facebook LinkedIN LinkedIN - follow
IT SYSTEMS 7-8/2020 , IT Security

Jak na vzdálený přístup?

Remote Assistance nebo Remote Desktop?

Štěpán Bínek


ZEBRAZvykli jsme si na to, že technologie se mění velmi rychle, ale nástup epidemie byl natolik překvapivý, že ani jindy flexibilní obor IT na ni nestačil adekvátně zareagovat. Postupné zvyšování podílu lidí pracujících z domu, pracovníci v režimu sick days, flexibilní pracovní doba – to vše je technologicky zvládnutelné. Ale situace, kdy se na home office ocitne většina firmy, se stalo pro IT správce či externí dodavatele IT služeb v podstatě „disruptivní“ událostí.


Firemní sítě najednou zcela změnily svou topografii, datový tok začal proudit přes nezabezpečená připojení a z nezabezpečených zařízení a mnoho uživatelů nemělo najednou přístup ke všem potřebným informacím uloženým ve firemní síti. K tomu všemu ztratili IT správci ucelený přístup k firemním uživatelským počítačům a v případě jejich poruch či nefunkčnosti je nyní velmi obtížné získat jiný než vzdálený přístup.

Remote Assistance

Windowsovské počítače umožňují dva odlišné druhy vzdálených spojení na bázi RDP (remote desktop procokol) – remote desktop a remote assistance. Obě spojení jsou si podobná a IT administrátoři využívají k vytvoření vzdáleného spojení obou způsobů, ale motivace k jejich využití a bezpečnostní nároky se liší.

IT správci využívají způsobu remote assistance zejména v případě technické podpory. Uživatel PC pozve technického pracovníka ke vzdálenému připojení, aby mohl prověřit funkci uživatelského počítače a provést úpravy, popřípadě vyřešit problémy. Bez pozvání a jeho přijetí se technik do vzdáleného stroje zalogovat nemůže.

Pokud to nastavení počítače dovoluje, vzdálený uživatel umožní sdílet svůj počítač s technickým pracovníkem, který pak může přistupovat k jeho souborům, otevírat je a vkládat nová data s pomocí své klávesnice a myši. Tato funkce je nesmírně užitečná zejména v případech, kdy administrátor musí na dálku řešit problémy, součástí kterých je kontrola registrů nebo skenování počítače. S remote assistance vidí jak uživatel, tak správce stejnou obrazovku a jsou spolupracujícími účastníky procesu.

Remote Desktop

Se standardním Windows připojením remote desktop se obrazovka na uživatelském počítači naopak uzamkne, jakmile se naváže spojení. To znamená, že obrazový výstup je viditelný pouze na vzdáleně připojeném počítači. Remote desktop umožňuje vzdálenému pracovníkovi získat plný přístup nad počítačem bez ohledu na to, z jaké lokality se k němu přistupuje.

Přestože je vše zobrazováno na vzdáleném stroji, veškeré výpočetní úkony provádí ovládaný počítač. Vzdálený pracovník s pomocí své klávesnice a myši zasílá vstupy a zpět získává obrazový popř. zvukový výstup. Takže když se například někdo tímto způsobem připojí na dálku k jinému počítači, může ukládat soubory na jeho pevném disku. Pokud je ale chce mít k dispozici i na disku svého počítače, musí je přesunout před ukončením spojení.

Spíše než na technickou podporu se spojení remote desktop využívá z důvodu zvýšení produktivity pracovníků, protože umožňuje odkudkoliv propojit jejich počítač s jiným počítačem na pracovišti. S určitým konfiguračním nastavením se mohou propojit i prostřednictvím internetu zcela mimo firemní síť, například z domácí kanceláře. Typickým příkladem je přístup k informacím uloženým na jednom specifickém počítači v kanceláři, ke kterému nemají uživatelé fyzický přístup. Vzdálený přístup je tak nejlepším dostupným řešením.

Rizika spojená s RDP přístupem

Útoky typu „man-in-the-middle“
Nezabezpečené RDP připojení je náchylné k útokům man-in-the-middle, kdy hacker zachytí komunikaci posílanou mezi dvěma počítačovými systémy s využitím maskování ARP protokolu nebo DNS systému. Díky tomu mohou hackeři například rozšířit ransomware po celé organizaci.

Krádeže přihlašovacích údajů
RDP relace využívají hackeři také k hromadnému získávání informací o RDP serverech a jejich prodeji na Dark Webu. Notoricky známým tržištěm údajů o hacknutých serverech byl xDedic zmíněný například ve zprávě společnosti Kaspersky. Tato zpráva varovala, že na tomto tržiti jsou k dispozici údaje o 250 000 RDP serverech po celém světě, každý za 6 USD.

DoS útoky
K získání RDP údajů mohou hackeři také využít metody brutální síly. Během takovéhoto útoku škodlivý software skenuje široký rozsah IP adres, hledá otevřené porty využívané k RDP a brutální silou se snaží získat heslo. To se pak projevuje jako Denial of Service útok na operační paměti či úložiště s následkem výpadku činnosti operačního systému a znemožnění přístupu ze strany uživatelů.

Zranitelnosti při povolování k přístupu
Ale i v případě, že organizace využívá speciální řešení pro správu vzdáleného přístupu, může dojít k napadení. V roce 2019 byl například objeven exploit v části udělování povolení k přístupu v aplikaci TeamViewer. Hackeři toho mohli využít k instalaci a spuštění škodlivých aktivit při každé aktivaci služby.

Útoky na slabá hesla
Při absenci mechanismu vícefaktorové autentizace stačí útočníkovi heslo uhodnout. Pokud jsou hesla slabá nebo je uživatelé či pracovníci technické podpory recyklují na více místech, tím jen zvyšují motivace útočníka získat přístup k co nejvíce systémům.

Sociální inženýrství přes vzdálený přístup
Vynalézavost útočníků nezná mezí a i přes mnohé kampaně upozorňující na metody sociálního inženýrství je stále překvapující, jakými způsoby lze uživatele obelstít. Existuje řada případů, kdy naivní uživatelé umožnili pod nejrůznějšími záminkami vzdálený přístup do svých počítačů zcela neznámým lidem, kteří pak mohli s využitím jejich obsahu napadnout celou firemní síť či zneužít zjištěných informací.

Bezpečnost vzdálených připojení

Bez ohledu na to, zda se připojujeme s pomocí remote assistance nebo remote desktop, důležitým faktorem je bezpečnost. Při vytváření vzdáleného spojení vzniká řada potenciálních zranitelností, které mohou ohrožovat oba propojené počítače a potažmo také celou firemní síť. Počítač, ke kterému se vzdáleně připojujeme, je pak stejně zabezpečený jako samotné propojení.

Oba zmíněné typy vzdáleného připojení se mohou stát předmětem kybernetického útoku, nicméně v něčem se liší. V případě remote assistance je vždy někdo na druhé straně připojení. U technické podpory se předpokládá, že nebude vystavovat uživatele kybernetickým rizikům, naopak jej lépe ochrání. Uživatel pak musí nejprve pozvat vzdáleného pracovníka k připojení a po celou dobu relace jej může monitorovat.

Remote desktop takovouto kontrolu nemá, dnes je často využíván pracovníky způsobem, který může vést k nebezpečným situacím. Proto se například v poslední době setkáváme se zvýšeným zájmem firem o VPN řešení, které umožňuje zašifrovat propojení a zajistit jeho bezpečnost. Je třeba mít na paměti, že pokud hackeři získají IP adresu počítače, který může vytvářet vzdálená připojení, pak už jen postačí nějak získat přihlašovací údaje. Proto je navíc důležité mít vytvořená pravidla pro správu přístupu, aby slabá uživatelská hesla nezvyšovala rizika útoku.

Nároky na specializovaná řešení

Pro správu vzdáleného přístupu existují specializovaná řešení, populární u poskytovatelů řízených služeb je například SolarWinds Take Control, známý je také TeamViewer. Kvalitní řešení správy vzdáleného přístupu obsahují základní i pokročilé bezpečnostní funkčnosti:

  • Schéma Elliptic Curve Diffie-Hellman (ECDH) umožňující bezpečné sdílení mezi dvěma koncovými body
  • Schopnost definovat IP adresy s přístupem do daného nástroje
  • Standardy pokročilého šifrování dat (AES) 256 při přenosu i mimo něj
  • Vícevrstvá autentizace
  • Vytváření bezpečných relací
  • Automatické mazání schránky po ukončení relace
  • Prevence odpojení z důvodu auto-sleep a auto-lock módu či neaktivity

Správa vzdáleného přístupu je jednou z bezpečnostních oblastí, která v důsledku koronaviru rychle nabyla na důležitosti. Je dnes stále častěji nabízena poskytovateli řízených služeb, kteří tímto reagují na potřeby svých zákazníků navazovat bezpečné vzdálené přístupy.

Štěpán Bínek
Autor článku je Product Manager řešení SolarWinds MSP ve společnosti ZEBRA SYSTEMS.
Chcete získat časopis IT Systems s tímto a mnoha dalšími články z oblasti informačních systémů a řízení podnikové informatiky? Objednejte si předplatné nebo konkrétní vydání časopisu IT Systems z našeho archivu.