Программы удаленного доступа по локальной сети и через Интернет

Сергей Пахомов

Anyplace Control 4.0.8.4

Access Remote PC 5.0.2

DameWare NT Utilities 6.6.0

RemotelyAnywhere 8.0.605

Radmin 3.0

UltraVNC v 1.0.3 RC6

VNC Personal Edition 4.3.1

Выводы

 

Организация удаленного доступа к компьютеру через Интернет — мечта многих пользователей. Представьте себе: вы оставили дома компьютер включенным, пришли на работу и получили к нему полный доступ. Или наоборот: вы оставили на работе включенный компьютер, пришли домой и уже со своего домашнего компьютера получили полный доступ к своему рабочему ПК, с которого можно посмотреть фильм или просто скачать нужные файлы. Естественно, при этом предполагается, что домашний компьютер, равно как и рабочий, имеет постоянный выход в Интернет, что, в принципе, можно считать вполне типичной ситуацией. Ситуаций, когда требуется получить удаленный доступ к компьютеру, предостаточно. К примеру, на домашнем компьютере нет места для хранения фильмов. Не беда! Фильмотеку можно организовать и на рабочем компьютере или на сервере в корпоративной сети. Главное — иметь удаленный доступ к этим ресурсам. Или другой пример из жизни. Вам срочно потребовалось скопировать какой-нибудь дистрибутив или просто новый фильм с рабочего компьютера, но под рукой, как назло, нет ни DVD-болванки, ни подходящей по емкости флэшки. Нет ничего проще — достаточно оставить рабочий компьютер включенным и получить доступ к нему из дома. Еще один пример, когда требуется удаленный доступ к домашнему или рабочему компьютеру, — это командировки. Ведь в этом случае можно не только получать нужную информацию из своей корпоративной сети, но и просматривать почту.

Cценариев, когда удаленный доступ к компьютеру был бы как нельзя кстати, более чем достаточно, но вот программных продуктов, позволяющих реализовать такой доступ, не так уж много.

В принципе, любую программу удаленного администрирования, ориентированную на работу в локальной сети, можно попытаться использовать для реализации удаленного доступа к ПК через Интернет. К примеру, для организации удаленного доступа к компьютеру через Интернет можно попытаться воспользоваться стандартными средствами и программами, такими как утилита Remote Desktop Connection, входящая в состав операционной системы Windows XP. Однако на практике это не даст должного результата. Все дело в том, что подобные утилиты ориентированы на создание соединения между двумя компьютерами с известными IP-адресами. В локальной сети это не вызывает проблем, однако если нужно получить удаленный доступ к компьютеру через Интернет, то не все так просто. Проблема заключается в том, что компьютеры пользователей, находящиеся в локальных сетях, не имеют внешнего (публичного) IP-адреса. Действительно, компьютеры в составе локальной корпоративной сети с выходом в Интернет, как правило, находятся за интернет-шлюзом с интегрированным NAT-устройством и со стороны внешней сети (Интернета) имеют один IP-адрес, который является IP-адресом самого интернет-шлюза. Внутри локальной сети компьютерам присваиваются адреса из зарезервированного для частного использования диапазона IP-адресов. Частное адресное пространство регламентируется документом RFC 1918. К таким адресам относятся следующие IP-диапазоны: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-192.168.255.255.

Согласно документу RFC 1918, частные IP-адреса нельзя использовать в Глобальной сети, поэтому они могут свободно применяться только для внутренних целей.

Для того чтобы понять, почему установление соединения между компьютером локальной сети, защищенной маршрутизатором, и компьютером в Интернете (с внешним IP-адресом) или с компьютерами из разных локальных сетей, защищенных маршрутизаторами, может вызывать проблемы, необходимо ознакомиться с особенностями функционирования протокола NAT.

Прежде всего рассмотрим, как происходит сетевое соединение между двумя ПК.

Когда один компьютер сети устанавливает соединение с другим компьютером, открывается сокет, определяемый IP-адресом источника, портом источника, IP-адресом назначения, портом назначения и сетевым протоколом. Формат IP-пакета предусматривает двухбайтовое поле для номеров портов. Это позволяет определить 65 535 портов, которые играют роль своеобразных каналов связи. Из 65 535 портов первые 1023 зарезервированы для хорошо известных серверных сервисов, таких как web, FTP, Telnet и т.д. Все остальные порты могут применяться для любых других целей.

Если, к примеру, один сетевой компьютер обращается к FTP-серверу (порт 21), то при открытии сокета операционная система присваивает сессии любой порт выше 1023. Например, это может быть порт 2153. Тогда IP-пакет, отправляемый со стороны ПК к FTP-серверу, будет содержать IP-адрес отправителя, порт отправителя (2153), IP-адрес получателя и порт назначения (21). IP-адрес и порт отправителя будут использоваться для ответа сервера клиенту. Применение разных портов для различных сетевых сессий позволяет клиентам сети одновременно устанавливать несколько сессий с разными серверами или с сервисами одного сервера.

Теперь рассмотрим процесс установления сессии при использовании маршрутизатора на границе внутренней сети и Интернета. Когда клиент внутренней сети устанавливает связь с компьютером внешней сети, открывается сокет, определяемый IP-адресом источника, портом источника, IP-адресом назначения, портом назначения и сетевым протоколом. Когда приложение передает данные через этот сокет, IP-адрес источника и порт источника вставляются в пакет в поля параметров источника. Поля параметров пункта назначения будут содержать IP-адрес получателя и порт получателя. К примеру, компьютер внутренней сети с IP-адресом 192.168.0.1 может обратиться к web-серверу Глобальной сети с IP-адресом 64.233.188.104. В этом случае операционная система клиента может назначить установленной сессии порт 1251 (порт источника), а порт назначения — это порт web-сервиса, то есть 80. Тогда в заголовке отправляемого пакета будут указаны следующие атрибуты (рис. 1):

 

p;

Рис. 1. Принцип работы маршрутизатора при передаче пакета из внутренней сети во внешнюю

  • IP-адрес источника — 192.168.0.1;
  • порт источника — 1251;
  • IP-адрес получателя — 64.233.183.104;
  • порт получателя — 80;
  • протокол — TCP.

Устройство NAT (маршрутизатор) перехватывает исходящий из внутренней сети пакет и заносит в свою внутреннюю таблицу сопоставление портов источника и получателя пакета, используя IP-адрес назначения, порт назначения, внешний IP-адрес устройства NAT, внешний порт, сетевой протокол, а также внутренние IP-адрес и порт клиента.

Предположим, что в рассмотренном выше примере NAT-маршрутизатор имеет внешний IP-адрес 195.2.91.103 (адрес WAN-порта), а для установленной сессии внешний порт NAT-устройства — 3210. В этом случае внутренняя таблица сопоставления портов источника и получателя пакета содержит следующую информацию:

  • IP-адрес источника — 192.168.0.1;
  • порт источника — 1251;
  • внешний IP-адрес NAT-устройства — 195.2.91.103;
  • внешний порт NAT-устройства — 3210;
  • IP-адрес получателя — 64.233.183.104;
  • порт получателя — 80;
  • протокол — TCP.

Затем устройство NAT «транслирует» пакет, преобразуя в пакете поля источника: внутренние IP-адрес и порт клиента заменяются внешними IP-адресом и портом устройства NAT. В рассмотренном примере преобразованный пакет будет содержать следующую информацию:

  • IP-адрес источника — 195.2.91.103;
  • порт источника — 3210;
  • IP-адрес получателя — 64.233.183.104;
  • порт получателя — 80;
  • протокол — TCP.

Преобразованный пакет пересылается по внешней сети и в итоге попадает на заданный сервер.

Получив пакет, сервер будет направлять ответные пакеты на внешний IP-адрес и порт устройства NAT (маршрутизатора), указывая в полях источника свои собственные IP-адрес и порт (рис. 2). В рассмотренном примере ответный пакет от сервера будет содержать в заголовке следующую информацию:

 

Рис. 2. Принцип работы маршрутизатора при передаче пакета из внешней сети
во внутреннюю

  • IP-адрес источника — 64.233.183.104;
  • порт источника — 80;
  • IP-адрес получателя — 195.2.91.103;
  • порт получателя — 3210;
  • протокол — TCP.

Маршрутизатор принимает эти пакеты от сервера и анализирует их содержимое на основе своей таблицы сопоставления портов. Если в таблице будет найдено сопоставление порта, для которого IP-адрес источника, порт источника, порт назначения и сетевой протокол из входящего пакета совпадают с IP-адресом удаленного узла, с удаленным портом и с сетевым протоколом, указанным в сопоставлении портов, то маршрутизатор выполнит обратное преобразование: заменит внешний IP-адрес и внешний порт в полях назначения пакета на IP-адрес и внутренний порт клиента внутренней сети. Таким образом, пакет, передаваемый во внутреннюю сеть, для рассмотренного выше примера будет иметь следующие атрибуты:

  • IP-адрес источника — 64.233.183.104;
  • порт источника — 80;
  • IP-адрес получателя — 192.168.0.1;
  • порт получателя — 1251;
  • протокол — TCP.

Однако если в таблице сопоставления портов не находится соответствия, то входящий пакет отвергается и соединение разрывается.

Любой ПК внутренней сети может передавать данные в Глобальную сеть с использованием внешнего IP-адреса и порта маршрутизатора. При этом IP-адреса внутренней сети, как присвоенные сессиям порты, остаются невидимыми со стороны внешней сети.

Однако маршрутизатор позволяет обмениваться данными между компьютерами внутренней и внешней сетей только в том случае, если этот обмен инициируется компьютером внутренней сети. Если же какой-нибудь компьютер внешней сети попытается получить доступ к компьютеру внутренней сети по собственной инициативе, то такое соединение маршрутизатором отвергается. Именно поэтому получить удаленный доступ к компьютеру, расположенному во внутренней локальной сети, защищенной маршрутизатором, не так-то просто. В то же время существуют технологии, позволяющее решить проблему доступа к компьютеру в составе локальной сети из Интернета.

Для того чтобы сделать компьютер в составе локальной сети доступным из Интернета, необходимо произвести специфические настройки на маршрутизаторе, то есть либо организовать так называемую демилитаризованную зону и добавить в нее нужный компьютер, либо реализовать статическое перенаправление портов на маршрутизаторе (Port Forwarding, Port mapping).

Демилитаризованная зона (DMZ-зона) — это способ обхода ограничений протокола NAT. Компьютер внутренней локальной сети, размещенный в зоне DMZ, становится прозрачным для протокола NAT. Фактически это означает, что компьютер внутренней сети виртуально располагается перед брандмауэром. Для ПК, находящегося в DMZ-зоне, осуществляется перенаправление всех портов на один внутренний IP-адрес, что позволяет организовать передачу данных из внешней сети во внутреннюю.

Если, к примеру, компьютер с IP-адресом 192.168.1.10, находящийся во внутренней локальной сети, размещен в DMZ-зоне, а сама локальная сеть защищена маршрутизатором, то при поступлении по любому порту запроса из внешней сети по адресу WAN-порта маршрутизатора этот запрос будет переадресован на IP-адрес 192.168.1.10, то есть на адрес компьютера в DMZ-зоне.

Поскольку компьютер, размещенный в DMZ-зоне, становится доступным из внешней сети и никак не защищен брандмауэром, он становится уязвимым местом сети. Прибегать к размещению компьютеров в демилитаризованной зоне нужно только в самом крайнем случае, когда никакие другие способы обхода ограничений протокола NAT по тем или иным причинам не подходят.

Наиболее часто для удаленного доступа к компьютеру, расположенному во внутренней сети, применяется так называемое статическое перенаправление портов. Технология статического перенаправления портов позволяет сделать доступными из внешней сети определенные приложения, запускаемые на компьютере во внутренней сети. Для того чтобы реализовать перенаправление портов, в маршрутизаторе необходимо задать сопоставление между портами, используемыми определенными приложениями, и IP-адресами тех компьютеров внутренней сети, на которых эти приложения работают (такие компьютеры называют виртуальными серверами). В результате любой запрос из внешней сети на внешний IP-адрес маршрутизатора по указанному порту будет автоматически перенаправлен на указанный виртуальный сервер внутренней сети.

К примеру, если во внутренней сети конфигурируется виртуальный сервер, который запускается на ПК с IP-адресом 192.168.0.10, то при настройке виртуального сервера задаются IP-адрес виртуального сервера (192.168.0.10), применяемый протокол и порт приложения, к которому необходимо получить доступ извне. Так, если приложение использует протокол TCP и порт 12345, то при обращении по внешнему IP-адресу маршрутизатора по порту 12345 пользователь внешней сети может получить доступ к приложению виртуального сервера внутренней сети, несмотря на использование протокола NAT.

Как правило, маршрутизаторы позволяют создавать несколько статических перенаправлений портов. То есть на одном виртуальном сервере можно открыть сразу несколько портов или создать несколько виртуальных серверов с различными IP-адресами. Однако при статическом перенаправлении портов нельзя перенаправлять один порт на несколько IP-адресов, то есть порт может соответствовать только одному IP-адресу.

Отметим, что если речь идет о корпоративной сети, то без согласия сетевого администратора получить доступ к настройкам маршрутизатора невозможно, и очевидно, что ни один системный администратор на это не пойдет.

Несмотря на сложность установления соединения между двумя компьютерами через Интернет в том случае, когда они защищены маршрутизаторами, существуют программные средства, позволяющие получать удаленный доступ к компьютеру через Интернет. Все программы подобного типа используют два возможных сценария: установление либо прямого соединения между компьютерами, либо соединения через сервер-посредник, который играет роль ретранслятора при взаимодействии двух компьютеров и позволяет обойти ограничения протокола NAT за счет того, что инициатором установления соединения выступает сам удаленный компьютер, расположенный во внутренней локальной сети. В случае установления прямого соединения между компьютерами образуется высокоскоростной канал связи, однако к недостаткам такого решения можно отнести необходимость настройки сетевого оборудования, причем установление прямого соединения возможно далеко не всегда. При использовании сервера-посредника между компьютерами образуется низкоскоростной канал связи и вероятность успешного установления соединения между компьютерами повышается. Как правило, применение сервера-посредника — услуга платная, причем платить за нее приходится каждый месяц.

Далее мы рассмотрим программы, предназначенные для удаленного управления компьютерами как в составе одной локальной сети, так и через Интернет. Отметим, что будут рассматриваться только те программы, которые совместимы с операционными системами семейства Windows.

Anyplace Control 4.0.8.4

www.anyplace-control.com

Платформа: Windows 95/98/NT/2000/2003/XP/Vista

Управление по локальной сети:

Управление через Интернет:

Данная программа — одна из немногих, имеющих русскоязычный интерфейс. Она поддерживает все операционные системы семейства Windows, включая Windows Vista, и позволяет осуществлять удаленное управление компьютерами как в составе одной локальной сети, так и через Интернет.

Программа состоит из двух модулей: Host и Admin. Host-модуль устанавливается на управляемом ПК, а Admin-модуль — на компьютере, с которого производится управление.

К несомненным достоинствам Anyplace Control можно отнести то обстоятельство, что Host-модуль программы может запускаться вручную как отдельная программа и как служба одновременно с загрузкой операционной системы. Кроме того, Host-модуль может устанавливаться удаленным образом с компьютера, на котором установлен Admin-модуль. Естественно, удаленная установка Host-модуля возможна только в пределах локальной сети и для этого необходимо иметь права администратора.

Программа Anyplace Control 4.0.8.4 позволяет работать в двух режимах: в режиме удаленного управления компьютерами в локальной сети, когда и управляемые компьютеры, и компьютер, с которого производится управление, находятся в составе одной локальной сети, и в режиме удаленного управления компьютерами через Интернет.

В режиме удаленного управления компьютерами в локальной сети между ними устанавливается так называемое прямое соединение (direct connect). В данном режиме встроенный в программу сетевой сканер позволяет отображать все компьютеры локальной сети (домена или рабочей группы), причем можно настроить фильтр на отображение только тех ПК, которые имеют установленную клиентскую часть программы, то есть тех, к которым можно подключиться (рис. 3).

 

Рис. 3. Сканер сети позволяет отфильтровать
те клиентские ПК, на которых установлен Host-модуль
программы Anyplace Control 4.0.8.4

После того как выбраны компьютеры, к которым необходимо подключиться, они добавляются в список и становятся доступными для удаленного управления (рис. 4).

 

Рис. 4. Главное окно программы Anyplace Control 4.0.8.4,
где отображается список компьютеров, к которым можно
удаленно подключиться

В случае, когда требуется получить удаленное управление компьютерами через Интернет, используется так называемое Account-соединение. Данное решение позволяет соединять через Интернет компьютеры, которые не имеют внешнего (публичного) IP-адреса и находятся в составе разных локальных сетей. Соединение между компьютерами через Интернет устанавливается не напрямую, а через специальный шлюз (Gateway Server), который играет роль посредника (ретранслятора) при обмене данными между компьютерами. Соединение компьютеров со шлюзом происходит по протоколу HTTPS, что позволяет избежать проблем с использованием брандмауэров и/или маршрутизаторов (рис. 5).

 

Рис. 5. Схема реализации Account-соединения

После того как компьютер с Admin-модулем и компьютер с Host-модулем устанавливают соединение со шлюзом, можно подключить компьютер с Admin-модулем к компьютеру с Host-модулем и получить над удаленным компьютером полный контроль.

Для того чтобы установить Account-соединение, необходимо завести учетную запись на Gateway-сервере, то есть указать имя учетной записи (e-mail) и пароль доступа.

Учетная запись создается один раз, после чего к ней можно присоединять сколько угодно компьютеров. Для реализации Account-подключения данная функция должна быть включена как на Host-модуле, так и на Admin-модуле, для чего указывается подключение к одной и той же учетной записи.

Функциональные возможности программы Anyplace Control 4.0.8.4 в режиме установления прямого соединения между компьютерами (в пределах одной локальной сети) и в режиме Account-соединения через Интернет ничем не различаются.

Программа может работать в режиме просмотра и в режиме управления. В режиме просмотра имеется возможность отображать на экране рабочий стол удаленного ПК и наблюдать за действиями пользователя, а в режиме управления — полностью перехватывать управление удаленным ПК. Интересной особенностью режима удаленного управления является то, что работа самого пользователя удаленного ПК при этом не блокируется.

К несомненным достоинствам данной утилиты можно отнести то обстоятельство, что она позволяет удаленно управлять одновременно несколькими ПК. При этом имеется возможность одновременного выполнения на управляемых ПК таких команд, как выключение, перезагрузка и завершение сеанса пользователя.

Для предотвращения несанкционированного доступа у ПК в настройках Host-модуля программы можно задать пароль доступа к управляемому компьютеру, установить опцию запроса разрешения на установление подключения, разрешить полный доступ к ПК или только режим просмотра и настроить фильтр IP-адресов, с которых разрешен доступ к ПК (только для режима прямого подключения).

В числе других интересных особенностей программы — шифрование трафика при удаленном управлении ПК. Так, все данные шифруются с использованием алгоритма RC4 (128-битный ключ), а для аутентификации пользователей применяется алгоритм CHAP.

Программа поддерживает использование общего буфера обмена между управляемым компьютером и ПК, с которого производится управление. Кроме того, имеется возможность обмена файлами между компьютерами.

Отметим, что в некоторых случаях для получения удаленного доступа к компьютеру через Интернет требуется детальная настройка брандмауэров и маршрутизаторов, поэтому мы бы не стали утверждать, что данная программа с легкостью «пробивает» все брандмауэры и маршрутизаторы.

Собственно, проблема установления соединения через Интернет между компьютерами возникает практически всегда, когда управляемый компьютер расположен в локальной сети, защищенной маршрутизаторами, а управляющий компьютер находится или в Интернете, или в другой локальной сети. Для решения этой проблемы в руководстве пользователя программы рекомендуется на маршрутизаторе настроить функцию перенаправления портов. Причем если во внутренней сети, защищенной маршрутизатором, имеется несколько компьютеров, которыми необходимо управлять извне, то на маршрутизаторе необходимо реализовать функцию статического перенаправления портов для каждого из управляемых компьютеров, а в настройках Host-модуля на каждом из компьютеров задать уникальный порт, используемый программой. Программа Anyplace Control применяет протокол TCP и одновременно два порта. По умолчанию используются порты 5279 (базовый порт) и 4279 (порт, применяемый при обмене файлами).

 В качестве примера рассмотрим случай, когда во внутренней сети, защищенной маршрутизатором, имеются три компьютера с установленными Host-модулями, которыми нужно управлять, а управляющий компьютер с установленным модулем расположен в Интернете.

Пусть WAN-порт маршрутизатора имеет IP-адрес 211.27.164.21, а компьютеры во внутренней сети — IP-адреса 192.168.1.10, 192.168.1.11 и 192.168.1.12. В этом случае на каждом из компьютеров во внутренней сети посредством настроек Host-модуля необходимо задать уникальные порты. К примеру, на компьютере 192.168.1.10 Host-модуль будет использовать порты 5277 и 4277, на компьютере 192.168.1.11 — порты 5278 и 4278, а на компьютере 192.168.1.12 — порты 5279 и 4279.

Далее в настройках маршрутизатора необходимо осуществить следующее перенаправление портов:

211.27.164.21: 5277 -> 192.168.1.10: 5277;

211.27.164.21: 4277 -> 192.168.1.10: 4277;

211.27.164.21: 5278 -> 192.168.1.11: 5278;

211.27.164.21: 4278 -> 192.168.1.11: 4278;

211.27.164.21: 5279 -> 192.168.1.12: 5279;

211.27.164.21: 4279 -> 192.168.1.12: 4279.

Однако это еще не все. На последнем этапе в настройках Admin-модуля для каждого управляемого ПК необходимо задать те же самые используемые порты, что и в настройках Host-модулей.

Как видите, в случае, когда требуется получить удаленное управление компьютерами, расположенными в локальной сети, защищенной маршрутизатором извне, не все так просто — придется повозиться с настройками программы.

В заключение отметим, что демо-версия Anyplace Control 4.0.8.4 действует в течение 30 дней после установки и способна поддерживать удаленное управление не более двух ПК. Цена полной версии программы зависит от количества ПК, на которых она устанавливается. В случае одного ПК стоимость составляет 19,99 долл., а при неограниченном количестве компьютеров — 1199 долл.

Access Remote PC 5.0.2

www.access-remote-pc.com

Платформа: Windows 95/98/Mе/NT/2000/2003/XP

Управление по локальной сети:

Управление через Интернет:

Access Remote PC 5.0.2 позволяет перехватить рабочий стол и получить полный доступ к любому ПК, где установлена серверная часть данной программы, с любого другого компьютера (рис. 6). Отметим, что на управляемом ПК устанавливается серверная часть программы, а на компьютере, с которого производится управление, — клиентская часть. При установке серверной части программы на компьютерах, подлежащих удаленному управлению, задаются имя пользователя, для которого санкционировано удаленное управление, и пароль доступа.

 

Рис. 6. Перехват рабочего стола удаленного компьютера
с использованием программы Access Remote PC

При удаленном управлении компьютером работа локального пользователя не блокируется, а о том, что компьютер управляется извне, а также о том, кто именно управляет компьютером, локальный пользователь может узнать по иконке в системном трее. Кроме того, серверная часть программы позволяет при необходимости отключить всех удаленных пользователей от ПК, сменить пароли и просмотреть статистику каждой сессии удаленного управления.

Access Remote PC 5.0.2 предусматривает два режима работы: режим полного контроля удаленного ПК и режим мониторинга.

К недостаткам данной утилиты можно отнести невозможность одновременного удаленного управления несколькими ПК с использованием единого интерфейса. Однако можно одновременно запустить несколько сессий подключений (каждая сессия в своем окне), и тогда будет возможно управление несколькими удаленными компьютерами. Кроме того, не поддерживается возможность удаленной установки серверной части программы (Remote PC Server 5.0.2).

Данная утилита позволяет с легкостью передавать файлы между компьютерами, для чего предусмотрен специальный режим Transfer Files, а также поддерживает работу с буфером обмена, то есть позволяет синхронизировать буферы обмена на локальном и удаленном ПК, что упрощает передачу текстовых фрагментов между ПК. Еще одним достоинством программы является поддержка шифрования при передаче данных по алгоритму RC4 со 160-битным ключом.

Программа Access Remote PC 5.0.2 дает возможность управлять компьютерами как по локальной сети, так и через Интернет, причем, как утверждается на сайте производителя, программа работает даже в том случае, когда компьютеры защищены брандмауэрами и маршрутизаторами. Впрочем, не все так просто, как кажется на первый взгляд. Для получения удаленного доступа через Интернет к компьютеру, находящемуся в составе локальной сети, защищенной маршрутизатором, можно попытаться настроить перенаправление портов на маршрутизаторе. По умолчанию программа использует порт TCP 34012, поэтому если, к примеру, внутренний IP-адрес компьютера, к которому необходимо получить доступ, 192.168.1.100, то на маршрутизаторе необходимо перенаправить порт TCP 34012 на IP-адрес 192.168.1.100. В этом случае, обращаясь по внешнему адресу маршрутизатора с помощью клиентской части программы, можно будет получить удаленный доступ к компьютеру, на котором установлена серверная часть программы.

Если данный сценарий по каким-либо причинам неприемлем, то в программе Access Remote PC 5.0.2 предусмотрена другая возможность удаленного управления компьютерами через Интернет. Для этого, так же как и в программе Anyplace Control 4.0.8.4, применяется специальный сервер в Интернете, который выполняет функцию посредника при взаимодействии двух компьютеров. Первоначально нужно завести учетную запись на этом сервере, то есть подписаться на услугу RPC Service (Remote PC Service), получить номер RPC и только после этого можно получить удаленный доступ к компьютеру.

Для удаленного управления компьютером через Интернет необходимо активировать службу RPC Service и на сервере, и на клиенте.

Услуга RPC Service является платной. Ее стоимость составляет 10 долл. в месяц (за каждый ПК), однако первые 30 дней являются ознакомительными и оплате не подлежат. В целях тестирования программы Access Remote PC 5.0.2 мы попытались выполнить все предписанные действия, чтобы получить возможность удаленного управления компьютерами через Интернет, но… натолкнулись на непреодолимые трудности. После утомительной процедуры регистрации (что требует знания английского языка) нас попросили указать атрибуты кредитной карты, дабы проверить нашу платежеспособность. Конечно, это уже хамство, но мы решили пойти до конца. Однако даже после этого мы не смогли получить нужный нам регистрационный номер RPC, зато получили письмо, в котором говорилось, что менеджеры не смогли нам дозвониться по указанному нами телефону (ну кто же настоящий телефон указывает) и просили еще раз указать телефон. Короче, терпение наше лопнуло. Протестировать возможности программы по удаленному управлению компьютерами через Интернет нам так и не удалось. Да, такие программы не для российского рынка.

И последнее. Демо-версия этой программы является полнофункциональной, но имеет ограниченное количество запусков: ее можно запустить только 30 раз. Стоимость программы зависит от количества приобретаемых лицензий. Так, если требуется обеспечить удаленное управление только одним ПК, то ее стоимость составит 40 долл.

DameWare NT Utilities 6.6.0

www.dameware.com

Платформа: Windows NT/2000/2003/XP/Vista (32-bit)

Управление по локальной сети:

Управление через Интернет:

Программный пакет DameWare NT Utilities 6.6.0.1 представляет собой мощную систему удаленного администрирования локальной сети. Он основан на комплексе утилит Microsoft Windows NT administration utilities, объединенных очень удобным единым интерфейсом. Большинство утилит, входящих в пакет, из набора Microsoft Windows NT administration utilities и обладает расширенными возможностями, а некоторые утилиты не имеют аналогов в указанном наборе. В частности, в пакет входит утилита DameWare Mini Remote Control, которая позволяет полностью контролировать рабочий стол удаленного ПК, а также утилита для реализации режима командной строки на удаленном ПК.

При запуске пакета автоматически сканируется вся сеть, и в главном окне программы отображаются все доступные домены и рабочие группы, а также компьютеры в выбранном домене/рабочей группе (рис. 7).

 

Рис. 7. Рабочий стол выбранного удаленного ПК

Перечислим основные возможности пакета DameWare NT Utilities 6.6.0.1. С его помощью возможно просматривать информацию о конфигурации удаленных ПК, журнал событий Event Log, информацию о подключенных принтерах, о запущенных процессах и службах, об установленных приложениях, а также служебную информацию об активированных пользователях ПК и многое другое. Имеются и дополнительные возможности: можно быстро редактировать реестр на удаленном ПК, посылать сообщения пользователям через службу Messenger, удаленно выключать или перезагружать компьютеры и, как уже говорилось, получать полное управление удаленным ПК через командную строку или рабочий стол.

Несомненным достоинством данного программного пакета является то, что для реализации удаленного управления не требуется вручную устанавливать клиентскую часть программы на удаленном ПК. При попытке управления удаленным ПК через рабочий стол или через командную строку программа DameWare NT Utilities 6.6.0.1 автоматически выдает запрос на установку и запуск необходимой службы на удаленном ПК. При этом пользователь этого удаленного ПК узнает о перехвате управления, увидев всплывающее окошко, в котором отображается информация о том, с какого именно ПК производится удаленное управление.

К достоинствам DameWare NT Utilities 6.6.0.1 можно отнести и следующие возможности: во-первых, реализуется одновременное подключение к нескольким компьютерам для их управления, а во-вторых, при удаленном управлении не блокируется работа локального пользователя.

Утилита DameWare Mini Remote Control позволяет получить доступ к рабочему столу удаленного ПК не только в пределах локальной сети, но и через Интернет. Однако, в отличие от большинства других подобных утилит, в данном случае установление соединения между компьютерами происходит без участия сервера-посредника, расположенного в Интернете, то есть между компьютерами устанавливается прямое соединение. С одной стороны, это позволяет создавать каналы связи между компьютерами с высокой пропускной способностью, а с другой — налагает определенные ограничения на возможность установления связи и требует настройки сетевого оборудования (настройки перенаправления портов на маршрутизаторах, открытия портов на брандмауэрах), однако не гарантируется, что связь между компьютерами можно будет установить всегда.

В технической документации к программе даются рекомендации, каким образом можно установить соединение между двумя компьютерами через Интернет. Оптимальным считается следующий сценарий: установить VPN-соединение между управляемым и управляющим компьютерами с помощью стороннего ПО, а уже потом с помощью утилиты DameWare Mini Remote Control получить удаленный доступ к компьютеру. Если же нет возможности использовать VPN-туннель, то рекомендуется следующая процедура (правда, без гарантии, что это приведет к положительному результату).

Во-первых, необходимо вручную установить программу Mini Remote Client Agent Service (клиентская часть программы DameWare Mini Remote Control) на удаленном ПК, который находится за маршрутизатором. Далее на маршрутизаторе (брандмауэре) необходимо открыть порт, который будет применяться программой Mini Remote Client Agent Service в режиме прослушивания. По умолчанию программой используется порт TCP 6129. После этого в настройках маршрутизатора необходимо реализовать статическое перенаправление этого порта на внутренний IP-адрес компьютера с установленной программой Mini Remote Client Agent Service.

Для получения удаленного доступа в настройках программы DameWare Mini Remote Control (на компьютере, с которого производится удаленное управление) в поле HostName or IP-Address необходимо указать IP-адрес WAN-порта маршрутизатора и соответствующий TCP-порт. После этого возможно установление прямого соединения между компьютерами.

Отметим, что данный способ можно применять, когда маршрутизатору присваивается статический IP-адрес. Если же он является динамическим, то задача несколько осложняется, поскольку перед установлением соединения приходится каждый раз узнавать IP-адрес WAN-порта маршрутизатора. Кроме того, даже в этом случае нет никакой гарантии, что установление прямого соединения между компьютерами возможно.

Для облегчения процедуры установления соединения в программе Mini Remote Client Agent Service есть специальная функция Reverse Connection. После того как на удаленном ПК установлена программа Mini Remote Client Agent Service, пользователь может использовать функцию Reverse Connection, которая активируется в настройках программы. Для этого необходимо выбрать в настройках программы пункт Connect to Client.

Обычно процесс установления соединения с удаленным ПК инициируется администратором с компьютера, на котором установлена программа DameWare Mini Remote Control. Функция Reverse Connection позволяет инициировать установление соединения с обратной стороны, то есть со стороны удаленного компьютера. В этом случае нет необходимости настраивать перенаправление портов на маршрутизаторе, за которым находится удаленный компьютер, однако необходимо, чтобы компьютер, с которого производится управление, имел внешний IP-адрес. В противном случае придется реализовать перенаправление портов на маршрутизаторе, за которым находится компьютер администратора (с помощью программы DameWare Mini Remote Control).

В целом программный пакет DameWare NT Utilities 6.6.0.1 является, на наш взгляд, мощным и удобным средством сетевого управления.

Демонстрационная версия программы полнофункциональная, но с ограниченным 30 днями сроком действия. Цена лицензии — 289 долл. Кроме того, можно отдельно приобрести пакет DameWare Mini Remote Control для удаленного управления компьютерами через рабочий стол, при этом лицензия будет стоить 90 долл.

RemotelyAnywhere 8.0.605

www.remotelyanywhere.com

Платформы: Windows 98/Mе/NT/2000/2003/XP/Vista

Управление по локальной сети:

Управление через Интернет:

Данный программный пакет служит для удаленного управления компьютерами по локальной сети или через Интернет и позволяет получить полный и при этом защищенный доступ к рабочему столу удаленного ПК. С помощью RemotelyAnywhere можно реализовать любые действия на удаленном ПК — производить запуск и закрытие приложений, перезагрузку компьютера, добавлять и удалять пользователей, изменять права доступа, работать с файловой системой и получать доступ к процессам, сервисам, реестру и системной информации. Получив контроль над рабочим столом удаленного ПК, можно работать с ним так же, как с локальным ПК. При доступе к удаленному ПК необходимо вводить имя пользователя и пароль, что предотвращает несанкционированный доступ. При удаленном управлении ПК работа локального пользователя не блокируется, а о факте удаленного подключения можно узнать по иконке в системном трее.

В числе особенностей программы отметим, что она имеет только серверную часть и устанавливается только на тех компьютерах, которые подлежат удаленному администрированию. При этом доступ к удаленному ПК производится с использованием обычного web-браузера (HTML, Java, Mozilla или ActiveX) — рис. 8.

 

Рис. 8. RemotelyAnywhere: доступ к удаленному ПК производится с использованием
обычного web-браузера

Программный пакет RemotelyAnywhere предназначен скорее для удаленного администрирования компьютеров через Интернет, чем для управления компьютерами в локальной сети. Дело в том, что некоторые специфические особенности этого продукта ограничивают возможные сценарии его применения и снижают его эффективность в локальной сети для удаленного администрирования парка ПК. К примеру, при установке RemotelyAnywhere на компьютер требуется, чтобы он имел доступ в Интернет (во всяком случае, это относится к trial-версии программы). Кроме того, программа не позволяет эффективно управлять несколькими компьютерами одновременно. Правда, для организации одновременного управления несколькими ПК можно применять консоль управления Network Console, которая приобретается отдельно.

По умолчанию данная программа использует порт TCP 2000. Для получения удаленного доступа к компьютеру в составе локальной сети в web-браузере достаточно в качестве URL набрать: //имя компьютера: 2000 или //ip-адрес: 2000. При этом, естественно, речь идет о внутреннем IP-адресе компьютера.

Для получения удаленного доступа к компьютеру через Интернет нужно, чтобы ПК имел внешний IP-адрес. В этом случае в web-браузере достаточно в качестве URL набрать: //ip-адрес: 2000. Если компьютер находится за маршрутизатором, то для получения удаленного доступа необходимо открыть соответствующий порт и реализовать статическое перенаправление портов на маршрутизаторе. К примеру, если WAN-порт маршрутизатора имеет IP-адрес 211.27.164.21, а компьютер во внутренней сети с установленной программой RemotelyAnywhere — IP-адрес 192.168.1.10, то в настройках маршрутизатора необходимо осуществить следующее перенаправление портов: 211.27.164.21: 2000 -> 192.168.1.10: 2000.

В этом случае для получения удаленного доступа к компьютеру в web-браузере в качестве URL необходимо указать: //211.27.164.21: 2000.

В заключение отметим, что стоимость одной лицензии программы RemotelyAnywhere 8.0.605 составляет 99 долл.

Radmin 3.0

www.radmin.com

Платформы: Windows 98/Mе/NT/2000/2003/XP/Vista

Управление по локальной сети:

Управление через Интернет: KKKKK

Radmin 3.0 — это довольно известная программа удаленного администрирования. Широкое распространение в России она получила прежде всего благодаря русскоязычному интерфейсу.

Программа Radmin 3.0 состоит из двух частей: серверной и клиентской. Серверная часть (Radmin Server 3.0) устанавливается на компьютере, к которому необходимо получить удаленный доступ, а клиентская (Radmin Viewer 3.0) — на компьютере, с которого производится управление (рис. 9).

 

Рис. 9. Главное окно программы Radmin Viewer 3.0 со списком компьютеров,
к которым возможно удаленное подключение

Radmin работает в режиме защиты данных, при котором все передаваемые данные, изображения экрана, перемещения курсора и сигналы клавиатуры шифруются по стандарту AES. Секретный ключ генерируется случайным образом для каждого подключения. Для аутентификации пользователей в Radmin может быть использована либо система безопасности Windows с поддержкой активных директорий (Active Directory) и протокола Kerberos, либо собственная система безопасности Radmin с индивидуальными правами доступа для каждого пользователя и защищенной аутентификацией по логину и паролю. Дополнительно таблицы IP-фильтрации позволяют разрешить доступ только для определенных хостов и подсетей.

Программа Radmin 3.0 дает возможность управлять одновременно несколькими удаленными компьютерами. Кроме того, поддерживается несколько одновременных подключений к экрану удаленного ПК, что позволяет наблюдать экран удаленного ПК одновременно с нескольких компьютеров.

Помимо обеспечения доступа к рабочему столу удаленного компьютера программа Radmin 3.0 имеет такие встроенные функции, как текстовый чат, голосовой чат и функцию отправки одиночного сообщения. Кроме того, она позволяет копировать файлы с одного компьютера на другой (рис. 10). Интерфейс режима обмена файлами аналогичен интерфейсу проводника Windows, что существенно упрощает освоение программы. Реализована функция «докачки» файлов, то есть в случае сбоя сети можно продолжить передачу файла с момента сбоя, а не с самого начала.

Другой полезной особенностью Radmin является возможность подключения к удаленному компьютеру в режиме Telnet. Это позволяет осуществлять перенос текстовых команд на удаленный компьютер с помощью командной строки в виде входящего и исходящего потоков. Данная возможность позволяет работать на удаленном компьютере, не мешая работающему за ним пользователю, — это практически терминальный доступ, только ограниченный режимом командной строки.

 

Рис. 10. Встроенный модуль в программе Radmin 3.0 позволяет легко копировать
файлы с одного компьютера на другой

К недостаткам программы можно отнести отсутствие возможности удаленной установки серверной части программы (Radmin 3.0 Server), а также отсутствие встроенного сетевого сканера.

Программа Radmin 3.0, как следует из рекламных заявлений на сайте производителя, позволяет управлять компьютерами не только по локальной сети, но и через Интернет. Однако это утверждение справедливо лишь отчасти. На самом деле программа не имеет встроенных средств поддержки управления компьютерами через Интернет и в этом плане мало чем отличается от стандартного средства удаленного управления Remote Desktop Connection, входящего в состав операционной системы Windows. То есть для того, чтобы получить удаленный доступ к компьютеру, необходимо указать его IP-адрес или DNS-имя. Если компьютер, с которого производится управление, и управляемый компьютер входят в состав одной локальной сети, то проблем не возникает (нужно только настроить брандмауэр на обоих компьютерах). Нет проблем и в том случае, если управляемый компьютер имеет статический внешний IP-адрес. Тогда к нему легко получить удаленный доступ с использованием Radmin 3.0. Однако если управляемый компьютер находится в составе локальной сети, защищенной маршрутизатором, а компьютер, с которого производится управление, расположен в Интернете, то получить удаленный доступ не так-то просто. Придется повозиться с настройками маршрутизатора и реализовать статическое перенаправление портов, а также выделить статический внутренний IP-адрес управляемому компьютеру. Отметим, что по умолчанию программа Radmin 3.0 применяет порт TCP 4899. После этого доступ к удаленному ПК возможен по внешнему IP-адресу маршрутизатора. Если внешний IP-адрес маршрутизатора является статическим, то, в принципе, это не вызывает затруднений, но если речь идет о динамическом IP-адресе, то проблемы неизбежны, поскольку каждый раз при установлении соединения придется узнавать IP-адрес маршрутизатора.

В заключение отметим, что пробная версия программы имеет ограниченный срок действия (30 дней), а стоимость лицензии на один ПК составляет 1250 руб.

UltraVNC v 1.0.3 RC6

www.uvnc.com

Платформы: Windows 98/Mе/NT/2000/2003/XP/Vista

Управление по локальной сети:

Управление через Интернет:

UltraVNC, как и многие другие подобные программы, включает серверную и клиентскую части. Серверная часть (VNC Server) устанавливается на управляемом ПК, а клиентская (VNC viewer) — на ПК, с которого производится управление.

Несмотря на декларируемую возможность получения доступа к компьютеру через Интернет, данная программа ориентирована на работу в локальных сетях.

Ее функциональные возможности вполне типичны и во многом напоминают возможности программы Radmin 3.0. Так, кроме получения доступа к рабочему столу удаленного ПК (рис. 11) в режиме полного контроля, программа предлагает и ряд дополнительных функций. В частности, имеется встроенный текстовый чат и предусмотрена функция передачи файлов между компьютерами. Отметим, что функция контроля над удаленным ПК остается полностью прозрачной для удаленного пользователя. Программу можно настроить таким образом, что неискушенный пользователь даже не заметит, что он находится под контролем.

 

Рис. 11. Рабочий стол удаленного ПК в программе Ultra VNC

К недостаткам программы можно отнести невозможность удаленной установки серверной ее части.

Для получения доступа к удаленному компьютеру в том случае, когда оба компьютера находятся в одной локальной сети, после запуска в программе Ultra VNC Viewer необходимо указать его адрес или имя в формате: IP-адрес::порт или Имя хоста: :порт. По умолчанию программа использует порт TCP 5900. Так, если IP-адрес компьютера, к которому необходимо получить доступ, 192.168.1.10, то для доступа к нему следует указать: 192.168.1.10::5900. Естественно, порт 5900 должен быть открыт в настройках брандмауэра. Кроме того, для получения удаленного доступа к компьютеру необходимо ввести пароль, который предварительно задается в настройках программы Ultra VNC Server.

Если речь идет о получении удаленного доступа через Интернет, то возникают традиционные проблемы при попытке установить прямое соединение между компьютерами. То есть соединение возможно, но только в том случае, если удаленный компьютер имеет внешний IP-адрес. Если же удаленный компьютер находится в составе локальной сети, защищенной маршрутизатором, то необходимо, во-первых, открыть порт, применяемый программой, а во-вторых, реализовать статическое перенаправление порта TCP 5900 (порт по умолчанию) на внутренний IP-адрес удаленного компьютера. Но для этого, естественно, необходимо получить доступ к самому маршуртизатору. Кроме того, удаленному компьютеру придется присвоить статический IP-адрес, а не динамический с использованием DHCP-сервера. Если все перечисленные действия вам под силу, то есть у вас есть соответствующие привилегии, то программу UltraVNC можно применять для удаленного управления через Интернет, если нет — то эта программа не для вас.

VNC Personal Edition 4.3.1

www.realvnc.com

Платформы: Windows 98/Mе/NT/2000/2003/XP/Vista

Управление по локальной сети:

Управление через Интернет:

Программа VNC Personal Edition, несмотря на схожее название, имеет мало общего с программой Ultra VNC. Роднит их лишь то, что обе они предназначены для удаленного администрирования компьютеров, а аббревиатура VNC (Virtual Network Computing) означает, что речь идет об использовании протокола виртуальных сетей VNC.

Протокол VNC — это простой протокол получения доступа к графическому интерфейсу удаленного компьютера. Он основан на концепции удаленного кадрового буфера (Remote Frame Buffer, RFB), поэтому под аббревиатурами VNC и RFB часто понимают одно и то же. Протокол VNC позволяет обновлять кадровый буфер на сервере (удаленный компьютер с установленной программой VNC Server) и передавать его содержимое по сети на компьютер с установленной программой VNC Viewer. Поскольку речь идет о кадровом буфере, данный протокол может использоваться для получения доступа к графическому интерфейсу удаленного компьютера с любой операционной системой.

Кроме получения доступа к рабочему столу удаленного ПК, программа VNC Personal Edition предполагает возможность передачи файлов между компьютерами.

Для обеспечения безопасности канала связи между компьютерами весь трафик шифруется с использованием алгоритма AES (128-битный ключ). Кроме того, для получения доступа к удаленному компьютеру применяются пароль и фильтрация по IP-адресам.

Отметим, что программа VNC Personal Edition не предусматривает удаленного установления серверной части.

Для установления связи между компьютерами в программе VNC Personal Edition по умолчанию используется порт TCP 5900, поэтому прежде необходимо убедиться, что данный порт открыт в брандмауэре.

Программа VNC Personal Edition ориентирована на применение в локальных сетях и не предусматривает дополнительных средств для использования удаленного управления через Интернет.

При применении данной программы для управления компьютерами через Интернет возникают точно такие же проблемы, как и в других аналогичных программах (UltraVNC, Radmin и др.). То есть если управляемый компьютер находится в составе локальной сети, защищенной маршрутизатором с внешним IP-адресом (с выходом в Интернет), то для получения удаленного доступа к такому компьютеру необходимо присвоить ему статический IP-адрес во внутренней сети и осуществить статическое перенаправление портов на маршрутизаторе (перенаправить порт TCP 5900 на внутренний IP-адрес компьютера).

Выводы

Стоимость лицензии VNC Personal Edition на один компьютер составляет 30 долл.

Все утилиты удаленного управления прекрасно работают в том случае, когда речь идет о получении удаленного доступа в одной локальной сети, то есть когда и управляемый и управляющий компьютеры находятся в одной локальной сети. Различия между утилитами в данном случае заключаются лишь в их функциональности. Часть программ позволяет реализовать удаленный доступ с шифрованием и алгоритмами аутентификации, хотя, по большому счету, если речь идет о локальных сетях, то использование шифрования при передаче данных не является сильно востребованной функцией. Некоторые утилиты позволяют устанавливать серверную часть на удаленном ПК удаленным образом, что, естественно, очень удобно. Кроме того, имеются утилиты, которые предусматривают как режим полного контроля удаленного ПК, так и режим его мониторинга. К дополнительным возможностям подобных программу можно отнести такие функции, как обмен файлами, наличие буфера обмена между компьютерами, текстовый и голосовой чаты и некоторые другие.

Что касается получения удаленного доступа через Интернет, то все утилиты удаленного администрирования можно условно разделить на две группы: утилиты, не имеющие специальных вспомогательных средств для организации удаленного доступа через Интернет, и утилиты, обладающие такими средствами. Отсутствие в программах вспомогательных средств для организации удаленного доступа через Интернет еще не означает, что их нельзя использовать для этой цели. К примеру, если компьютер, к которому необходимо получить удаленный доступ, имеет статический внешний IP-адрес, то для организации удаленного доступа через Интернет можно применять любую программу удаленногоадминистрирования. Хотя отдельный компьютер статический внешний IP-адрес имеет очень редко. Более типичной является ситуация, когда требуется получить удаленный доступ через Интернет к компьютеру, который находится в составе локальной сети, защищенной маршрутизатором. В этом случае если маршрутизатор имеет внешний статический IP-адрес, то для реализации удаленного доступа через Интернет тоже можно использовать любую программу удаленногоадминистрирования, но при возможности реализации статического перенаправления портов на маршрутизаторе и открытия нужных портов в брандмауэре.

В то же время существует ряд сценариев, когда утилиты удаленного администрирования, не имеющие вспомогательных средств для организации удаленного доступа через Интернет, применять нельзя. К примеру, если речь идет о получении удаленного доступа к домашнему компьютеру, то весьма вероятно, что такой компьютер не имеет внешнего статического и даже динамического IP-адреса, а относится к внутренней локальной сети провайдера Интернета. В этом случае реализовать статическое перенаправление портов невозможно, поскольку доступа к настройкам маршрутизатора провайдера, через который реализуется выход в Интернет, у пользователей нет.

Утилиты удаленного администрирования, имеющие дополнительные средства для организации взаимодействия компьютеров через Интернет, предполагают использование сервера-посредника, расположенного в Интернете. В этом случае вероятность получения удаленного доступа к компьютеру через Интернет возрастает, однако не является стопроцентной. Утилит удаленного администрирования через Интернет, которые гарантировали бы, что при любых сценариях можно получить удаленный доступ к ПК, просто не существует.

В заключение отметим, что самым лучшим, на наш взгляд, решением для получения удаленного доступа через Интернет сегодня является комбинация виртуальной сети (VPN) и любой утилиты удаленного администрирования. Виртуальную сеть можно легко создать с помощью бесплатной программы Hamachi, причем если она не сможет реализовать прямой VPN-туннель через Интернет между двумя компьютерами, то можно не сомневаться, что никакая платная программа удаленного администрирования этого тоже не сделает.

 

В начало В начало

КомпьютерПресс 9'2007