COVID-19, который заставил многих перейти на удаленную работу и тем самым создал новые задачи для ИТ-специалистов - обеспечение безопасного подключения к ресурсам компании вне контура внутренней сети.
Крупные компании быстро адаптировались благодаря значительным ресурсам. Средний и малый бизнес адаптировались, в основном используя классические методы подключения: бесплатные VPN сервисы (например, OpenVPN), Microsoft Remote Assistance, RMS и многое другое. Стоит отметить, что не обошлось и без AnyDesk или RDP серверов, выводимых за NAT.
AnyDesk представляет гораздо большую угрозу, чем другие способы. Проблема не в уязвимости самого AnyDesk, а в том, что пользователи стали скачивать пиратские версии, чтобы обойти ограничения бесплатной версии. Хакеры выкладывают эти пиратские версии, чтобы получить доступ к системе жертвы.
RDP за NAT: до сих пор есть предприятия, использующие этот старый метод для быстрого подключения к серверам или ресурсам компании. Опасность заключается в том, что боты, постоянно сканирующие интернет, находят такие серверы и начинают взламывать их методом перебора.
Протоколы OpenVPN, L2TP, PPTP - основные протоколы безопасного подключения к сети. О них уже много написано, поэтому не буду повторяться. Все было хорошо, пока не появилась новость о том, что "Китайские программисты взломали алгоритм RSA", т.е. ключ шифрования стал подвержен взлому. Возможно, это попытка запугать, но что, если это правда?
Другие программы для удаленного доступа хороши, но требуют ресурсы, как финансовые, так и выделение серверов или сложные настройки шлюзов. Малый бизнес обращает на это меньше внимания, предпочитая более простые методы.
Cloudflare. Этот вариант мне больше нравится. Здесь применяется новый подход безопасности, проверенные технологии, быстрые прокси-серверы в 120 странах мира и многое другое. Многие могут спросить, в чем связь между Cloudflare и удаленным доступом к ресурсам компании? Дело в их продукте Argo Tunnel, который позволяет проксировать не только http или https трафик, но и rdp, ssh и tcp порты.
Проблема в том, что запуск туннеля RDP через командную строку неудобен для пользователей. Именно поэтому появилась идея создать приложение 2GC, которое упрощает подключение к серверу. Просто введите адрес, нажмите кнопку "подключиться" и готово, вы на сервере. Это приложение работает по всему миру, но можно ограничить доступ по различным критериям в настройках WAF.
Программа 2GC будет доступна в двух версиях - FREE и BUSINESS. Версию FREE можно скачать на сайте 2GC. Версия BUSINESS находится в стадии разработки на момент написания этой статьи.
Итог. Я провел много экспериментов с подключением и стабильностью работы Argo Tunnel на сотнях клиентов. Это решение работает, безопасно и удобно. Для стартапов, малого и среднего бизнеса это достойный вариант для перехода на новый тип подключения к ресурсам компании.
Исходник на GitHub