陳宛綺
今年年假特別長,有些人會悶得發慌,手癢地想把公司的工作拿出來做一做。張三在年假時特別起了個大早,興沖沖地把電腦打開來準備做事,哎呀,發現缺了幾份關鍵性的文件檔,這些資料都放在公司的電腦中,只好又悻悻然地把電腦給闔上。
李四在大年初一接到主管電話,但不是打來拜年的,而是告訴他公司主機出了問題,請他馬上處理,但李四總不能在這時候奔回公司去處理吧,該怎麼辦呢?
透過遠端連線的做法來存取公司的資料或是管理某一臺電腦,是最簡單也最快速的方法。但是,如果你想要透過一些遠端連線程式,就想要像是在企業內部網路一樣,恣意地連線到其他同事的電腦或是到伺服器存取資料,幾乎不可能的,因為安全性問題。
是你控制還是駭客控制?
方便與安全總是天秤的兩端。 Blue Coat 技術總監曾良駿表示,如果使用者想要將自 己在辦公室的電腦能與外部的電腦連線,方便自己在外時也能利用遠端連線來控制公司內的電腦的話,就需要給予內部電腦一個 Public IP;不過,這種做法就像是把電腦放在防火牆外面一樣,不僅是只有你可以遠端控制這臺內部電腦,駭客也正利用 Port Scan 找到了你這臺已門戶大開的電腦,正使用得很愉快呢!
臺灣微軟大型企業業務暨經銷事業群專業技術部技術經理周伯彥表示,現在很多人都會開啟 Windows 遠端桌面的功能,方便利用遠端控制桌面,因此 port 3389 通常都是打開的;但要直接從外部透過 port 3389 連線到內部電腦的做法是不可能,因為這無疑是為駭客開啟方便之門。
因此,若想要走這種直接連線的方式,周伯彥建議,必須還是要先透過防火牆,在防火牆上設定一對一的連線,也就是在 Client 端開啟遠端連線功能,防火牆再開啟一個固定的 Port 來建立連線,這臺防火牆再用轉向 (Redirect) 的方式引導至所要管控的電腦。
周伯彥表示,這種方式在設定上很複雜,而且就像是在防火牆上「打個洞」,讓連線可以建立而已,也僅能做到帳號密碼的驗證,卻沒有憑證的功能,如果你的帳號密碼遺失,也就等於將內部的電腦控制權送出去。更糟糕的是,資料在傳輸的過程當中並沒有加密,機密資料很有可能就被有心人利用各種方法,例如用 Sniffer 網路封包監聽技術,將各種機密資料給竊取出去。
參考閱讀:
企業倍增生產力 5 大科技
企業倍增生產力:電腦大掃除秘技一拳公開
……未完(更多內容請參閱網路資訊雜誌 2009 年 1 、 2 月號 206 、 207 期)