服务器远程连接安全防护研究

服务器远程连接安全防护研究

作者:admin    来源:未知    发布时间:2019-04-01 11:29    浏览量:
  服务器远程连接的使用,能够有效地连接网络服务器与其他计算机,能够通过远程操作技术实现对系统的控制,收发邮件、查看文件等操作,即使不在电脑的旁边,也能够通过远程连接的方式对电脑中的信息进行读取,方便人们的生活和工作。因此,服务器远程连接安全防护工作有着非常重要的现实意义。 
  1服务器的远程管理技术 
  当下,服务器的远程管理技术主要可以分为两类。一类是带内远程管理技术,这种管理是以某些特定的软件为依托。例如,Windows系统中会自身携带远程桌面连接,同时,市场中还存在一部分公司专门开发远程管理的相关软件。一类是带外远程管理技术,这种管理是以硬件为依托,服务器上会安装远程管理卡从而进行独立工作。 
  1.1带内远程管理技术 
  带内远程管理技术是以软件为依托来实现其功能的。带内远程管理技术可以通过两种方式实现功能,一种是软件中的操作系统中会带有远程管理的功能,另一种是需要在服务器的操作系统中安装市场中存在的管理软件来实现远程连接的功能。远程桌面连接、Telnet、SSH是操作系统中带有远程管理的功能。对远程桌面连接而言,服务器端和客户端在进行连接时,操作不会过于复杂,很多远程服务器的管理功能均能实现。但是当下,很多Windows系统中都会自带远程桌面连接功能,在方便我们工作的同时,也会产生很大的漏洞,给信息的保密性带来威胁,而且其远程管理功能不如专业远程管理软件,还存在很多不足之处。Radmin、VNC和TeamViewer都属于第三方远程管理软件,他们的功能大体上而言是相同的,都能实现远程桌面的连接,对文件的传送、处理,都能发布管理的有关命令,远程管理功能的实现是以服务器和客户端对软件的合理配置为基础的。采用Radmin、VNC和TeamViewer这些第三方软件时,要想进行远程管理,需要额外开出端口进行连接,当管理工作做不到位时,很容易造成远程操作的错误,并产生漏洞,威胁信息的安全。因此,应当选择那些可以更改端口的软件作为远程管理的软件。在实际的使用过程中会发现,一些远程管理软件会被服务器的防火墙识别为病毒,并对其进行相关处理。因此,在使用第三方软件管理服务器时,应当能保证端口可以根据需要进行更改,又能在防火墙中将这些第三方软件筛掉。 
  带内远程管理在使用时较为方便、简单,易于工作人员的操作。但是它会受到操作系统的制约,当操作系统发生问题或者远程管理的进程受到阻碍时,就没有办法与远程服务器相连,阻碍工作的正常开展。 
  1.2带外远程管理技术 
  带外远程管理技术是以硬件服务器为依托的技术。服务器内置的远程管理模块、远程管理控制卡都属于硬件的组成部分。服务器的自主管理单元是内置的远程管理模块和远程管理控制卡。服务器的自主管理�卧�是由三部分组成,分别是单独指令集和数据缓存、专用存储控制器和以太网控制器,这部分是不依赖于其他系统,独立进行工作的。即便是服务器处于关闭的状态时也能够控制服务器的工作,进而进行远程管理。 
  远程处理系统是以IPMI技术为基础的,只有对服务器持续供电,无论何时何地,都能够进行远程管理,与服务器进行连接,同时还能对服务器的工作状况进行记录,遇到问题时发出警报声提醒工作人员的注意。在服务器出现问题时,远程管理的功能不会受到限制,仍然可以实现开关机,并且远程安装程序。内置的远程管理模块是当下较为热门的远程管理。常见的内置远程管理模块有戴尔服务器的1DRAc远程管理卡、IBM服务器的IMM远程管理卡和惠普服务器的iLO远程管理卡。 
  带外远程管理在服务器出现故障时,仍然能够实现对远程管理的目标,但是操作起来并不简单。在服务器处于正常工作的状态时,通过带内远程管理方式,便能够对服务器进行远程连接,实现远程管理。因此,在远程管理时,要将带内远程管理和带外远程管理会结合起来,两者相互补充。当服务器出现问题,操作系统出现毛病时,启动带外远程管理系统。在日常工作时,为了方便管理工作,可以采用带内远程管理系统。 
  2服务器远程连接原理 
  要想通过互联网,将两台计算机进行连接,则需要满足三个条件。一是要满足一种定位。也就是说每台设备要想与其他设备相连,要想找到这个服务器,则标志必须是唯一的确定的。可以通过唯一的识别码识别服务器。二是要满足一种通信规则。与服务器相连接的电脑,二者必须能够进行数据的传输。三是要满足一种软件。服务器上必须存在一种能够被连接的程序,并且此种程序需要持续不断的发出连接的信号。电脑如果需要与服务器相连接,则应当安装软件连接的客户端,同时也要在连接之前发出请求的信号。 
  2.1IP协议 
  在OM模型中,IP协议在网络层产生作用。在网络层中,通过IPv4对目标进行定位。IPv4是由四组二进制的数字构成,通过3个小数点将数字隔开。数字可以任意选择,但是必须在0-255之间,例如136.128.10.6或者27.255.35.23。远程定位目标的实现依赖于IP协议。 
  2.2 TCP协议 
  在OSI模型中,TCP协议在传输层产生作用。通过传输层,能够对差错控制方式进行控制,对TCP、UDP等连接方式进行区分。在进行远程连接的时候,需要确保连接的安全性和稳定性,有必要对差错进行控制,因此,在信号传输的过程中可以选择TCP连接方式。远程连接的建立可以使用协议中的“三次握手”的原则,连接成功是依靠SYN与ACK的传递进行建立的。一旦成功建立起联系之后,应用层的数据则开始进行传输,传输的内容包括IP、端口号、进程IP等本端信息,IP、端口号、服务程序、用户名、密码等对端信息。数据传输和通信的完成依靠的是TCP协议。   2.3远程连接软件 
  会话层、表示层、应用层是远程连接软件的工作范围。服务器的管理员根据实际需要选择合适的远程连接软件,可以采用不同的软件来收集信息数据,但是我们必须保证用户界面和操作方式不能不符合要求。 
  通过上面的描述,我们不难发现,通信的过程是公开的,不能控制的。但是服务器的唯一标识很少被人认识,保密性强。远程连接软件的没有下载权限,任何人都可以根据自身需要自行下载,因此也不便于人们控制。所以,我们应当对远程连接的原理进行较为深入的分析,从而找到更加合理的安全防护的对策。 
  3服务器远程管理软件的安全现状 
  为了方便管理人员对机房的管理,服务器通常选择远程连接进行维护和升级工作,服务器一般都要具备远程管理的功能。Windows远程桌面、Linux的SSH这些都属于操作系统自带的软件,它们能够进行远程管理,同时一些其他软件也能实现远程管理的功能。管理人员在对服务器进行操作的时候,往往不在机房中进行,而是通过服务器远程连接的方式进行控制,因此,在使用的过程中会存在一系列的问题。 
  3.1操作系统自带的远程管理软件 
  一旦服务器将远程管理的功能启动后,则不需要下载安装任何程序、软件,系统中自身携带的远程连接软件服务器即可工作。通过查询服务器的IP地址、端口号、用户名以及密码,找到需要连接的服务器进行连接即可。对IP地址的使用没有限制。IP地址可以是内部网也可以是公共网络的地址。通常情况下,连接和被连接的服务器不在同一个局域网中,在这种情况下如果需要进行远程连接,服务器必须具备公共网络的IP地址。 
  当一些没有经过授权的用户想要利用某种服务器中的资源时,也可以使用上述方式对服务器进行连接。例如,在win-dows 2008R2的服务器,一旦将远程桌面功能打开,那么就会时常收到各种各样的请求。在这个过程中,来访者可能会不停的试探连接的密码和用户名。这就可能造成在很短的时间内会出现大量登录失败的信息,出现类似用户名错误,密码错误,用户名与密码不匹配的情况,也会由于尝试次数过多而达到允许尝试的最大值。这样会导致信息的大量累积,增大系统的资源消耗,导致计算机出现死机的情况,无法发挥出服务器的功能。 
  3.2第三方远程管理软件 
  常用的第三方远程管理软件有XT800和TeamViewer。这两种软件的工作方式大同小异,在没有公网IP以及没有将远程服务的端口的情况下也能完成服务器的连接工作,下面以XT800为例对第三方远程管理软件进行简单介绍。 
  要想使用第三方远程管理软件,则必须确保服务器和需要连接的服务器上都有这种软件。XT800在使用的过程中以其独特的优势备受青睐。在使用的过程中,不需要公网IP以及远程服务的端口,同时也不需要使用防火墙。只要处于联网的状态,服务器管理人员则可以根据需要登录相应的服务器。 
  XT800在对服务器进行定位时,需要输入识别码以及密码。起初,在安装好软件之后会自动生成识别码和密码。识别码是由多个不重复的字符构成,它表明服务器中装有XT800。用户出于安全考虑,可以将密码复杂化。这是由于,当计算机中安装XT800后,不法分子可以多次输入密码,如果密码过于简单,这些人很容易将密码破解开,从而进入到服务器中窃取信息,造成难以估量的损失。 
  4服务器远程连接过程中存在的��题 
  在使用服务器进行远程连接的过程中,难以避免的会遇到各种各样的问题,最常出现的有两种。一是在连接服务器之后,当输入字符之后,服务器没有任何响应。在某些情况下,如果登录的时候显示“完全控制”,此时,在远程服务器窗口中填入字符的话,远程服务器窗口没有任何反应。如果在实际操作中出现这种情况,则需要将远程服务器的窗口关闭,然后退出服务器重新登录即可解决。经过多年的工作总结,还有个比较快捷的处理方式。当无法在窗口中输入文字信息时,需要在快捷菜单中找到“启动”|“完全控制”,打开其他的服务器,然后将出现问题的服务器关闭即可,这样做较为简单,而且效果很好。二是无法与指定的服务器端相连。当端口处于开放的状态时,网络没有故障正常工作,但是远程控制无法进行,则需要检查服务器中的程序文件是否被误删。因为有的时候在杀毒软件更新升级的过程中,会将服务器的有关信息认定为病毒,通过杀毒软件将错误的病毒删除。 
  5服务器远程连接安全防护措施 
  服务器远程连接控制的优势是有目共睹的,但是究竟如何保证网络连接的安全仍然需要我们不断去探索,不断采取安全防护措施保证系统的安全。 
  5.1设置组策略 
  要想保证远程桌面的安全性,则需要将系统的加密等级设置到最大,在登录服务器时必须输入密码和验证码,禁用文件和打印机重定向,禁止对剪贴板进行共享。要对回话的加密级别进行设置,对组策略进行相关编辑,通过操作“计算机配置”“策略”“管理模板”“Windows组件”“终端服务”“终端服务器”“安全”,对加密的级别进行选择设置。最高级别的加密进行连接时需要选择“客户端兼容”。“高级别”指的是不能连接不支持128位加密级别的设备。限制对文件和打印机的重定向,不能对剪贴板进行共享,通过“计算机配置”“策略”“管理模板”“Windows组件”“终端服务”“终端服务器”“设备和资源重定向”或“打印机重定向”这一系列的操作进行有关设置。 
  5.2改变远程桌面端口号 
  远程桌面使用端口一般为3389,如果我们一直使用这个端口而不进行更改的话,就会给不法分子的非法进入创造条件,制造机会,利用这个端口对服务器进行控制,从而获取服务器中的信息。因此,为了确保服务器的安全使用,我们可以改变远程桌面的端口号,不总是使用默认的端口。系统管理人员需要凭借管理员的身份进入到服务器中,执行“开始”“运行”命令,将“regedit”输入到弹出的框中,点击确定。然后将编辑界面打开,在左侧的编辑区域内,将注册表的分支展开,在显示区域的右侧对端口号进行重新设置,这样通过修改,能够提升服务器的安全性能,更好的实现远程连接。 
  5.3使用远程桌面连接6.0 
  Windows XP、Windows server 2003中都能够进行远程桌面连接,但是随着时代的发展,Windows Vista、Windows server2008中的远程连接中带有6.0,提升了远程桌面的安全性能,服务器在进行连接时,需要进行身份的验证。当与Windows Serv-er 2008服务器相连时,远程桌面在连接的时候会自动对计算机进行检验,验证服务器的真实性。网络级身份验证又被简称为NLA,在正式建立远程连接之前会需要对相关的信息进行验证,这样能够降低服务器被攻陷的可能性,并大大节约了服务器和宽带的资源。使用网络级身份验证之后,网络如果没有经过验证则不会被传递下去,大大提升了连接的安全性能,有利于正常开展工作。 
  5.4访问控制列表 
  访问控制列表就是ACL的简称,能够实现对源IP、源端口号、目的IP、目的端口号的处理方式进行有效约束。在发送请求信息的时候,目的IP、目的端口号是确定的,需要明确服务器的IP地址和端口号,通过访问控制列表实现对源IP、源端口号的选择。 
  访问控制列表可以确保网络的安全,对防火墙和杀毒起到一定的作用。当设备接收到某些连接的消息时,会与访问控制列表相对应,对于符合条件的、与条件相符合的语句,则需要按照规定的处理方式进行处理。 
  正常而言,在网络安全设备的访问控制表中,服务器管理人员可以根据需要添加IP段,这段IP是在自己的工作网络范围内。信息会通过连接的网络传送给某些设备,进而传递给相应的服务器。反之,在控制列表网络区域之外的连接与网络安全设备没有关系。这种方法对于工作环境不稳定的地区以及工作人员的工作难以保证的情况下不适用,但是很容易提升服务器的安全性能。 
  6小结 
  对服务器的远程管理在有条件的情况下采用多种方式,当一种方式出现问题时,可以采用其他方式进行管理。实践表明,在服务器正常工作时,远程管理服务器选择软件。当服务器出现故障时,远程管理服务器选择硬件。为了更好发挥出远程连接的重要性,则需要我们不断探索,不断发现,更好的保证远程连接的安全。

在线客服 :     服务热线:010-51111408     电子邮箱: sales@yunshou.org

公司地址:北京市丰台区丰台北路32号华胜写字楼A座412

北京云手科技有限公司 北京云手科技有限公司是一家专业从事云计算技术虚拟化技术嵌入式计算机系统硬件设计、主动式监控及人机对话领域的高科技创新型企业。基于大数据分析,专业为中小企业提供远程集中管控和故障回溯、...

Copyright © 北京云手科技有限公司 版权所有