Администрирование Безопасность Zebedee - настройки для защиты подключения к терминальному серверу Mon, August 21 2017  

Поделиться

нашли опечатку?

Пожалуйста, сообщите об этом - просто выделите ошибочное слово или фразу и нажмите Shift Enter.


Zebedee - настройки для защиты подключения к терминальному серверу Печать
Добавил(а) microsin   

Программа zebedee предназначена для организации защищенного канала связи, т. е. служит для тех же целей, для каких используется ssh, VPN и другие шифрующие трафик сетевые приложения.

Достоинство zebedee в том, что она мало требовательна к библиотекам и ресурсам, может использоваться и на платформах Windows и *nix, а также полностью бесплатна даже для коммерческого использования и имеет открытый исходный код. Далее приводятся простые примеры практического использования zebedee для организации защищенных каналов связи.

Пример1.

Пока режим тестирования (и сервер, и клиент zebedee находятся в пределах одной подсети).
Имеем: терминальный сервер as01 на 1.0.0.38 (пусть будет IP1), порт 3389 и клиент mstsc на компьютере 1.0.0.106 (пусть будет IP2).
С помощью командной строки, например, это можно сделать так:
1. Запускаем на as01 (IP1, он же терминальный сервер) сервер zebedee:
   zebedee.exe -s
2. Запускаем на клиенте (IP2) клиента zebedee:
   zebedee.exe 3390:1.0.0.38:3389
3. Запускаем на клиенте (IP2) mstsc, указываем коннектиться к localhost:3390

Пример2.

Этот пример более “реальный”.
Если, например, нужно коннектиться к разным серверам - as01, Tanya, Olya2k, postsrv.

1. Публикуем в Инете сервер zebedee на порту, например, 10489 (для ISA см. пример публикации порта 3389 "Публикация терминального сервера из сети, защищённой ISA Server") - всё по аналогии, просто номер порта другой, не 3389, а 10489.
2. Запускаем на as01 (IP1) сервер zebedee:
   zebedee.exe -f allRDP.zbd
где содержимое конфигурационного файла allRDP.zbd такое:
   #НАЧАЛО#
   logfile 'D:\Program Files\Zebedee\log\allRDP.log'
   verbosity 1
   server true
   detached false
   target Tanya:3389
   target Olya2k:3389
   target postsrv:3389
   target as01:3389# Эта строка должна быть последней, поскольку и zebedee, и терминальный сервер оба работают на as01
   compression zlib:5
   keylength 256# Allow key length up to 256 bits
   serverport 10489
   checkidfile "D:\Program Files\Zebedee\keys\RDPall.id"
   #КОНЕЦ#
3. Запускаем на клиенте (IP2) клиента zebedee:
   zebedee.exe -f RDPall.zbd
или устанавливаем как сервис:
   "D:\Program Files\Zebedee\zebedee.exe" "-Sinstall=D:\Program Files\Zebedee\cfg\allRDP.zbd"
где содержимое конфигурационного файла RDPall.zbd такое:
   #НАЧАЛО#
   logfile 'E:\Program Files\Zebedee\log\RDPall.log'
   verbosity 1
   server false
   detached false
   compression zlib:5
   serverhost 213.147.35.98
   serverport 10489
   localsource true#можно коннектиться mstsc только к localhost
   tunnel 4003:1.0.0.3:3389#postsrv
   tunnel 4033:1.0.0.33:3389#Tanya
   tunnel 4038:1.0.0.38:3389#as01
   tunnel 4050:1.0.0.50:3389#Olya2k
   include "E:\Program Files\Zebedee\keys\as01.key"
   #КОНЕЦ#
4.Генерим ключ для клиента (файл с ключом as01.key находится на стороне, которая подключается к серверу zebedee. Этот ключ должен быть в защищённом месте):
   zebedee -p >as01.key
Генерим id-файл для сервера (этот файл RDPall.id находится на стороне сервера и, наверное, может быть передан по незащищённому каналу. Но лучше перестраховаться и перетащить его на дискетке):
   zebedee -P -f as01.key >RDPall.id
5. Запускаем на клиенте (IP2) mstsc, указываем коннектиться к:
localhost:4003 - это будет коннект к postsrv
localhost:4033 - это будет коннект к Tanya
localhost:4038 - это будет коннект к as01
localhost:4050 - это будет коннект к Olya2k
И это всё - по одному каналу TCP 10489 (секурному!).

Пример3.

Публикация сервисов TightVNC. Чтобы не повторяться, привожу только конфигурационные файлы сервера и клиента.
#      *** buh2srv.zbd ***
#      Пример конфигурации СЕРВЕРА zebedee, который запущен на шлюзе с двумя сетевыми
#      карточками - qq.xx.yy.zz (смотрит в Инет) и 192.168.10.4 (смотрит в локалку).
#      С помощью zebedee секурно опубликованы TightVNC-сервисы (два порта - 5800 для
#      авторизации и 5900 для передачи данных экрана).
#
#      Сервер zebedee установлен как сервис командой
#      "e:\Program Files\Zebedee\zebedee.exe" "-Sinstall=e:\Program Files\Zebedee\cfg\buh2srv.zbd"
#
#      Клиент zebedee запускается двойным щелчком на файле buh2.zbd или командной строкой типа:
#      zebedee.exe -f e:\Program Files\Zebedee\cfg\buh2.zbd
#
logfile 'E:\Program Files\Zebedee\log\buh2.log'
verbosity 1
server true
detached false                       #когда работает сервис, эта опция ни на что не влияет
compression zlib:5
keylength 256                        # Allow key length up to 256 bits
serverport 10488                     #порт, который слушает сервер по всем интерфейсам
target buh2rout:5800               #цель - имя шлюзового компа:сервис
target buh2rout:5900               #            --""--
# у клиента должен быть соответствующий этому слепку ключ buh2.key:
checkidfile "E:\Program Files\Zebedee\keys\buh2.id"

#      *** buh2.zbd ***
#      Пример конфигурации КЛИЕНТА для сервера zebedee, который запущен на шлюзе с двумя сетевыми
#      карточками - qq.xx.yy.zz (смотрит в Инет) и 192.168.10.4 (смотрит в локалку).
#      С помощью zebedee секурно опубликованы TightVNC-сервисы (два порта - 5800 для
#      авторизации и 5900 для передачи данных экрана).
#
#      Сервер zebedee установлен как сервис командой
#      "e:\Program Files\Zebedee\zebedee.exe" "-Sinstall=e:\Program Files\Zebedee\cfg\buh2srv.zbd"
#
#      Клиент zebedee запускается двойным щелчком на этом файле или командной строкой типа:
#      zebedee.exe -f e:\Program Files\Zebedee\cfg\buh2.zbd
#
logfile 'E:\Program Files\Zebedee\log\buh2.log'
verbosity 1
server false
#пусть будет видно окошко консоли клиента zebedee, чтобы проще было потом
# этого клиента выключить ("крестик"-кнопкой):
detached false
compression zlib:5
serverhost qq.xx.yy.zz         #под этим адресом сервак zebedee опубликован в Инете
serverport 10488                 #а это порт, который он слушает по этому адресу
localsource true                 #клиенту можно коннектиться только через localhost
#tunnel 5800:192.168.10.4:5800
#tunnel 5900:192.168.10.4:5900
#так правильно, но лучше вот так (через localhost), чтобы не привязываться
#к внутреннему IP сервера (192.168.10.4):
tunnel 5800:localhost:5800   #это уже "дальний" localhost, где работает сервер zebedee
tunnel 5900:localhost:5900   #                       --""--
#на серваке должен быть соответствующий этому ключу слепок buh2.id:
include "E:\Program Files\Zebedee\keys\buh2.key"

Работа на компе-клиенте начинается запуском клиента zebedee с конфигурационным файлом buh2.zbd, а затем Internet Explorer со ссылкой:
http://localhost:5800

Пример4.

Публикация сервиса radmin. Привожу только конфигурационные файлы сервера и клиента.
#      *** svr.zbd ***
#      Пример конфигурации СЕРВЕРА zebedee, который запущен на шлюзе с двумя сетевыми
#      карточками - aa.bb.cc.dd (смотрит в Инет) и 192.168.0.12 (смотрит в локалку).
#      С помощью zebedee секурно опубликован radmin (порт 4899).
#
#      Сервер zebedee установлен как сервис командой
#      "d:\Program Files\Zebedee\zebedee.exe" "-Sinstall=e:\Program Files\Zebedee\cfg\svr.zbd"
#
#      Клиент zebedee запускается двойным щелчком на файле svrclient.zbd или командной строкой типа:
#      zebedee.exe -f e:\Program Files\Zebedee\cfg\svrclient.zbd
#
logfile 'd:\Program Files\Zebedee\log\svr.log'
verbosity 1
server true
detached false         #когда работает сервис, эта опция ни на что не влияет
compression zlib:5
keylength 256          # Allow key length up to 256 bits
serverport 10488       #порт, который слушает сервер по всем интерфейсам
target 192.168.0.12:4899   #имя шлюзового компа:сервис
#у клиента должен быть соответствующий этому слепку ключ svr.key:
checkidfile "d:\Program Files\Zebedee\keys\svr.id"

#      *** svrclient.zbd ***
#      Пример конфигурации КЛИЕНТА для сервера zebedee, который запущен на шлюзе с двумя сетевыми
#      карточками - aa.bb.cc.dd (смотрит в Инет) и 192.168.0.12 (смотрит в локалку).
#      С помощью zebedee секурно опубликован radmin (порт 4899).
#
#      Сервер zebedee установлен как сервис командой
#      "d:\Program Files\Zebedee\zebedee.exe" "-Sinstall=e:\Program Files\Zebedee\cfg\svr.zbd"
#
#      Клиент zebedee запускается двойным щелчком на этом файле или командной строкой типа:
#      zebedee.exe -f e:\Program Files\Zebedee\cfg\svrclient.zbd
#
logfile 'E:\Program Files\Zebedee\log\svr.log'
verbosity 1
server false
#пусть будет видно окошко консоли клиента zebedee, чтобы проще было потом

# этого клиента выключить ("крестик"-кнопкой)
detached false
compression zlib:5
serverhost 81.195.164.106              #под этим адресом сервак zebedee опубликован в Инете
serverport 10488                           #а это порт, который он слушает по этому адресу
localsource true                             #клиенту можно коннектиться только через localhost
tunnel 4890:192.168.0.12:4899
#на серваке должен быть соответствующий этому ключу слепок svr.id:
include "E:\Program Files\Zebedee\keys\svr.key"

Работа на компе-клиенте начинается запуском клиента zebedee с конфигурационным файлом buh2.zbd, а затем  просмотрщика radmin, которому указываем коннектиться к localhost, нестандартный порт 4890.

[Ссылки]

1. Zebedee - защищенный туннель IP.

 

Добавить комментарий


Защитный код
Обновить

Top of Page