Удаленный доступ

• необходимость покупки недешевого оборудования и времени на его доставку;
• зоопарк устройств, на которые необходимо поставить рабочие приложения;
• безопасность.

Citrix Virtual Apps and Desktops как решение для быстрой организации удаленного доступа для сотрудника

Где купить или получить консультацию

Альтернативы

Резюме

• Продуктивность и безопасность работы обеспечить это реально.
• Не нужно нести дополнительные расходы на содержание и обслуживание офиса.
• Работники не тратят много времени на поездки в офис.

Умные решения для конечных точек

• Network-Access-Clients в разрезе VPN организация VPN подключение для Windows, MacOS и Linux с производительностью и функционалом на порядок выше по сравнению со стандартным IPsec клиентским программным обеспечением.
• Портал SSL-VPN предоставляет удаленным пользователям возможность доступа к корпоративным ресурсам путем перехода по URL ссылке и ввода их сетевых учетных данных. Этот вариант оптимален для организации доступа к ресурсам компании, независимо от местоположения пользователя или установленной операционной системы.
• Приложение CudaLaunch предназначено для быстрого развертывания удаленного подключения на BYOD и мобильных устройствах. Доступно для Windows, macOS, iOS и Android.

С чего начать?

Как развернуть решение?

Как применить политики безопасности для удаленных устройств?

Как оптимизируется полоса пропускания во время подключения большого количества сотрудников одновременно?

Где купить или получить консультацию

Можно прийти к заключению о том, что подключение к сети может заставить нас использовать более стандартизированный способ управления терминалами и потоками символов, передаваемых в наши мониторы и оборудование для контроля за терминалами. Цитата из документа Request for Comments 1971 года, в котором предложено создание официального протокола для Telnet важнейшей сетевой технологии для удалённого доступа к машинам через интерфейс командной строки. Хотя он и отличается от современных программ удалённого доступа с графическими интерфейсами, многие из описанных в документе стратегий применимы и сегодня. Основное отличие заключается в том, что современные приложения стремятся быть более платформонезависимыми, что позволяет пользователям подключаться к разным типам операционных систем при помощи одного инструмента.

Нет Windows, нет проблем: история ПО для удалённого доступа уходит корнями в эпоху DOS

Пять распространённых типов ПО удалённого доступа, с которым вы можете столкнутся сегодня

1. Chrome Remote Desktop. Реклама этого инструмента сводится к принципу в стиле Google: если у вас есть веб-браузер, то вы можете получить доступ к компьютеру. И это действительно хорошо реализовано в Chrome Remote Desktop, который присутствует на рынке уже около десятка лет и стал, вероятно, простейшим способом для удалённого доступа к компьютерам.
2. GoToMyPC. Этот инструмент, появившийся примерно в 1998 году, получил огромный успех примерно на рубеже двух веков благодаря вниманию к простоте использования и применялся удалёнными сотрудниками ещё за десяток лет до того, как это стало популярным.
3. Apple Screen Sharing. Хотя у Apple уже давно есть надёжное приложение Remote Desktop, для большинства пользователей оно слишком мощное; многим из нас вполне достаточно встроенного в MacOS инструмента Screen Sharing. Достойной сторонней альтернативой ему является Screens сервиса SetApp. (Лично я пользуюсь Screens.)
4. Remote Desktop Services. У Microsoft тоже есть встроенный инструмент демонстрации удалённого экрана, называющийся Remote Desktop Services. Корнями он уходит аж в Windows NT Server 4.0, выпущенную четверть века назад.
5. TeamViewer. Именно с этим приложением возникли проблемы у ребят из Флориды. Это широко используемый инструмент для демонстрации экрана, обычно используемый отделами ИТ для технической поддержки и удалённого управления. Он получил популярность в последние годы благодаря своей гибкости и простоте использования.

1998

Проблема удалённого доступа в том, что его слишком легко использовать злонамеренно

768%

На правах рекламы

1. Он полностью построен на безагентной модели. Метрики с Windows машин собираются через wmi, с Linux по ssh. На наблюдаемые машины ничего устанавливать не нужно.
2. Система из коробки имеет предустановленный набор метрик, триггеров, оповещений и т.д. То есть она полностью готова к работе сразу, без предварительной настройки.
3. Вся информация хранится и обрабатывается в облаке Veliam, а сама система работает по модели SaaS.
4. 50 объектов мониторинга включены в бесплатный тарифный план.

Поиск и добавление объектов

Выглядит подключение к серверу вот так

Сбор статистических данных

• Базовые метрики по CPU, RAM, дискам;
• Информация об ОС, типе процессора, оперативной памяти, дискам, сетевым адаптерам;
• Список локальных пользователей и их статус (активен, отключен);
• Информация о сетевых папках;
• Список установленного ПО;
• Для серверов будут указаны установленные серверные роли;
• Список остановленных служб с автоматическим запуском;
• История аутентификаций пользователей в системе.

Работа с инцидентами

Подключение к серверу из заявки

Уведомления

1. По электронной почте.
2. Через мессенджер Telegram.

Заключение

1. Простота и скорость настройки. Запустить в работу систему можно за 10 минут. Плюс, не надо следить за самим мониторингом, базой данных и т.д. Все данные хранятся в облаке и там же обрабатываются, что накладывает минимальные системные требования и квалификацию персонала на обслуживание системы.
2. Все базовые метрики, триггеры и уведомления уже настроены. Вам достаточно только скорректировать лимиты, но можно и этого не делать, если устраивают предложенные. Система сразу же начинает работать.
3. Безагентный мониторинг позволяет не трогать целевые хосты вообще. Если вы только тестируете систему, можете сделать это совершенно безболезненно и быстро.
4. Готовая интеграция с HelpDesk системой, которая в том числе может работать с заявками пользователей. Об этом мы вам подробно расскажем в следующей статье.

Подход Veliam к предоставлению удаленного доступа

Удаленный доступ обычных сотрудников

Удаленное подключение пользователя

Удаленный доступ к серверам

Удаленное подключение к серверу

Удаленное подключение к серверу из заявки

Helpdesk система

Работа технической поддержки с заявками

Прямое подключение из заявки

1. отложить на какой-то срок;
2. закрыть;
3. изменить исполнителя;
4. перенести в другой проект;
5. написать сообщение пользователю;
6. приложить файл и т.д.

• Вы можете назначить заявку другому исполнителю и подписаться на изменения по ней, чтобы быть в курсе дальнейших событий.
• Сотрудник, который работает с заявкой, может указать статус Исполняется. У каждого сотрудника может быть только одна такая метка. С помощью этого функционала можно наблюдать за работой персонала и быть в курсе их текущих задач, с которыми они работают в данный момент.

Почему нельзя обойтись без удалённого мониторинга?

• В России поставщик и потребитель почти всегда достаточно далеко находятся друг от друга. Когда вы продали изделие в Сибирь, вы ничего, кроме того, что вам скажет поставщик, о нём не знаете. Ни как оно работает, ни в каких условиях эксплуатируется, ни, собственно, кто там кривыми руками какую кнопку нажал этой информации объективно у вас нет, вы её можете знать только со слов потребителя. Это очень усложняет обслуживание.
• Необоснованные обращения и претензии. То есть ваш заказчик, эксплуатирующий ваше изделие, в любой момент может позвонить, написать, пожаловаться и сказать, что ваша штука не работает, она плохая, она сломалась, приезжайте срочно и чините. Если вам повезло и это не просто не залили расходник, то вы не зря отправили специалиста. Часто бывает так, что полезная работа занимала меньше часа, а всё остальное подготовка командировки, перелёты, проживание, всё это потребовало кучу времени инженера.
• Бывают явно необоснованные претензии, и, чтобы это доказать, нужно отправить инженера, составить акт, обратиться в суд. В результате этого процесс затягивается, и ничего хорошего ни для заказчика, ни для вас это вообще не несёт.
• Споры возникают из-за того, что, например, заказчик неправильно эксплуатировал изделие, заказчик по каким-то причинам имеет на вас зуб и не говорит о том, что ваше изделие работало неправильно, не в тех режимах, которые заявлены в ТЗ и в паспорте. При этом противопоставить ему вы ничего не можете или можете, но с трудом, если, например, ваше изделие как-то ведёт логирование и запись тех режимов. Поломки по вине заказчика это происходит вообще сплошь и рядом. У меня был случай, когда дорогущий немецкий портальный станок сломался из-за наезда на столб. Оператор не делал привязку к нулю, и в результате там станок встал. Причём заказчик совершенно чётко сказал: А мы тут ни при чём. Но логировалась информация, и можно было эти логи поднять и понять, на какой управляющей программе и в результате чего произошёл этот самый наезд. Это спасло очень большие расходы поставщика в связи с гарантийным ремонтом.
• Упомянутые серые схемы сговор с сервисником. Сервисник ездит к заказчику постоянно один и тот же. Ему говорят: Слушай, Коль, давай знаешь как сделаем: ты напишешь, что у нас тут всё поломалось, компенсацию получим, или привезёшь для ремонта какой-то зип. Мы всё это тихой сапой реализуем, деньги поделим. Остаётся либо верить, либо как-то измысливать какие-то сложные пути проверки этих всех умозаключений, подтверждений, что не прибавляет ни времени, ни нервов, и ничего хорошего в этом не происходит. Если вы знакомы с тем, как автосервисы борются с мошенничествами по гарантии и сколько сложностей это накладывает на процессы, то примерно понимаете проблему.

Ну так все же устройства пишут лог, правда? В чём проблема?

Рыночная ниша

Резюме

1. Вот глобальная компания-производитель промышленного холодильного оборудования, используемого в основном в торговых сетях. 10 % дохода компании приносит оказание сервисных услуг по обслуживанию своей продукции. Нужно сократить себестоимость сервисных услуг и вообще дать возможность нормально увеличивать поставки, потому что, если продавать больше, то имеющаяся система сервисного обслуживания не справится. Подключились напрямую к платформе единого сервисного центра, модифицировали пару модулей для нужд именно этого заказчика, получили снижение командировочных расходов на 35 % за счёт того, что доступ к сервисной информации предоставляет возможность выявлять причины выхода из строя без выезда сервисного инженера. Анализ данных за длительные интервалы времени прогнозировать техническое состояние и при необходимости быстро выполнять обслуживание по состоянию. В качестве бонуса увеличилась скорость реакции на запрос: выездов стало меньше, инженеры стали успевать быстрее.
2. Машиностроительная компания, производитель электрического транспорта, используемого во многих городах РФ и СНГ. Как и все, они хотят сократить расходы и при этом прогнозировать техсостояние троллейбусного и трамвайного парков города, чтобы вовремя уведомлять техперсонал. Подключили, создали алгоритмы сбора и передачи технических данных от подвижного состава в единый ситуационный центр (алгоритмы встраиваются непосредственно в систему управления приводами и работают с данными CAN-шины). Удалённый доступ к данным о техническом состоянии, включая доступ в реальном времени к изменяющимся параметрам (скорость, напряжение, передача рекуперированной энергии и др.) в режиме осциллографа, дали доступ к удалённому обновлению прошивки. Результат снижение командировочных расходов на 50 %: прямой доступ к сервисной информации предоставляет возможность выявлять причины выхода из строя без выезда сервисного инженера, а анализ данных за длительные интервалы времени прогнозировать техническое состояние и при необходимости быстро выполнять обслуживание по состоянию, включая объективный анализ нештатных ситуаций. Реализация контрактов расширенного жизненного цикла в полном соответствии с требованиями Заказчика и в установленные сроки. Соответствие требованиям Технического задания эксплуатанта, а также предоставление ему новых возможностей в части контроля характеристик потребительского сервиса (качество кондиционирования, разгон/торможение и т. п.).
3. Третий пример муниципалитет. Нужно экономить электричество и повышать безопасность граждан. Подключили единую платформу для контроля, управления и сбора данных о подключённом уличном освещении, удалённое управление всей инфраструктурой общественного освещения и обслуживание его с единой панели управления, обеспечивающее решение следующих задач. Фичи: затемнение или включение/выключение освещения дистанционно, индивидуально или в группе, автоматическое уведомление городских служб о сбоях в точках освещения для более эффективного планирования ТО, предоставление в реальном времени данных о потреблении энергии, предоставление мощных аналитических инструментов для мониторинга и улучшения системы уличного освещения на основе Big Data, предоставление данных о трафике, состоянии воздуха, интеграция с другими подсистемами Умного города. Результаты сокращение расхода электроэнергии на уличное освещение до 80 %, повышение безопасности для жителей за счёт использования интеллектуальных алгоритмов управления освещением (человек идёт по улице включить ему свет, человек на переходе включить ярче освещение, чтобы его было заметно издалека), обеспечение города дополнительными сервисами (зарядка электромобилей, предоставление рекламного контента, видеонаблюдение и пр.).

• Низким уровнем вхождения и простотой кода (для понимания/отладки другим сотрудником)
• Простые скрипты ROS не создают никакой нагрузки и работают даже на hAP Lite
• Масштабируемость возможность подключения большого количества VPN-шлюзов с целью снижения нагрузки или географического распределения
• Возможность использования Mikrotik CHR в качестве VPN-сервера
• 1хN 1 SMS-шлюз на неограниченное количество роутеров с возможностью расширения при росте нагрузки
• Возможность привязки отдельного роутера к конкретному модему (для чего? об этом позже)
• Использование всего одного php скрипта на удаленном сервере
• Не важно какое устройство инициировало VPN-соединение, авторизация по ссылке из SMS

• Возможность вести log авторизаций сотрудников на сервере (возможность реализована в расширенной версии, если есть интерес выложу)
• Увеличить отказоустойчивость и снижение нагрузки системы путем отправки SMS рандомно с нескольких модемов

Постановка задачи и решение

Задача 1

Задача 2

Задача 3

Логика

1. Пользователь авторизуется с заранее добавленным логином и паролем
2. VPN-шлюз заносит его ip в адресный лист ожидания и отправляет POST запрос на сервер
3. Сервер получает данные, проверяет, формирует код-авторизации и отправляет на контактный номер SMS вида: To autorize user 79001112233 connection open http_://synome.ru/?ruid=vrG7yYMbZ6&auth=YU6zc
4. Пользователь переходит по ссылке с любого устройства
5. Сервер делает запрос на роутер, проверяет наличие в адрес-листе записи с кодом авторизации в комментарии. Если запись найдена, удаляет ее, а пользователю отображает страницу удачной авторизации

Настройка и код

Добавляем на Mikrotik:

Firewall

/ip firewall address-listadd address=10.10.0.1 list=Allow-listadd address=8.8.8.8 list=Allow-listadd address=synome.ru list=Allow-list

/ip firewall rawadd action=drop chain=prerouting dst-address-list=!Allow-list src-address-list=VPN-blocked disabled=no

PPP Profile

/ppp profileadd dns-server=10.10.0.1 idle-timeout=59m local-address=10.10.1.100 name=2F-VPN use-compression=no use-encryption=no use-mpls=no

:global pass "19RuOU89";:global ruid "vrG7yYMbZ6";:local userip [/ppp active get [find name=$user] address];# if phone number stored in comment#:local userphone [/ppp secret get [find name=$user] comment];# if phone number = username:local userphone $user;:local authkey [/tool fetch http-method=post http-data="ruid=$ruid&pass=$pass&tel=$userphone" url="http://personeltest.ru/away/synome.ru/" mode=http as-value output=user];/ip firewall address-list remove [find address=$userip];/ip firewall address-list add address=$userip list=VPN-blocked timeout=1h comment=($authkey->"data");:log info message="User connect:";:log info message=$userphone;:log info message=$userip;:log info message=($authkey->"data");

:local userip [/ppp secret get [find name=$user] remote-address];/ip firewall address-list remove [find address=$userip];:log info message="User disconnect:";:log info message=$user;:log info message=$userip;

PPP Secrets

/ppp secretadd comment="70001112233" name=70001112233 password=testuser profile=2F-VPN remote-address=10.10.1.100

# if phone number stored in comment:local userphone [/ppp secret get [find name=$user] comment];# if phone number = username#:local userphone $user;

Серверная часть на PHP

<?php// ------------------------------------------------------------------------------//  Copyright (с) 2020//  Author: Dmitri Agababaev, d.agababaev@duncat.net////  Copyright by authors for used RouterOS PHP API class in the source code files////  Redistributions and use of source code, with or without modification, are//  permitted that retain the above copyright notice// ------------------------------------------------------------------------------require_once('routeros_api.class.php');// Адрес по которому доступен данный скрипт$host = 'http://synome.ru/';// МАССИВ ДАННХ ВСЕХ РОУТЕРОВ, А ТАКЖЕ РОУТЕРА ЯВЛЯЮЩЕГОСЯ SMS-ШЛЮЗОМ$ruid_data = array(    // роутеры учавствующие в авторизации    // пароль в md5 , глобальный ip-адрес, логин входа на роутер, пароль, SMS-шлюз через который происходит отправка SMS    'vrG7yYMbZ6' => array('mdpass' => '5568ba82f332494d9ff8754b51e7b28a', 'ip' => '10.10.0.1', 'login' => 'user_vpn', 'password' => 'kji&@11az', 'smsgw' => 'SMS_gw1'),    // SMS-шлюзы    // ip-адрес шлюза (глобальный или локальный если в одной сети с сервером), логин, пароль, порт USB-модема, канал USB-модема    'SMS_gw1' => array('ip' => '172.16.1.3', 'login' => 'sms2F', 'password' => 'skIU8w!0', 'port' => 'usb1', 'channel' => '0'));// ВХОДНЕ ПРОВЕРКИ ЗАПРОСОВif (!$_REQUEST) die('Request error'); // если запроса нет  сбросif (!$_REQUEST['ruid']) die('Request error'); // если не указан ruid - сбросif (!array_key_exists($_REQUEST['ruid'], $ruid_data)) die('Request error'); // если роутер не существует  сбросif ($_REQUEST['auth']) autorize(); // если запрос на авторизацию, то пускаем без пароля и проверяем авторизациюif (!ruid_auth()) die('Request error'); // проверяем пароль роутера для отправки SMSif ($_REQUEST['tel']) send_authcode(); // если задан номер телефона, отправляем SMS// ПРОВЕРКА НА НАЛИЧИЕ РОУТЕРА В СПИСКЕ РАЗРЕШЕННХ и пароля авторизацииfunction ruid_auth() {  global $ruid_data;  if (!$_REQUEST['pass']) return false; // если пароль не задан  сброс  // проверяем md5-хэш пароля  if (md5($_REQUEST['pass']) == $ruid_data[$_REQUEST['ruid']]['mdpass']) return true;  return false;}// ФУНКЦИЯ ОТПРАВКИ ССЛКИ С КОДОМ АВТОРИЗАЦИИ ЧЕРЕЗ ROS APIfunction send_authcode() {  global $ruid_data;  global $host;  $sms_gw = $ruid_data[$_REQUEST['ruid']]['smsgw']; // данные sms-шлюза  // генерируем код авторизации  $auth_code = substr(str_shuffle('abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNPQRSTUVWXYZ123456789'), 0, 5);  // подключаем класс  $API = new RouterosAPI();  // Формируем сообщение отправляемое пользователю  только eng или транслит  $message = 'To autorize user '.$_REQUEST['tel'].' connection open  '.$host.'?ruid='.$_REQUEST['ruid'].'&auth='.$auth_code;  // если подключились отправляем SMS  if ($API->connect($ruid_data[$sms_gw]['ip'], $ruid_data[$sms_gw]['login'], $ruid_data[$sms_gw]['password'])) {      // Команда отправки SMS      $ARRAY = $API->comm("/tool/sms/send", array(      "port"=>$ruid_data[$sms_gw]['port'],      "channel"=>$ruid_data[$sms_gw]['channel'],      "phone-number"=>$_REQUEST['tel'],      "message"=>"To autorize user ".$_REQUEST['tel']." connection open  ".$host."?ruid=".$_REQUEST['ruid']."&auth=".$auth_code,));      // если отправка не удалась и получили ошибку модема, то выполняем сброс питания usb для перезагрузки модема      if($ARRAY['!trap']) {        $API->comm("/system/routerboard/usb/power-reset");        die('Stop with error: '.$ARRAY['!trap'][0]['message'].' Making power reset of usb-port');}  }  $API->disconnect();  die($auth_code);}function autorize() {  global $ruid_data;  // подключаем класс  $API = new RouterosAPI();  if ($API->connect($ruid_data[$_REQUEST['ruid']]['ip'], $ruid_data[$_REQUEST['ruid']]['login'], $ruid_data[$_REQUEST['ruid']]['password'])) {    // если подключились отправляем команду    $API->write('/ip/firewall/address-list/print', false);    $API->write('?comment='.$_REQUEST['auth'], false);    $API->write('=.proplist=.id');    // получаем ответ    $ARRAYS = $API->read();    // ЕСЛИ ЗАПИСЬ НЕ СУЩЕСТВУЕТ В АДРЕС-ЛИСТЕ - СБРОС    if (!$ARRAYS[0]) die('Request error');    // удаляем запись    $API->write('/ip/firewall/address-list/remove', false);    $API->write('=.id=' . $ARRAYS[0]['.id']);    $READ = $API->read();  }  $API->disconnect();  // ИНФОРМИРУЕМ ПОЛЬЗОВАТЕЛЯ ОБ УСПЕШНОЙ АВТОРИЗАЦИИ  die('      <html>      <body style="background-color: #282c34; color: #fff; height: 100vh; display: flex;">        <div style="margin: auto; max-width: 50%;">          <p style="font-size: 24pt; font-weight: bold; margin: -300px 0 50px;">            VPN-соединение установлено и авторизовано, можете продолжить работу          </p>          <p style="font-size: 14pt; color: #aaa;">             В случае недоступности сервисов обратитесь к вашему системному администратору<br/>          </p>        </div>      </body>      </html>');}?>