поможет никакая резервная копия. А оправдываться перед правоохранительными органами, что это не вы рассылали спам и ДДОС или ваших конкурентов – это очень не приятная процедура.

Наверняка вам интересно: Как происходит процедура взлома? И почему запустив свой сервер, Вы в считанные часы, а порой и минуты превращаетесь в жертву взлома?

Традиционно несанкционированный доступ к серверу злоумышленники получают следующим образом. Вначале с использованием специальных программ – сканеров или используя те же ботнеты постоянно сканируют различные диапазоны IP адресов. Те IP адреса которые так или иначе ответили сканеру, автоматически добавляются в некий список присутствия. Из полученной базы IP адресов другой сканер начинает проверку на наличие открытых портов. При получении отклика от сервера сканер добавляет этот IP-адрес со списком открытых портов в другую базу. Далее идет проверка портов на то, что за сервис за ними скрывается. Найдя сервер терминалов, программа приступает к последнему завершающему этапу - подбор пароля. То, сколько на этой уйдет времени в первую очередь зависит от того, насколько качественно и правильно работает системный администратор.

Как же тогда пользоваться столь удобным сервисом, как терминальный сервер? Очень просто! Если изначально скрыть свой IP адрес от программ-сканеров, то и дальнейшие проблемы с защитой сервера можно минимизировать или вовсе избежать.

Конечно, для защиты канала удаленного доступа к терминальному серверу можно применять различные решения, такие как VPN или proxy-серверы, но не редко proxy-серверы являются платными, а настроить «правильный» VPN могут далеко не все системные администраторы.

Компания Thinstuff предлагает эффективный способ защиты внешнего доступа к серверу терминалов работающего под управлением протокола RDP вне зависимости от типа операционной системы и службы обеспечивающей терминальный доступ, будь то Microsoft Terminal Server или Thinstuff XP/VS Terminal Server. Система защиты терминальных серверов Thinstuff TSX Gateway представляет собой службу обеспечивающую доступ к серверу терминалов по зашифрованному каналу через HTTPS протокол с обязательной установкой сертификатов на клиентские устройства.

Говоря другим языком, Thinstuff TSX Gateway является неким промежуточным сервером с авторизацией по паролю + при наличии сертификата выданного системным администратором и установленным в систему. Клиент, сперва устанавливает соединение с удаленным прокси-сервером, после этого проходит процедуру авторизации и проверку подлинности сертификата и если все прошло удачно, предоставляет доступ клиенту к серверу терминалов, где пользователь проходит уже авторизацию на уровне пользователя удаленного рабочего стола. Таким образом получается, что TSX Gateway инкапсулирует внутрь протокола HTTPS стандартный RDP протокол и соединение устанавливается через 443 порт. Более подробно о продукте TSX Gateway вы можете узнать из описания самого продукт, инструкции пользователя или в компании Thinstuff Россия.