Когда становится вопрос о выполнении рабочих обязанностей за пределами компании, для системного администратора появляются дополнительные хлопоты, чтобы сотрудникам предоставить удалённый доступ. Потому нужно предусмотреть безопасный способ связи с внешним миром, настроить оборудование и\или инсталлировать дополнительное программное обеспечение, обучить персонал, производить мониторинговую работу удалённых подключений и многое другое, а также по требованию руководства ещё и предоставлять отчёт о количестве и времени подключений работников. Чтобы иметь понятный отчёт, необходимо задействовать некоторые средства – иногда стандартные, а иногда - дополнительно устанавливаемые. Тут системному администратору могут понадобиться знания по работе с простыми и сводными таблицами, OLAP-кубами, графиками.

Будем считать, что оборудование (Cisco ASA 5505) и ПО (FreeRADIUS+daloRADIUS, MS Excel, анализаторы лог-файлов или другое) уже установлены и настроены. Рассмотрим последовательность шагов от создания доступа пользователю до формирования отчёта.

 

Создание VPN-доступа

За безопасную связь с внешним миром отвечает межсетевой экран Cisco ASA 5505 [ http://www.vtkt.ru/articles/network_security/firewall_cisco_asa_5505.php ], где создадим логин для нового пользователя и предоставим ему необходимый доступ.

Первым делом в режиме конфигурирования (после подключения к маршрутизатору вводится команда Enable, а затем – Configure terminal) выполним команду, которая создает логин пользователя и назначает ему пароль с применением шифрования:

Username din.sv password 111 mschap

Далее заходим в атрибуты созданного пользователя:

Username din.sv attributes

и назначаем ему свободный IP-адрес из сети аппаратного фаервола (в моём случае пул 192.168.9.0\24), который будет присваиваться (соответствовать) при каждом его удалённом подключении:

vpn-framed-ip-address 192.168.9.99 255.255.255.0

Таким образом межсетевой экран будет понимать, что находящегося за пределами компании пользователя можно пропускать дальше в корпоративную сеть, предоставив ему полный доступ.

Если же необходимо создать более ограниченный доступ, например, подключение только к конкретному серверу, то делается это с помощью Access List [https://popravak.wordpress.com/2011/11/05/cisco-asa-vpn-filter-as-i-see-it/]:  

access-list VPN_FOR_WEB extended permit tcp any host 192.168.2.40 eq www

access-list VPN_FOR_WEB extended permit udp any host 192.168.6.5 eq domain

а затем список разрешений (ограничений) применяется для конкретного логина пользователя:

vpn-filter value VPN_FOR_WEB

Может возникнуть необходимость не удалять, а временно заблокировать логин работника, например, на период отпуска. В этом помогут следующие команды:

username din.sv attributes

vpn-simultaneous-logins 0

На этом работа с маршрутизатором завершена. Далее необходимо настроить VPN-подключение на устройстве сотрудника.

 

Настройка VPN-доступа для мобильных устройств

В нашей организации мобильные устройства имеют большую популярность, поэтому их нужно уметь настраивать. Различия в настройках между фирмами-производителями и операционными системами конечно же имеются, но они не являются сложными или запутанными. Основное – это найти место расположения VPN-подключения. Для примера будет задействован Android. При этом нужно учитывать, если не был установлен пароль (графический или цифровой) на включение устройства, то необходимо активировать данную функцию, иначе VPN-подключение не получится создать.

Итак, создаём новое VPN-подключение: даём название, указываем внешний IP-адрес сервера или соответствующее ему имя, выбираем тип подключения (в нашем случае L2TP) и вводим пароль, вписываем учётные данные пользователя (см. рис. 1).

Рисунок 1. Настройка VPN-подключения на Android.

После этого можно браузером зайти на внутренний портал компании, установить его основным, для удобства вынести ярлык на рабочий стол.  

Теперь нужно позаботиться о подключении сетевого диска, где хранятся все документы пользователя. Для этого запускаем ES-проводник, заходим в Сеть->Создать->LAN и заполняем поля: Домен (es.corp), Сервер (192.168.14.17/Docs), вводим доменную учётную запись пользователя, даём правильное название появившемуся сетевому диску (см. рис. 1).

 

Настройка VPN-доступа для Windows-компьютеров

Настройку удалённого подключения придётся делать не только на мобильных устройствах, но и компьютерах сотрудников. Опишем основные действия для ОС Windows 10 [http://windowsprofi.ru/win10/nastrojka-vpn-windows-10.html].

Заходим в Пуск->Параметры->Сеть и Интернет->VPN, жмём на кнопку Добавить VPN-подключение, заполняем поля (см. рис. 2).

Рисунок 2. Настройка VPN-подключения на ОС Windows 10.

Чтобы проверить настройки подключения или внести исправления, то необходимо будет зайти в его свойства (в Центре управления сетями и общим доступом), в первой вкладке – Общие – можно изменять имя, в третьей вкладке – Безопасность – пароль для типа подключения L2TP по нажатию на кнопку Дополнительные параметры. Ниже должна быть установлена галочка Протокол Microsoft CHAP версии 2 (см. рис. 2).

Чтобы у пользователя не пропал интернет после установки VPN-соединения, нужно снять галочку Использовать основой шлюз удалённой сети. Для этого необходимо в свойствах подключения перейти на вкладку Сеть, зайти в свойства протокола IPv4 и нажать кнопку Дополнительно.

В Центре управления сетями и общим доступом (или в правом нижнем углу, где имеются найденные WiFi-точки) появится VPN-подключение, на нём нужно нажать левой копкой мыши, а затем - кнопку Подключиться. После этого сотрудник удалённым рабочим столом может соединиться с сервером (зная имя или IP-адрес) или же работать из браузера, если имеются веб-задачи.

 

Работа с daloRADIUS

Программное обеспечение daloRADIUS [http://yvision.kz/post/635887https://ru.scribd.com/document/337456525/DaloRADIUS-Users-Manual] представляет собой усовершенствованную веб-платформу, которая управляет FreeRADIUS Server. daloRADIUS выводит информацию о времени нахождения пользователя в локальной сети и количестве скачанного трафика, формирует графические отчёты, имеет билинговый механизм, интегрируется с GoogleMaps API и другое.

Для отображения vpn-пользователей заходим браузером по адресу https://<IP адрес сервера>/daloradius, в меню переходим на вкладку Accounting, слева на панели будут доступны несколько полей для фильтрации запроса, среди которых нам будут полезны (см. рис. 3):

  • Accounting – вывод полного списка записей относительно введённого логина;
  • Accounting - вывод полного списка записей относительно введённого IP-адреса;
  • Accounting - вывод списка записей относительно введённой даты и логина.

Рисунок 3. Веб-интерфейс daloRADIUS.

daloRADIUS сохраняет и выводит все записи в табличном виде, независимо от активности сотрудника. А это огромное количество информации (в минуту несколько новых записей) при этом сотрудник имеет только одно подключение. С полученными данными не очень удобно работать, поэтому их нужно преобразовать. Для этого мы произведём экспорт данных в MS Excel, нажав на кнопку CSV Export.

 

Работа с MS Excel

Полученные данные из daloRADIUS ещё не имеют удобный и читабельный вид, располагаясь подряд и без разделителей (см. рис. 4), поэтому нужно произвести ряд манипуляций в MS Excel.

Рисунок 4. Неудобный вид выгруженных данных.

Чтобы структурировать и преобразовать данные в удобный вид, нужно выделить первый столбец (А), зайти в меню Данные, нажать кнопку Текст по столбцам, выбрать точку Текст с разделителями->Далее->выбрать только одну галочку Запятая->Далее->Готово. Таблица преобразуется уже в понятный вид. Здесь же можно избавиться и от лишних столбцов, ориентируясь на 3 параметра и выводить информацию относительно логина (IP-адреса), даты, количества сессий.

Вывести информацию в удобном виде относительно нескольких параметров поможет сводная таблица. Для её создания сначала выделяем все столбцы, затем заходим в меню Вставка->Сводная таблица. Справа активируем требуемые галочки для отображения полей с данными, перетаскиваем их в нужную область:

  • область Строки – поле User Name и\или IP-адрес;
  • Start Time (Дата\Время);
  • Total Session.

Если делать отчёт по нескольким пользователям и за несколько дней, то таблица получается растянутой. Для удобства первый столбец закрепим, сделав его неподвижным при перемещении ползунка. Чтобы это осуществить, заходим в меню Вид->Закрепить области->Закрепить первый столбец. После этого можно увидеть результат, предоставленный на рисунке 5.

Рисунок 5. Сводная таблица.

 

Мониторинг RDP-подключений

Самый простой способ посмотреть количество RDP-подключений на сервере - это открыть диспетчер задач и перейти на вкладку Пользователи, где столбец Сессии будет отображать номер сессии подключившегося пользователя, например, RDP-TCP#1. Если столбец Сессии будет отсутствовать, то его нужно активировать, с помощью галочки из контекстного меню.      

Также можно использовать и другие стандартные средства – Диспетчер удалённых рабочих столов (Windows Server 2003/2008) [https://technet.microsoft.com/ru-ru/library/cc732985(v=ws.11).aspx/], где просматривать сведения о пользователях, сеансах и процессах на сервере, а также отключать пользователей или завершать их сеансы, Шлюз удалённых рабочих столов (Windows Server 2012).

Имеется возможность получить данные об удалённых подключениях и из командной строки. Команда quser выдаст тот же результат, что и первый способ. Если же нужно увидеть пользователей на удалённом сервере, то необходимо к данной команде добавить название сервера, например, quser /server:b-dc01. Команда qwinsta выдаст немного больше данных (см. рис. 6).

Рисунок 6. Команды для RDP-подключений.

Ещё один вариант – просматривать лог-файлы, расположенные в (Windows Server 2008\2012) Server Manager->Diagnostics->Event Viewer->Applications and Services Logs->Microsoft->Windows->TerminalServices-LocalSessionManager->Operational.

Из дополнительного ПО можно выделить ObserveITXpress [ http://www.computerperformance.co.uk/w2k3/services/auditing_windows_server_observeIT_express.htm], которое фиксирует сессии разных методов удалённых подключений: Terminal Server, Remote Desktop, Citrix, VMWare, VNC, NetOP, DameWare.