Решения по удаленному доступу TSplus ШАТЛ
- 13.12.2022
- 1090
Автор
Иван Первицкий (NCSE, VCP, MCSE)
Ведущий системный инженер
Оглавление
- Описание продуктов TSplus ШАТЛ
- TSPlus Remote Access
- TSPlus Remote Work
- TSPlus Advanced Security
- Наш демо-стенд
- Резюме
В нынешних условиях, когда многие именитые поставщики аппаратных решений и ПО перестали продавать свои продукты на территории РФ, все больше и больше вопросов, чем же можно заменить столь привычные и широко используемые у нас в стране продукты:
- MS RDS. Для создания терминальных ферм и удаленного доступа к ним извне;
- Citrix VAD и VMware Horizon. Для создания полноценных сред VDI или доступа к опубликованным приложениям и физическим ПК снаружи через Citrix Gateway.
- Cisco Anyconnect. Для организации Remote Access VPN для удаленной работы с корпоративными ресурсами.
На самом деле, вариантов не так уж и много:
- Искать ключи активации или регулярно продлять триальный период для этих продуктов, в надежде купить полноценные лицензии после возвращения вендора в РФ. Для VMware Horizon и Cisco Anyconnect это еще может быть возможно, а вот для Citrix VAD и MS RDS это проблема, так как ключи требуют удаленную активацию продукта на ресурсах вендора.
- Использовать аналоги, которые все еще доступны в РФ или отечественные решения по организации удаленного доступа. Наибольшей популярностью пользуются решения S-Terra, как замена Cisco Anyconnect. Но при ближайшем рассмотрении, назвать это полноценной заменой становится сложно.
- Использовать opensource решения, которых, как выяснилось, довольно много. Но найти что-то близкое по функционалу и качеству практически невозможно.
Прочитав множество обзоров и протестировав различные варианты предлагаемых и доступных аналогов, мы пришли к выводу, что наиболее полный и в перспективе интересный всем заказчикам продукт существует. Речь далее пойдет о TSPlus и их линейке продуктов для организации удаленного доступа Remote Access, Remote Work и Advanced Security.
Описание продуктов TSplus ШАТЛ
TSPlus Remote Access.
Данное ПО предназначено для того, чтобы полностью заменить собой MS RDS и Citrix Virtual Apps. То есть речь тут идет не о полноценном VDI, когда пользователи подключаются к полноценным ВМ, а о работе в рамках терминального сервера и публикации приложений на веб-портале для последующей работы.
TSPlus Remote Work.
Интересное решение, которое позволяет удаленным пользователям подключаться к своим физическим ПК в офисе. Речь тут не о полноценном VPN, где пользователям могут быть доступны различные корпоративные ресурсы в рамках политик безопасности, а именно о подключении PC-to-PC через безопасное соединение.
TSPlus Advanced Security.
Своего рода надстройка над предыдущими решениями, позволяющая добавить дополнительные функции безопасности в инфраструктуру: поддержка двухфакторной аутентификации (2FA), подключение только с авторизованных устройств, предиктивная защита от программ-вымогателей, списки доступа (ACL) с гранулярным разграничением прав, whitelist/blocklist по ip и гео-принадлежности, защита от перебора учетных записей (brute-force) и другие полезные функции.
Подробнее о TSPlus Remote Access
Архитектура решения довольна проста:
Делается NAT с внешним ip сервиса за внутренним адресом шлюза TS Gateway, который в идеале следует расположить в DMZ (если таковая есть).TS Gateway проксирует запросы на один или множество серверов-брокеров в рамках терминальной фермы.
Отдельно стоит отметить отсутствие необходимости публиковать наружу порт RDP:3389. Все коннекты идут по 443 порту в рамках защищенного соединения. Доступ возможен как через полноценный клиент TSPlus Client, так и через браузер по HTML5. Это позволит минимизировать площадь для потенциальных атак.
С точки зрения взаимодействия пользователей с инфраструктурой TS Plus есть ряд приятных, но не новых функций:
- Перенаправление устройств печати на сторону клиента в рамках сессии. За счет использования TSPlus Print есть возможность отправлять офисные документы на печать на локальный принтер пользователя.
- Запрет или разрешение clipboard (в одну или обе стороны), USB и периферийные устройства.
- Работа только с приложениями, как если бы они были установлены в пользовательском окружении, так и с полноценным рабочим столом в рамках терминальной сессии.
- Кастомизация веб-портала и клиента RemoteApp. Сам портал со списком приложений и доступных терминальных серверов может быть кастомизирован согласно корпоративным стандартам. Также для пользователей может быть создан клиент, который не требует ввода ip/FQDN сервера и учетной записи (все зашито в самом приложении). В этом случае будет не лишним использовать второй фактор аутентификации с использованием пин-кода на клиентском мобильном устройстве.
Шлюз TS Gateway в составе решения имеет встроенный функционал балансировщика, что позволяет равномерно распределить пользовательские сессии по всем брокерам фермы, на основе заданных паттернов загрузки ресурсов. Также TS Gateway будет автоматически проверять состояние серверов-брокеров на предмет Failover/Failback. При отказе каких-либо участников фермы, они более не будут учитываться шлюзом в рамках распределения сессий. После восстановления работоспособности брокера, TS Gateway автоматически распределит нагрузку с учетом нового узла.
Подробнее о TS Plus Remote Work.
Архитектура решения тоже довольна проста, но настроек у продукта сильно меньше, чем и терминального Remote Access. Зато Remote Work можно считать полноценной заменой Remote Access VPN. Удаленный пользователь все так же, через HTML5 или полноценный клиент подключается к шлюзу, далее шлюз передает данные о новом подключении на брокер, а тот в свою очередь направляет пользователя на его рабочий ПК.
В плане настройки все довольно очевидно:
Необходимо добавить офисные ПК по ip/FQDN в консоли Remote Work и сопоставить им пользователей из Active Directory.
Подключение все так же идет на порт HTTPS:443, что избавляет от необходимости публиковать RDP:3389 наружу.
Продукт ставится на любую ОС семейства Windows, от Vista SP2 до Windows Server 2022. Требования к ресурсам сервера-брокера незначительны, что позволяет развернуть Remote Work как на обычном офисном ПК, так и на ВМ.
Единственное очевидное требование – чтобы ПК пользователя в офисе был включен. Для этого можно настроить Wake-On-Lan.
Для обеспечения защищенного подключения, в Remote Work встроен мастер по выпуску и продлению сертификатов Let’s Encrypt. Также доступна двухфакторная аутентификация через Authy, Google Authenticator и Microsoft Authenticator.
Подробнее о Advanced Security.
Данный продукт может быть использован как дополнение к Remote Access и Remote Work, предоставляя большой набор функций по обеспечению безопасности при удаленной работе.
На скрине ниже можно увидеть консоль продукта:
Среди функционала можно заметить следующее:
- Защита от программ-вымогателей. Довольно полезная и актуальная на сегодняшний день опция, которая активируется в пару кликов. Есть два режима работы Ransomware Protection – Static и Dynamic. В первом случае, изменения расширения файлов будет блокироваться с последующим уведомлением администратора. Во втором, будет проводиться анализ на предмет того, как программа будет взаимодействовать с файлами. Таким образом могут выявляться новые штаммы программ-вымогателей. После активации функции Ransomware Protection, вендор рекомендует отвести около 5 дней на самообучение Advanced Protection. За это время, все взаимодействия программ с файлами будут расценены как false positive и автоматически добавлены в whitelist.
- Списки устройств с которых разрешен доступ конечным пользователям. Все устройства автоматически попадают в whitelist в определенном виде (домашние ПК в виде Desktop-PC, а мобильные в виде Android Samsung Galaxy). В дальнейшем администратор может заблокировать любые устройства по имени или MAC-адресу, например, в случае утери или смены пользователем мобильного девайса.
- Списки разрешенных ip-адресов в чистом виде или по гео-признаку. Тоже довольно полезная опция, если есть относительно небольшой штат удаленных пользователей с фиксированными Ip в рамках какой-либо страны.
- Разрешения на файлы и папки. Своего рода надстройка над штатными Windows permissions, вынесенная в консоль Advanced Protection. Администратор может задавать в явном виде права на Read/Write/Modify для пользователя в рамках удаленной сессии.
- Защита от перебора учетных записей, база известных сомнительных ip-адресов, подключение только в определенные часы, система по угрозам и действиям пользователей. Все это встроено в Advanced Protection и действительно работает.
Наш демо-стенд
Мы развернули у себя в компании весь пакет решений TSPlus и можем продемонстрировать вам его работу. Наши инженеры готовы показать весь основной функционал вышеописанных продуктов, а также при желании, развернуть дополнительное ПО:
Remote Support. Для организации функционала HelpDesk и подключения в сессию пользователя.
Server Monitoring. Для мониторинга и траблшутинга серверов, приложений и пользователей.
Если у вас есть какая-либо потребность в организации безопасного удаленного доступа, то вместе с вами, наши инженеры готовы полностью проработать решение под ключ, включая аппаратную, программную часть, лицензирование и работы по внедрению.
Резюме
Конечно, полноценно заменить собой все привычные продукты TSPlus не может, да он и не претендует. Но все необходимое для безопасного удаленного доступа в решениях компании присутствует и действительно работает (проверено нашими инженерами). Проприетарных протоколов, оптимизированных для WAN каналов тут нет (как VMware Blast или Citrix HDX), используется стандартный RDP c перенаправлением порта или HTML5. В каких-то случаях этого может не хватить, особенно при работе с графикой. Но все же, в большинстве кейсов, данные решения могут быть неплохим подспорьем для обеспечения ваших сотрудников всем необходимым для удаленной работы с корпоративными данными.
- Подключение к провайдеру телефонной связи: проблемы и решения
- Настройка и просмотр статистики о вызовах и их качестве в Cisco Unified Communications Manager (CUCM)
- Технологии виртуализации коммутаторов Cisco и Hewlett Packard Enterprise
- Сетевые оверлейные технологии для ЦОД. Часть 2
- Программы становятся важнее железа