Антон Фадеев

Avatar1

Антон Фадеев, инженер-программист отдела разработки операционных систем ООО "РЕД СОФТ".
С 2017 года - инженер-программист в отделе разработки операционных систем ООО "РЕД СОФТ". В период с 2016 по 2017 год занимался разработкой сетевых сервисов для операционной системы FreeBSD. С 2008 по 2017 гг. занимался администрированием сетей одного из местных операторов связи. В 2011 году закончил Муромский институт Владимирского государственного университета по специальности «Вычислительные машины, системы, комплексы и сети».


Аспекты использования смарткарт в среде терминального доступа

X2Go - одна из реализаций технологий терминального досутпа в среде ОС семейства GNU/Linux. X2Go - открытое кроссплатформенное программное обеспечение удалённого доступа к рабочему столу на основе технологий NX NoMachine. Приложение имеет клиент-сервеврную архитектуру. При работе в терминальной среде часто возникает пробема использования локально подключенной смарткарты. Штатный функционал X2Go не позволяет этого делать. Проведена доработка клиентской и серверной частей сервиса для осуществления проброса смарткарты для работы с ней в терминальной среде.


Тезисы

Введение
Часто в крупных организациях и госструктурах возникают ситуации когда либо нет возможности держать современный парк оборудования, либо, из соображений безопасности, доступ к сети Интернет с клиентских машин невозможен. В этом случае системным администраторам приходит на помощь технологии терминального доступа. Суть их заключается в том, что реальная обработка данных происходит на удалённом сервере, а клиент видит лишь результат этой обработки в виде удалённого рабочего стола. Однако, при использовании данного стека технологий, возникает проблема использования локальных ресурсов пользователя, таких как звуковая система, принтеры, сканеры, различные накопители и смарткарты в удалённой среде. Также стоит отметить, что при работе нескольких пользователей в такой среде, возникает как проблема защиты данных этих пользователей друг от друга, так и проблема защиты этих данных от перехвата по сети.

Проблемы возникающие при использовании терминального доступа
Исходя из выше изложенного, можно обозначить следующие проблемы:

  • Использование локальных ресурсов пользователя.
  • Защита данных от перехвата по сети.
  • Защита данных от действий других пользователей в общей удалённой среде.

В настоящее время существует множество решений для организации удалённой работы, однако ввиду того что для промышленного применения подходят далеко не все, предлагается рассмотреть и оценить преимущества и недостатки некоторых из них.

1. Remote Desktop Protocol (RDP)
Он представляет собой закрытый протокол прикладного уровня, который используется для обеспечения удалённой работы пользователя с сервером, на котором запущен сервис терминальных подключений. Существуют клиенты для ОС Windows, Linux, FreeBSD, Mac OS X, iOS, Android, Symbian.

Данный протокол справляется с обозначенными выше проблемами.

  • Он позволяет использовать локальные ресурсы пользователя, включая смарткарты.
  • Защиту данных от перехвата по сети обеспечивают протоколы SSL и TLS.
  • Защита данных от вмешательства других пользователей обеспечивается средствами ОС в среде которой запущен сервер RDP.

2. Virtual Network Computing (VNC)
Представляет собой систему удалённого доступа к рабочему столу компьютера, использующую протокол RFB (англ. Remote FrameBufer, удалённый кадровый буфер). Управление осуществляется путём передачи нажатий клавиш на клавиатуре и движений мыши с одного компьютера на другой и ретрансляции содержимого экрана через компьютерную сеть. Система VNC платформонезависима. Существующие реализации клиентской и серверной частей могут работать практически на всех операционных системах, в том числе и на Java(включая мобильную платформу J2ME).

Однако данное решение использует устаревшие протоколы шифрования (DES с длиной ключа 56 бит), что не удовлетворяет современным требованиям безопасности и не решает обозначенных проблем.

3. NX NoMachine
Это решение представляет собой проект итальянской компании Medialogic S.p.A. для удаленной работы. Как и в случае проекта VNC, NoMachine клиент-серверную архитектуру. NX сервер работает под управлением Unix-подобных операционных систем. Клиент NX может работать в большинстве версий Microsoft Windows, многих дистрибутивах GNU/Linux и в Sun Solaris 9. Пользовательский интерфейс клиента NX для различных платформ выдержан в одном стиле, что значительно облегчает его использование в различных программных средах. В зависимости от доступного сервера NX клиент может работать по протоколу RDP, VNC или использовать Х-протокол. Для повышения уровня безопасности используется SSH и SSL, что особенно актуально при работе через Интернет. Также существуют свободные реализации технологии NX NoMachine, такие как FreeNX и X2Go.

Таблица 1

Таблица 1. Сравнение решений терминального доступа.

Оригинальный NX NoMachine позволяет справиться с обозначенными проблемами, однако его свободные реализации не позволяют использовать смарткарты, подключенные к ЭВМ клиентов. Это препятствует сотрудникам организаций решать все необходимые задачи, связанные с использованием ЭЦП в терминальных сессиях.

Из таблицы видно, что полноценным функционалом обладают лишь RDP и NX NoMachine, однако данные решения являются проприетарными, что влечёт дополнительные финансовые затраты для организаций. FreeNX является устаревшим продуктом, и больше не поддерживается разработчиками, что также является аргументом против использования его в качестве промышленного решения.

X2Go обладает аналогичным RDP и NX NoMachine функционалом, за исключением перенаправления смарткарт, что делает его привлекательным для использования в крупных организациях и госструктурах. Однако требует доработки, для включения возможности использования локально подключенных носителей ключевой информации.

Заключение
Программный продукт X2Go представляется самым перспективным из открытых решений и позволяет решать все требуемые задачи. В операционной системе «РЕД ОС» эта задача была решена. Теперь клиенты могут получать доступ к локальным смарткартам на сервере X2Go, с использованием дружественного интерфейса пользователя. Также стоит отметить, что клиенты могут находиться за сетевыми экранами, и серверами трансляции адресов.

Организаторы

При поддержке