Что такое RDP/VPN. Что лучше выбрать и как настроить.

Многие пользователи, хотя бы раз интересовавшиеся вопросом организации безопасного канала связи между компьютерами в сети интернет, сталкивались с такими аббревиатурами, как RDP и VPN. Чаще всего на различных форумах, посвященных безопасности в сети, советуют подключаться к удаленным компьютерам или серверам по RDP через VPN. Для непосвященного человека такой совет может на первый взгляд показаться каким-то набором непонятных слов, который способен понять только специалист по компьютерным сетям. Однако, все не так сложно, как может показаться  на первый взгляд, что мы и продемонстрируем в данной статье.

Для начала давайте разберемся, в каких ситуациях у обычного пользователя, не имеющего ничего общего с сетевым администрированием, может возникнуть необходимость организации защищенного подключения к удаленным устройствам. Изначально, данная возможность использовалась в корпоративных целях для обеспечения удаленного доступа сотрудников к серверам компании, чтобы они имели возможность работать с корпоративными данными, находясь вне офиса, например в командировке или в отъезде. Однако впоследствии, технологии безопасного доступа к удаленным устройствам стали использоваться обычными рядовыми пользователями для организации анонимного и защищенного доступа к веб-ресурсам.

Как это работает? По сути, организация анонимного доступа к сети интернет с обеспечением шифрования трафика и подменой IP-адреса разделяется на 3 этапа. Во-первых, пользователю необходимо использовать SOCKS-прокси для подмены IP-адреса таким образом, чтобы конечный узел не смог определить, что используется прокси-сервер. Во-вторых, необходимо организовать защищенный канал связи с арендованным сервером для подключения к SOCKS-прокси. Подключение к этому удаленному серверу осуществляется с помощью RDP, либо с помощью RDP по VPN, что является наиболее защищенным, но и наиболее сложным для реализации вариантом.  Упрощенно защищенный канал связи можно отобразить следующим образом.

 Как видно из рисунка, в данном случае пользователь получает доступ к конечной веб-странице, используя два промежуточных узла (арендуемый сервер и SOCKS-прокси), что позволяет защитить передаваемые данные от третьих лиц и скрыть свой IP-адрес, а также значительно усложняет задачу таргетированных атак на устройство пользователя, перехват данных и определение его реального IP-адреса.

Итак, давайте, наконец, разберемся с непонятными аббревиатурами. RDP – сокращение от английского Remote Desktop Protocol, то есть протокол удаленного рабочего стола. Данный протокол был разработан компанией Microsoft для организации доступа пользователей к удаленным серверам и компьютерам, работающим под управлением операционной системы Windows. Благодаря данному протоколу пользователи могут удаленно подключаться к компьютерам и управлять им так, как будто они работают непосредственно на нем. После подключения в RDP-клиенте пользователя отображается рабочий стол удаленного компьютера, с которым можно работать привычным образом – с помощью мыши и клавиатуры. Все что требуется от пользователя – разрешить подключения RDP на удаленном компьютере и подключиться к нему с использованием программы-клиента RDP. При этом, реализуется это все стандартными средствами Microsoft Windows, и пользователю нет необходимости устанавливать дополнительные программные средства.

Многие полагают, что  RDP является дырой в системе безопасности, однако это далеко не так. RDP на сегодняшний день не только является достаточно защищенным протоколом, но и позволяет скрыть факт туннелирования, то есть для SOCKS-прокси пользователь выглядит так, словно он работает напрямую с арендуемого сервера, а для конечного веб-узла - напрямую с SOCKS-прокси.

Данный способ организации удаленного доступа является наиболее простым и не требует от пользователя никаких специальных знаний. Как правило, при аренде удаленного Windows-сервера, доступ к нему осуществляется по RDP, поэтому пользователю не нужно ничего настраивать. Все что ему необходимо сделать, в данном случае, это запустить на своем компьютере встроенный  в Windows RDP-клиент и ввести IP-адрес сервера, логин и пароль, выдаваемые арендодателем сервера. Таким образом, организация защищенного и анонимного канала таким способом требует от пользователя выполнения трех простых шагов:

1)      Необходимо арендовать удаленный Windows-сервер у любого понравившегося поставщика услуги

2)      После оплаты аренды сервера, поставщик услуги высылает пользователю данные, необходимые для удаленного управления сервером – IP-адрес сервера, логин и пароль

3)      Пользователю необходимо запустить на своем компьютере или мобильном устройстве RDP-клиент и ввести IP-адрес, логин и пароль из предыдущего пункта.

После выполнения этих трех шагов в RDP-клиенте пользователя отображается рабочий стол удаленного сервера, которым пользователь может управлять мышью и клавиатурой со своего устройства.

Далее пользователю остается только настроить SOCKS-прокси на удаленном сервере.

С пошаговой инструкцией по организации анонимного доступа с использованием RDP можно ознакомиться в статье Как настроить proxy на RDP (Remote Desktop Protocol), размещенной на нашем сайте.

Теперь  разберемся с более сложным вариантом организации защищенного канала - VPN. VPN-аббревиатура от английского Virtual Private Network — виртуальная частная сеть. По сути, VPN – организация логической сети, то есть своего рода локальной сети поверх другой сети, в нашем случае – сети интернет. Для защиты передаваемых в данном случае данных от третьих лиц, используются надежные и современные методы шифрования, позволяющие пользователям не беспокоиться о безопасности данных.

В чем преимущество VPN над RDP? VPN можно настроить для работы практически по любому порту в отличие от RDP, который стандартно использует порт 3389. Если Вы хотите организовать анонимный доступ со своего рабочего места, то можете столкнуться с запретом использования данного порта для передачи данных. Зачастую администраторы корпоративных сетей закрывают большинство портов, поэтому подключиться по RDP к удаленному серверу с помощью стандартно настроенного  RDP-клиента не получится. Теоретически, порт RDP можно изменить, отредактировав соответствующий параметр в реестре Windows, однако в данном случае RDP-подключение потеряет универсальность, что может отрицательно сказаться на удобстве работы пользователя. В данном случае, практичнее использовать VPN-соединение, при настройке которого можно указать любой открытый порт.

Настройка VPN – достаточно сложная задача, в полной мере с которой сможет справиться только специалист по администрированию компьютерных сетей.  При настройке VPN учитываются особенности используемого оборудования, поскольку необходимо настраивать не только удаленный сервер и компьютер пользователя, но и различные маршрутизаторы и фаерволы. Однако, для индивидуальной работы с несекретными данными, настройку VPN можно систематизировать и описать таким образом, чтобы с ней смог справиться практически любой пользователь. Попробуем это сделать и расписать все в виде пошаговой инструкции. Используемое оборудование в нашем случае: арендованный сервер Windows 2008 и домашний ноутбук с Windows 7, подключенный к сети интернет по Wi-Fi через роутер D-Link Dir-615.

1.       Для настройки VPN первым делом нам необходимо подключиться к удаленному серверу по RDP приведенным выше способом, то есть запустить на ноутбуке встроенный в Windows RDP-клиент, ввести IP-адрес удаленного сервера, логин, нажать кнопку «Подключить» и ввести пароль. В некоторых случаях, провайдеры VDS-сервера (арендодатели удаленного сервера) при регистрации высылают пользователю файл формата .rdp, при запуске которого автоматически запускается RDP-клиент с уже введенными IP-адресом и логином, то есть пользователю для доступа к удаленному серверу по RDP достаточно запустить этот файл и ввести предоставленный VDS-провайдером пароль.

2.       После подключения к удаленному рабочему столу откройте на удаленном сервере Диспетчер сервера в меню «ПУСК ->Администрирование -> Диспетчер сервера»

3.       В «Диспетчере сервера» перейдите во вкладку «Роли -> Добавить роли»

4.        В результате откроется «Мастер настройки». Нажмите «Далее»

5.       Установите флажок на пункте «Службы политики сети и доступа» и нажмите кнопку «Далее»

 

6.       Перейдите во вкладку «Службы ролей» и выберите пункты «Служба маршрутизации и удаленного доступа», «Служба удаленного доступа», «Маршрутизация». Нажмите кнопку «Далее», затем нажмите кнопку «Установить» и дождитесь окончания процесса

http://1-system.ru/assets/components/phpthumbof/cache/vpn%20pptp%202.65a5f65761f3a5693b4d5ac8fa2131a024.png

7.        Нажмите кнопку «Закрыть», в ответ на запрос о перезагрузке сервера нажмите на кнопку «Да» и дождитесь перезагрузки сервера. При этом соединение по RDP будет разорвано.

8.       Процесс перезагрузки удаленного сервера занимает некоторое время, поэтому в течение 3-5 минут он не будет доступен для подключения по RDP. Подождите 3-5 минут (зависит от поставщика услуг) и заново подключитесь к серверу по RDP, после чего «Мастер настройки» на удаленном сервере возобновит свою работу

9.        В результате откроется окно результатов настройки. Нажмите кнопку «Закрыть»

10.   Перейдите во вкладку «Роли - > Маршрутизация и удаленный доступ». Нажмите на кнопку «Дополнительные действия» в правой части окна и выберите «Настроить и включить маршрутизацию и удаленный доступ». В результате запустится соответствующий мастер настройки, в котором необходимо нажать кнопку «Далее»

11.   Выберите пункт «Особая конфигурация» и нажмите кнопку «Далее»

12.   Выберите пункт «Доступ к виртуальной частной сети (VPN)», нажмите кнопку «Далее», затем нажмите кнопку «Готово»

13.   В результате отобразится запрос на запуск службы «Маршрутизация и удаленный доступ». Запустите службу, нажав на соответствующую кнопку

14.   Кликните правой кнопкой мыши на пункте «Маршрутизация и удаленный доступ», выберите во всплывающем меню пункт «Свойства»

15.   Перейдите во вкладку IPv4, установите галочку на пункте «Включить пересылку IPv4», включите «статический пул адресов» и нажмите кнопку «Добавить»

16.   В открывшемся окне введите начальный и конечный IP-адреса, выдаваемые подключившимся клиентам, и нажмите кнопку «ОК». Можно ввести такие же значения, как на рисунке ниже

17.   Далее необходимо добавить пользователя, которому будет разрешен удаленный доступ к серверу по VPN. Для этого перейдите во вкладку «Конфигурация -> Локальные пользователи и группы -> Пользователи». Правой кнопкой мыши вызовите всплывающее меню и выберите пункт «Новый пользователь…»

18.   В открывшемся окне заполните поля следующим образом:

-  Пользователь. Можете ввести любой набор букв/цифр, который будете использовать в качестве логина для доступа к VPN-серверу

- Полное имя. Любой набор букв/цифр. Можно не заполнять

- Описание. Любой набор букв/цифр. Можно не заполнять

- Пароль.  Пароль должен состоять не менее чем из восьми символов.  В пароле должны присутствовать символы трех категорий из числа следующих четырех:

Таким образом, в пароле необходимо использовать минимум одну строчную букву, одну заглавную и одну цифру, при этом длина пароля должна составлять не менее 8 символов.

Пример неправильных паролей: qwert0 (нет заглавных букв), Qwertyz (нет цифр) Qwer0 (слишком короткий)

Пример правильного пароля: Qwertyz0

- Подтверждение. Введите пароль повторно. Пароли должны совпадать.

- Снимите галочку с пункта  «Требовать смены пароля при следующем входе в систему». Установите галочки на пунктах «Запретить смену пароля пользователем» и «Срок действия пароля не ограничен».

После этого Нажмите кнопку «Создать».

19.   Далее необходимо разрешить пользователю доступ к сети. Для этого необходимо дважды щелкнуть на имени пользователя, перейти во вкладку «Входящие звонки» и установить переключатель прав доступа к сети в положение «Разрешить доступ». Далее нажмите кнопку «ОК»

20.   Кроме того, в брандмауэре сервера необходимо открыть для подключения по TCP порт 1723. Для этого перейдите во вкладку «Конфигурация -> Брандмауэр Windows в режиме повышенной безопасности», щелкните правой кнопкой маши на пункте «Правила для входящих подключений» и выберите во всплывающем меню пункт «Создать правило»

21.   Установите переключатель в положение «Для порта» и нажмите кнопку «Далее»

22.   Установите переключатели в положение «Протокол TCP» и «Определенные локальные порты». Введите в поле «Определенные локальные порты» значение 1723. Нажмите кнопку «Далее»

23.   Выберите пункт «Разрешить подключение» и нажмите кнопку «Далее»

24.   В следующем окне нажмите кнопку «Далее»

25.   Введите произвольное имя профиля и нажмите кнопку «Готово». Настройка VPN на стороне сервера завершена

26.   Теперь необходимо подключиться к удаленному серверу по VPN c компьютера пользователя. Перейдите в меню «ПУСК -> Панель управления -> Сеть и интернет -> Центр управления сетями и общим доступом»

27.   Выберите «Настройка нового подключения или сети»

28.   Выберите пункт «Подключение к рабочему месту» и нажмите «Далее»

29.   Выберите «Использовать мое подключение к Интернету (VPN

30.   Введите в поле «Интернет-адрес» IP-адрес сервера, выданный поставщиком удаленного сервера, и установите галочку на пункте «Не подключаться сейчас, только выполнить установку для подключения в будущем». Нажмите кнопку «Далее»

 

 

31.   Введите заданное ранее для доступа по VPN имя пользователя и пароль и нажмите кнопку «Создать»

32.   Далее необходимо зайти в свойства только что созданного подключения. Для этого нажмите на значок подключения к сети в нижней панели Windows, нажмите правой кнопкой мыши на только что созданном соединении и выберите пункт «Свойства»

33.   Перейдите во вкладку «Сеть» и дважды щелкните левой кнопкой мыши по пункту «Протокол Интернета версии 4 (TCP/IPv4)

34.    Нажмите кнопку «Дополнительно»

35.   Снимите галочку с пункта «Использовать основной шлюз в удаленной сети» и нажмите «ОК». Закройте все окна нажатием на кнопки «ОК»

36.   Нажмите на значок подключения сети на нижней панели Windows, нажмите левой кнопкой мыши на созданном подключении и нажмите кнопку «Подключение»

37.   Введите имя пользователя и пароль, заданные ранее для VPN-подключения и нажмите кнопку «Подключение». В результате будет установлено VPN-соединение между Вашим компьютером и удаленным сервером

 

Еще раз напомню, что установка VPN-соединения – это всего лишь организация защищенной локальной сети через интернет. Таким образом, после установления VPN-соединения удаленный сервер получит IP-адрес сервера локальной сети (параметры выставляли в пункте 16, в нашем случае IP-адрес у сервера будет 192.168.2.1), а компьютер пользователя другой IP-адрес локальной сети (также определен в пункте 16). Удаленный сервер и компьютер пользователя будут объединены в локальную сеть, однако для удаленного управления сервером все равно необходимо использовать средства удаленного управления рабочим столом, лучше всего RDP. Таким образом, после организации VPN-канала, задача сводится к подключению локального компьютера пользователя по RDP к удаленному серверу по VPN,  то есть по IP-адресу локальной сети сервера (в нашем примере 192.168.2.1).

Первым делом необходимо разрешить на сервере подключение по RDP определенных пользователей. Для этого откройте удаленный рабочий стол (обычным способом, как это делали ранее), войдите в меню «ПУСК», щелкните правой кнопкой мыши на пункте «Компьютер» и нажмите «Свойства»

Нажмите ссылку «Настройка удаленного доступа» в левой части окна

После этого нажмите кнопку «Выбрать пользователей», затем кнопку «Добавить»

Введите имя пользователя, с использованием которого осуществляется VPN-подключение и нажмите кнопку «ОК». Закройте все окна кнопками «ОК»

 

После этого Вы сможете подключиться по RDP через VPN к удаленному серверу. Для этого откройте на своем компьютере RDP-клиент, введите локальный IP-адрес сервера (в нашем случае 192.168.2.1), введите имя пользователя, заданное для подключения по VPN и нажмите кнопку «Подключить»

В результате, Вы получите доступ к рабочему столу удаленного сервера по RDP через VPN. В дальнейшем не нужно ничего настраивать, а необходимо только устанавливать VPN-соединение, после чего подключаться к удаленному серверу по RDP по IP-адресу сервера в сети VPN (в нашем примере 192.168.2.1).

После подключения по RDP необходимо настроить на удаленном сервере SOCKS-прокси по пошаговой инструкции Как настроить proxy на RDP (Remote Desktop Protocol), размещенной на нашем сайте.

Хочу добавить, что для вышеописанного варианта настройки VPN существует множество вариантов дополнительных настроек, повышающих безопасность соединения, однако все они требуют подкованности пользователей в сетевых вопросах, поэтому новичкам не рекомендуется их использовать. Базовой настройки VPN вполне достаточно для организации безопасного и анонимного канала для личных целей.

Использование дополнительного ПО вполне возможно, поскольку Вы используете его на своем арендованном сервере и сами можете контролировать уровень безопасности. Такие программные решения можно найти в сети. Одним из наиболее распространенных примеров является OpenVPN. Как правило, все эти программные решения в большинстве своем являются бесплатными, но недружелюбны пользователю, а их настройка является очень «мудреным» занятием. Именно поэтому, пользователям, желающим получить базовый уровень защиты с минимальными усилиями и затратами, рекомендуется использовать стандартные средства Windows.

Выводы

Если пользователь организует защищенный и анонимный доступ к веб-ресурсам с домашнего компьютера, то вполне достаточно использовать для подключения к удаленному серверу RDP. Данный протокол является достаточно защищенным, поэтому вряд ли Вам придется беспокоиться о безопасности Ваших данных.

Если же необходимо повысить уровень безопасности, либо организовать защищенный и анонимный доступ с корпоративного компьютера, находящегося в сети с закрытыми портами, необходимо организовать VPN-подключение, а затем использовать RDP.

И в первом, и во втором случаях удаленный сервер необходимо настроить для использования с SOCKS-прокси, предоставляемым нашим сервисом. Это позволит сменить IP-адрес для обхода региональных блокировок, а также повысить уровень безопасности и анонимности. Наиболее удобной программой для организации работы через SOCKS-прокси является ProxyHelper. Описание данной программы можно найти в разделе FAQ на нашем сайте.