Zvykli jsme si na to, že technologie se mění velmi rychle, ale nástup epidemie byl natolik překvapivý, že ani jindy flexibilní obor IT na ni nestačil adekvátně zareagovat. Postupné zvyšování podílu lidí pracujících z domu, pracovníci v režimu sick days, flexibilní pracovní doba – to vše je technologicky zvládnutelné. Ale situace, kdy se na home office ocitne většina firmy, se stalo pro IT správce či externí dodavatele IT služeb v podstatě „disruptivní“ událostí.
Firemní sítě najednou zcela změnily svou topografii, datový tok začal proudit přes nezabezpečená připojení a z nezabezpečených zařízení a mnoho uživatelů nemělo najednou přístup ke všem potřebným informacím uloženým ve firemní síti. K tomu všemu ztratili IT správci ucelený přístup k firemním uživatelským počítačům a v případě jejich poruch či nefunkčnosti je nyní velmi obtížné získat jiný než vzdálený přístup.
Remote Assistance
Windowsovské počítače umožňují dva odlišné druhy vzdálených spojení na bázi RDP (remote desktop protocol) – remote desktop a remote assistance. Obě spojení jsou si podobná a IT administrátoři využívají k vytvoření vzdáleného spojení obou způsobů, ale motivace k jejich využití a bezpečnostní nároky se liší. IT správci využívají způsobu remote assistance zejména v případě technické podpory. Uživatel PC pozve technického pracovníka ke vzdálenému připojení, aby mohl prověřit funkci uživatelského počítače a provést úpravy, popřípadě vyřešit problémy. Bez pozvání a jeho přijetí se technik do vzdáleného stroje zalogovat nemůže.
Pokud to nastavení počítače dovoluje, vzdálený uživatel umožní sdílet svůj počítač s technickým pracovníkem, který pak může přistupovat k jeho souborům, otevírat je a vkládat nová data s pomocí své klávesnice a myši. Tato funkce je nesmírně užitečná zejména v případech, kdy administrátor musí na dálku řešit problémy, součástí kterých je kontrola registrů nebo skenování počítače. S remote assistance vidí jak uživatel, tak správce stejnou obrazovku a jsou spolupracujícími účastníky procesu.
Remote Desktop
Se standardním Windows připojením remote desktop se obrazovka na uživatelském počítači naopak uzamkne, jakmile se naváže spojení. To znamená, že obrazový výstup je viditelný pouze na vzdáleně připojeném počítači. Remote desktop umožňuje vzdálenému pracovníkovi získat plný přístup nad počítačem bez ohledu na to, z jaké lokality se k němu přistupuje.
Přestože je vše zobrazováno na vzdáleném stroji, veškeré výpočetní úkony provádí ovládaný počítač. Vzdálený pracovník s pomocí své klávesnice a myši zasílá vstupy a zpět získává obrazový popř. zvukový výstup. Takže když se například někdo tímto způsobem připojí na dálku k jinému počítači, může ukládat soubory na jeho pevném disku. Pokud je ale chce mít k dispozici i na disku svého počítače, musí je přesunout před ukončením spojení.
Spíše než na technickou podporu se spojení remote desktop využívá z důvodu zvýšení produktivity pracovníků, protože umožňuje odkudkoliv propojit jejich počítač s jiným počítačem na pracovišti. S určitým konfiguračním nastavením se mohou propojit i prostřednictvím internetu zcela mimo firemní síť, například z domácí kanceláře. Typickým příkladem je přístup k informacím uloženým na jednom specifickém počítači v kanceláři, ke kterému nemají uživatelé fyzický přístup. Vzdálený přístup je tak nejlepším dostupným řešením.
Bezpečnost vzdálených připojení
Bez ohledu na to, zda se připojujeme s pomocí remote assistance nebo remote desktop, důležitým faktorem je bezpečnost. Při vytváření vzdáleného spojení vzniká řada potenciálních zranitelností, které mohou ohrožovat oba propojené počítače a potažmo také celou firemní síť. Počítač, ke kterému se vzdáleně připojujeme, je pak stejně zabezpečený jako samotné propojení.
Oba zmíněné typy vzdáleného připojení se mohou stát předmětem kybernetického útoku, nicméně v něčem se liší. V případě remote assistance je vždy někdo na druhé straně připojení. U technické podpory se předpokládá, že nebude vystavovat uživatele kybernetickým rizikům, naopak jej lépe ochrání. Uživatel pak musí nejprve pozvat vzdáleného pracovníka k připojení a po celou dobu relace jej může monitorovat.
Remote desktop takovouto kontrolu nemá, dnes je často využíván pracovníky způsobem, který může vést k nebezpečným situacím. Proto se například v poslední době setkáváme se zvýšeným zájmem firem o VPN řešení, které umožňuje zašifrovat propojení a zajistit jeho bezpečnost. Je třeba mít na paměti, že pokud hackeři získají IP adresu počítače, který může vytvářet vzdálená připojení, pak už jen postačí nějak získat přihlašovací údaje. Proto je navíc důležité mít vytvořená pravidla pro správu přístupu, aby slabá uživatelská hesla nezvyšovala rizika útoku.
Nároky na specializovaná řešení
Pro správu vzdáleného přístupu existují specializovaná řešení, populární u poskytovatelů řízených služeb je například SolarWinds Take Control, známý je také TeamViewer. Kvalitní řešení správy vzdáleného přístupu obsahují základní i pokročilé bezpečnostní funkčnosti:
● Schéma Elliptic Curve Diffie-Hellman (ECDH) umožňující bezpečné sdílení mezi dvěma koncovými body
● Schopnost definovat IP adresy s přístupem do daného nástroje
● Standardy pokročilého šifrování dat (AES) 256 při přenosu i mimo něj
● Vícevrstvá autentizace
● Vytváření bezpečných relací
● Automatické mazání schránky po ukončení relace
● Prevence odpojení z důvodu auto-sleep a auto-lock módu či neaktivity
Správa vzdáleného přístupu je jednou z bezpečnostních oblastí, která v důsledku koronaviru rychle nabyla na důležitosti. Je dnes stále častěji nabízena poskytovateli řízených služeb, kteří tímto reagují na potřeby svých zákazníků navazovat bezpečné vzdálené přístupy.
Štěpán Bínek
Článek vyšel v časopisu IT Systems 7-8/2020
