场景一:
李先生下班后刚刚回到家里,这时候他的手机报警响了,报警信息提示:公司服务器出现流量溢出问题。李先生不慌不忙打开手提电脑,点击桌面上SSH远程管理软件,输入用户名和密码,通过Internet登录到公司的UNIX服务器上,轻松地解决了问题。
场景二:
某大公司在全国建有十几个分支机构,公司网络由总公司的网络管理员进行集中式管理。一日,某分公司通过电话热线报告,某客户端无法正常使用。管理员接到热线后通过远程管理工具登录该客户机,接管鼠标,迅速排除故障。
以上两个场景并非来自对未来计算机网络技术的幻想小说中,而是在许多公司的网络应用中每天都在进行的日常工作。远程管理技术做为一种有效管理大型网络、尤其是异地网络的手段,正在为越来越多的公司带来积极有效的变化:技术人员的配置减少了、网络管理的工作变得轻松了、故障解决的速度加快了、出差的费用支出也大量的减少了……
远程管理技术正在被越来越多的企业所认识并加以利用,对于中、大型企业来说,它确实有着无法忽视的魅力。可以想象,在一个分布式的网络环境中,这种环境即便是一个6、7层的大楼,仅仅是客户端的问题,就已经会让一个勤劳的网管疲于奔命,没有宁日了,更何况许多公司会有异地的分公司网络需要管理与维护。而对于那些将服务器托管在IDC机房的企业来说,远程管理服务器也是一种非常现实的需求。
许多网络管理员在自己的工作中,都有一种或者几种非常得心应手的远程管理工具,但是我们关注到有更多的管理员正在寻觅适合自己的远程管理工具,还有的网管员由于公司业务的特殊性,对远程管理这种技术的安全性疑虑难解,踌躇不前,甚至有的网管员不知道自己的系统中本身已经带了能够满足自己需求的网管工具。在实际应用当中,根据远程管理对象的不同,使用的工具也不同。西格玛科技公司技术总监衣龙海说,对客户端的管理,现在有很多这种产品,如CA公司的Remotecontrol,赛门铁克的PcAnywhere,它们在系统中通过配置都能够起到很好的管理效果。一是减轻了系统管理员的负担,管理员在自己的座位上就可以对客户端进行设置、管理,当然这必须要在系统正常运行的基础上。对服务器的管理,如UNIX服务器、Windows服务器,它们本身就自带了这方面的工具。此外,对于UNIX服务器,可用最传统的Telnet管理,也可以用厂家自己的工具,如IBM、HP都有对自己服务器的管理工具,HP有Toptles,IBM有server Manager,如果是对单台服务器进行管理,可以通过一个远程管理模块。把这个模块放在服务器上,通过相应的通信线路,监控服务器的所有情况,还可以设置自动硬盘空间报警功能,现在各个厂家在自己的平台上都提供了良好的工具,来满足用户对远程管理的需求。不论是从客户机还是服务器来讲,产品都已经比较成熟,能够适应用户对远程管理及监控上的需求。
第三方远程管理软件
目前有许多第三方的远程管理软件在网管员中得到了广泛的应用。这些网络工具可以分为两类,第一类是基于命令行的,如最早的Telnet,第二类是基于图形界面的,如pcAnywhere。目前第三方的远程管理软件有的可以管理一种系统,有的则可以管理更多的系统,但是在使用习惯上却有非常大的区别。对此北大商学网的张亚宁说:从平台上来说,目前在Windows平台上使用的比较普遍的远程管理软件是赛门铁克的pcAnywhere,它使用于Windows2000系统中,主要使用者为IDC内部网,此外Remote Manager软件使用也很广泛。除此之外,一些冰河、木马等软件也可以用来进行远程管理,当然这类工具是一种双刃剑,它既可以用来作管理手段,但是也容易被非法用户截取用来进行破坏行动,这当中网管员的管理水平就显得非常重要,只要使用得当,安全性并不是非常大得问题。
在Linux,常用的远程管理软件有SSH、Exceed、Xwin—PRO、Xwin32,使用这些软件可以直接登录,管理Linux图形工作站。从管理手段上看,目前Linux远程管理软件基于图形页面的有Netterm,scrt(Secure—crt)等,这些是最广泛的基于程序的远程管理手段。还有基于Web页面的远程管理工具,Webmin工具就是一个很有效的工具。使用这个工具,只要在IE里面键入网址就可以进行管理、配置。UNIX也可以用这些方式实现远程管理,但是要进行一些适当的配置。
在众多的第三方远程管理工具当中,有两种方式应该算得上是最受欢迎的。一个是基于命令行的SSH,一个是pcAnywhere。对于前者受欢迎的程度我想用一个实例来诠释。在喜欢Linux的人群种,恐怕没有人不知道LinuxAid(www. LinuxAid.com.cn),这个组织对Linux在国内的技术和发展起到了非常广泛的推进作用。当记者在北京朗新网络公司见到该站长王涛的时候,感受到了他对SSH的巨大热情。
在朗新公司(该公司是www. LinuxAid.com.cn的主办者)在王涛的工作台上,他为记者演示了用SSH远程管理服务器的过程。在他的电脑桌面上,有一个SSH的软件,用鼠标轻轻点击,显示出一个对话框,在显示的对话框里输入用户名和密码,就可以登录到网站在电报大楼的服务器上进行远程管理。
据王涛介绍,LinuxAid的服务器托管在电报局大楼里面,现在已经3年多了。在这种3年中,他们去的非常少。电报大楼的孙先生经常说,就是LinuxAid很少打电话来重启机子,其他的公司经常会打来电话。他们的服务器除了网络扩展硬件外,没有重新启动过,扩展软件从来没有重启过服务器。每天扫描他们网站想进行非法攻击被封杀的IP地址有200多个,而LinuxAid一直安然无恙。这主要是由于:首先在服务器的配置方面,LinuxAid非常注意防止攻击的发生,尽量减少漏洞。随时跟踪补丁的修补,另外把系统配置上不需要的服务全部都关掉,坚持“最小服务”原则。所有的FTP传输都是加密传输。另外工程师之间共同管理机器,相互之间的密码传输也有很大的安全问题。LinuxAid的工程师们是散在各地的,工作都是采用网上远程办公的方式。他们上服务器干活,必须要有一个用户名和口令,这些口令是通过电子邮件来传输的,邮件传输也经过加密,有数字签名、数字证书、密钥,安全传输中的密码等,因此,即使被窃听出去,也是没有办法解析出来的。此外,他们从软件的配置、内部管理机制上都非常注意安全。正是因为安全做得比较好,所以远程管理才非常的成功。
在具体的操作上,是登录Internet进行远程管理。通过SSH(Security Share),远程登录到服务器上。在Linux服务器上,这种远程登录管理方式能够达到同主机在管理员面前同样的效果。王涛说:“象WindowsNT的远程管理有时候还需要到现场插光盘,做些其他的什么事情。对于Linux服务器来说,基本上不需要现场做什么事。”
在他的眼里,使用pcAnywhere在安全性上是没有SSH好的,因为它是一个傻瓜性的管理软件,是图形化界面,效率上比较低。相比较来说,Linux和UNIX的远程管理是最方便的,因为它主要是基于命令行的,远程管理主要是对系统级进行管理,如服务器。
当然使用SSH也可以访问Windows系统。只要在Windows客户端上装一个Exceed,就可以访问Linux服务器。但是——他说:“真正的网管员还是会使用SSH。在该协议里面还有SSH1,SSH2,后者在加密上要更强一些,更不容易突破,安全性更好。此外,SSH本身也是一个图形化的管理软件,登录也是图形化的,只有到了里面才是命令行的,它本身也带有FTP功能。这个FTP也是加密的,加密当中的口令验证用工具是无法监听到口令的,而SCRT本身是不带FTP功能的。另外SSH中还有剪贴板功能,所有的命令都可以粘贴下来,使用中比较方便。值得注意的是,这个软件在使用时要到国外的网站上注册一下(www.ssh.com)。目前该软件有商业版本,但也可以申请到免费的版本,在功能上是一样的,对于一般的应用已经能够满足,但是在下载前需要先在线注册。
王涛站长的话语里透露出对SSH软件的极度热爱,从他的介绍中我们知道,该软件不仅适用于UNIX系统和Linux系统,也同样适用于Windows系统。他之所以强调Linux平台,我们更多地应该把这做为一个Linux的发烧友心态来看待。
不管你赞成与否,pcAnywhere已经成为许多网络管理员最喜欢的远程管理工具之一。这样的产品自然有它独到之处。这个已经具有10年历史的产品具有不能忽视的重要性,它因为其价格上的优势和管理上的简单易用已经为赛门铁克公司赢得了无数的肯定。当然,这是一个支持Windows 2000系统的远程管理工具。目前,它已经发展到PcAnywhere10.0版本。
pcAnywhere10.0版本在原来版本的基础上新增加了扫描工具,让MIS人员可以非常轻松地知道企业中到底有多少个远程管理软件在运行,不管是使用pcAnywhere还是其他的软件,这套扫描系统都能够立即检查出企业中总共有多少计算机在执行远程管理软件。而值得关注的是,pcAnywhere10.0可以与Tivoli、Computer Associates UniCenter TNG、Microsoft System Management Software等网络工具配合使用。
在过去的10年中,pcAnywhere以用户的需求做为产品改进的动力,为用户提供了多功能的选择权。在这个产品中提供了100多种的用户功能,用户可能只会用到其中20种的功能,而选择把其中80种功能关闭。正是由于提供了很多的功能,用户的需求一般都能够得到满足。赛门铁克的王岳忠先生说:总的说来,pcAnywhere早期强调操作的便利性,而目前强调的则是安全机制,未来则会更加强调管理机制。
Resource Kit 中几个常用远程管理工具
在网络管理中,网管人员经常需要寻找一些适当的工具来完成手中的网络管理工作。对于他们来说,Resource Kit应该是一个很好的管理工具。微软(中国)的舒骋说,在Resource Kit中,有专门针对Windows 2000的,也有专门针对Windows NT的。
其中适用于Windows 2000的工具有:
addiag :addiag.exe是一个多方面的诊断工具。只要是用Windows Istaller技术安装的工作站或者服务器应用程序,它都可以提供相关信息,此外,它还可以告诉我们目前的工作阶段(session)是否为Windows 2000 Server的Terminal Services工作阶段。使用addiag可以传回个别用户或者计算机的信息,也可以传回与Group Policy软件安装功能相关的事件记录项目。Addiag对了解工作站发生的状况有很大的作用。
gpresult :gpresult.exe也与组策略有关系。只要在任何一台机子上执行,它就可以告诉我们在该机登录的用户受哪些组策略的设置影响。此外它还可以提供该计算机上执行的GPO功能节点如安全、软件安装、管理摸板等。以最详尽模式进行运行时,它能够提供更多信息如每个模板管理策略所修改的注册表数据库项目及各种软件策略适用于哪些应用程序上。
moveuser:当把用户帐号转移到另一个新域的时候,如果要把用户设置档一并移过去,会很困难,尤其是在远程通过不同的计算机来移动用户的用户设置档时,情况会更加麻烦。Windows 2000用户设置档与特定的用户或者组SDH呈现对应关系,当在另一个域中为同一个用户建立新的帐户时,该用户的SDH不会与原域中的一样,所以也就无法存取原域中的设置档。要解决这个问题,只要用moveuser.exe工具程序即可。该程序只有一个功能,就是更改ntuser.dat群集文件,使新建立的用户帐户有存取设置档的权利。
适用于Windows NT的工具有:
getsid:getsid.exe会传回指定的两个用户帐号的SID,并且说明它们是否完全相同。它可以在本地计算机上执行,也可以在远程计算机上执行。执行该程序时,必须给予两个帐户名,如果只要查出一个SID,最简单的办法就是同一个帐户写两次。Windows 2000支持安全管理人员同时拥有好几个SID,Windows 2000的Resource Kit也有另一个版本的getsid,但是Windows 2000的getsid只能传回指定用户的主要SID。
nltest:这是一个多用途的工具,可以检查Windows NT4.0域中的信任关系与计算机与帐户问题。用该程序可以查询远程工作站与服务器,甚至可以对这些计算机设备进行某些远程配置动作。
netdom:netdom可以让我们设置指令文件,在域内设置新的工作站或者服务器计算机帐号,并将工作站加入域内。Netdom的关键词很多,每一个都支持好几个选项,可以进行几种不同的工作。例如member关键词可以将计算机帐户加入SAM内,并重设域计算机帐号与SAM之间的安全通道连接。
对Windows 2000 Server的远程管理
不管争论多么激烈,Windows系统在国内企业中的应用仍然是非常广泛的。其实,对于Windows系统的远程管理来说,除了有一些众所周知的第三方远程管理软件外,Windows系统自身也带有许多很有用的管理工具。微软公司的舒骋先生解释说:“Windows平台虽然有许多自带的远程管理软件,但是微软希望能够为用户提供更多的选择空间,所以微软也向第三方的企业开放自己的端口,让这些企业能够开发出适用于Windows系统的第三方远程管理工具,比如pcAnywhere。当然,对于一些有特殊应用需求的企业,微软公司也可以提供特定的服务。而企业也可以根据自己的需要,自行开发一些自己特有的应用”。所以,在这里我们要讨论一下这个系统中一些自带的远程管理工具,希望能够给我们的读者一些更多的选择。
Windows 2000 Server的管理:对于那些建立在Windows平台上的网络管理者来说,远程管理一直来说都是一个难题,这种状况一直持续到Windows 2000的发布。在Windows NT及其相关的资源组件中虽然提供了实施远程管理的工具,但是它们的功能仍然是有限的,而且它们不能够提供足够的功能,或者说不具有非常好的保密功能。实际情况是问题并不一定出在这些网管工具上,而是出在OS及其服务组件缺乏对远程管理的支持上。虽然有些图形化的远程控制工具象赛门铁克的pcAnywhere提供了相应的解决方案,但是每个服务器额外付费的要求,阻止了它的发展空间。除此之外,这些工具都受限于Windows GUI对于大量带宽的需求。Windows NT除了不稳定和经常要重新开机以外,还缺乏命令行的工具和内置远程功能。而Windows 2000发布后,这些不足终于有了改善。
作为一个网络管理员,如果你了解Windows 2000内置的Terminal Services,你可能就不会再为选择哪个远程管理工具而发愁了。通过这个工具,可以远程管理Windows 2000 Server,让身为系统管理员的您从LAN或者WAN上的任何客户端或拨号线路上,远程管理管理服务器,具有使用容易、可管理性强及安全等功能。
Windows 2000改变Windows NT窘境
微软公司首先在Windows 2000 OS中提供了更好的命令行工具,降低了对GUI存取的需求。为此,它提出了新的命令行工具,象NetShell(Netsh)(Netsh指远程访问的命令,可以在Windows 2000命令行下键入此指令管理执行Windows 2000远程访问服务器。如果一特定功能有多重指令,则可以使用斜线(/)分隔独立指令来指出它们)以及NT命令行的加强版。其次,调整了对GUI工具的存取。
在Windows 2000中,微软将终端服务的支持,包含在所有Windows 2000 Server系列的OS核心之内。此外,微软也发展出一套特别的运作模式,为Windows 2000 Server提供远程管理能力。这套管理模式对于一般的终端服务模式(Terminal Service mode)和应用伺服模式(application server mode)并无授权需求,管理员可以在任何Windows2000 Server的远程管理模式下启动Terminal Services而不需要额外的客户端授权费用。虽然Terminal Services只对Windows机器提供客户端支持,Windows 2000也提供RDP 5.0终端服务客户端的16-bit和32bit的版本。也就是说,Windows 2000终于具有了全功能内置远程管理和控制能力。
安装Terminal Services
Terminal Services的安装是很直接的方式,可以在Windows 2000 Setup过程中的Additional Components部分安装这项服务,也可以在初步安装Windows 2000后,使用控制台的新增/删除程序中的新增/删除Windows Components来安装服务。要安装 Terminal Services,只要选取其复选框就可以了。选取这个选项也可以安装Terminal Services的客户端软件到服务器上和一个可以产生客户端安装磁盘的工具程序。当然如果不想安装这些程序,也可以不安装。如果Windows 2000安装了客户端软件,则OS会复制软件至服务器的%Systemroot%system32clientstsclient文件夹中,这样客户端安装文件就可以由远程客户共享。
在选取Terminal Services复选框和点击Next后,会出现一个对话框,并询问想使用哪种应用程序服务器模式。如果不想授权服务器执行给用户使用的应用程序,选取远程管理模式就可以了。这样的设置Terminal Services对服务器的性能影响将降至最低。
安装在Windows 2000 Server中的Terminal Services都需要重新启动机子后,才能够进行远程管理。当然,你也可以选用自动安装描述指令文件(Unattended installation scripts)来自动完成安装程序。
虽然说Windows 2000的Terminal Services可以在缺省设置下运行良好,但是如果做一些默认值的修改将是一件非常有意义的事情。比如说,在缺省情况下,Windows 2000 Terminal srever client session使用的是中级加密方法,Terminal Services只对客户端输送到服务器单向的数据进行加密,但是如果使用高级加密算法,Terminal Services会对往来于服务器之间的数据以128-bit的密钥强度加以保密。正如你所想象的那样,加密等级越高,速度也会越慢,相反如果加密等级低,则传输的速度将提高同时安全性降低。
网通的故事
在我们走访过的企业中,网通公司很值得大书一笔。它们在企业的远程管理上做得很到位。网通的网络是一个全国性的大网,分7个大区,大区都有技术人员,但是分公司只有到100人时才会配备一名技术人员。对于一些硬件问题,以尽快速度到大区寻求解决,如路由器坏了,可以在半天时间内到大区拿到经统一配置好的路由器。当然这种事情发生的几率是非常少的,网络是最稳定的,然后是系统,最不稳定的是客户端,因为客户端问题最多。网通公司系统集成部的网管员单彤说:在分公司,只有员工达到100人时才会配备一个网络技术人员。而整个分公司的网络管理基本上是通过远程管理的手段来完成,这样既节省了企业运做上大量的资金,提高了工作效率,更重要的是,保证了管理网络的人数不会过多,更加易于安全管理。而最重要的,是源于企业集中式管理的思想。
网通公司的远程管理方式主要从三个方面来做:网络设备,主要是路由器和交换机。在网通,交换机的管理权限都已经下发给下面的应用层,而路由器的管理是由北京总部统一负责,主要依靠密码的修改、认证等手段来完成。总部目前有两名工作人员专门负责全国的80台路由器,从监控到配置(配置都是标准的配置,在路由器下发到各地之前配置已经都完成了),联通后没有问题就可以投入使用了。如果出现无法联通的情况,北京方会将密码发过去,由对方进行修改,修改成功网络联通后,北京方再将密码改过来,这样地方的MIS就不知道路由器的密码了。在路由器的日常管理中,如果出现了漏洞或者需要进行一些新的配置,都是由总部来实现远程的、统一的管理。
第二是服务器的管理。网通公司的服务器基本上都是用Windows 2000 server,此外还有一个UNIX服务器,对于UNIX服务器的远程管理使用Telnet就可以完成。而对于Windows 2000 server,网通采用的是Terminal Services,这是Windows 2000 server中自带的终端服务。正常的端口是TCP3389,但是有可能会在装了Terminal Services的客户端后,就可能弹出一个登录界面,就象Telnet一样,不过它是自动化的,网络速度也非常快。用这种方式可以把异地的图像转换成很少的一些特征传输到本地,网管员在自己的本机上再把这些资源提出来,(因为也是Windows环境,所以可以很方便地把这些资源提出来,比如菜单等),这些特征构成一个图形化的管理界面,看上去就和本地操作一样,这也是它速度很快的一个原因。在网通的网络中,有时候会开一些交换服务器权限。在网通,很多的操作象文件服务器、邮件服务器以及升级、打补丁等都是远程来做。从远程看,屏幕、图形都是一样的,将鼠标接管过来,就可以进行管理。它的安全控制主要是用域帐号来进行,端口也改了,不再是TCP3389了。这样,即使有人拿来一个Terminal Services软件,也不知道网络的端口是多少,也就无法登录上去,这个登录只有几个管理员能够完成。对于那些本地有MIS的,会开放一个本地登录权限,给他们一个帐号,利用这个帐号他们可以进行硬件的维护等。但是他们没有远程管理的帐号。
第三是对客户端的远程管理。对客户端的远程管理工作量非常大。网通公司用的是IBM公司的Tivoli。单彤说,一般企业都不会用这个管理系统。这个系统有自己专门的服务器,一个是Netview,负责监控所有的网络设备,实际是一个网管平台。在网络中它和HP的Openview属于同一个层次,IBM把Netview集成在Tivoli的大型机里面,Tivoli是一个很大的系统,其中包含DM(分布式监控)、SD(软件分发)、RemoteControl(远程管理)、存储管理等很多体系,它们都是在一个大型环境下,集成在一个管理界面中,这个界面可以做很多的事情。Openview主要用于网络设备的管理,相对于服务器和终端的管理来说,使用Openvie在成本上非常不合算。
DM是对服务器的管理,对于监控服务器的空间、内存、CPU、链路等情况,都可以通过DM监控,在它们超过一定的警报值后系统就会自动报警。SD把软件打成一个包,要安装什么软件,管理员可以直接发送到客户端,这样客户端就不用再安装,输入注册、安装信息等,就可以直接使用了,注册表都是经过网管员修改过的了。还有就是RemoteControl功能,这主要是用来接管客户端的,在整个网络的客户端,有一个小的Callcenter。异地分公司的网络如果出现了问题,因为当地公司没有专门的技术人员,他们就可以直接打电话到总部的热线,热线就可以登记。事先有一个“emergent”,可以帮助所有的客户端快速解决问题,在定制客户端时,就已经通过软件分发和域的设置,远程设置了emergent功能。这样当网管员要进行远程管理时,就可以打开这个工具,然后选中要管理的机器,然后验证机器的IP地址。这时候客户端就可以通过热线告诉远程的管理员机器的名称,在进行远程控制的开始,客户端就会有一个界面出来:是否允许远程控制,经过客户端的确认后,远程管理员就可以接管过来,进行各种远程的配置和维护。
网通公司除了这三种远程管理方式外。还有一个就是Dumeware的工具,借助这个工具在Windows NT环境中用域的策略就可以完成。网管员或者域管理员在客户端装一个小的远程控制工具,只要打开机器,就可以快速安装,然后直接接管客户端,不需要经过客户端的允许。一般对于非法用户网通采取这种方式(这里的非法的用户是指不在域中的点),比如外公司的一个笔记本接到网中,但是这台电脑中又出现了病毒或者其他问题,而使用的人又不在座位上,在这种情况下就可以用Dumeware直接远程接管过来。
对于pcAnywhere这类远程管理工具,在管理网通公司的内部网络时他们是不用的。单彤说,这种工具有自己的帐号和口令,不是和公司的整个系统集合在一起。所以对于那种需要单独管理一些机器的公司,pcAnywhere的使用是可行的,但是对网通公司那种集中管理的大型网络,却不适合。
对于为什么要采用远程管理,可能由于两个原因:一个是对设备的可持续性管理。设备在分公司运行,但当地又缺乏技术人员的支持,而要配备人员就会加大投资量,所以通过技术手段来解决是比较好的选择。同时还有集中管理的问题,不能让许多人都对设备有管理、修改权限,而且配置管理不应该经常改动,以免产生漏洞。集中管理是网通公司的网络管理理念,也是未来网络管理发展趋势,可以节省大量的维护成本和人员投入成本。举个例子来说,一台外地终端出现问题,热线电话打过来,通过网络远程配置、处理故障等,可以节省大量的差旅费用。同时一个5分钟就可以解决的问题,如果要用一天的时间来等人修理,这种效率可以大致估算出来。这一切都应该以时间来计算,而时间能够产生怎样的效益就很难讲了。快速、方便是远程管理最大的优势。
安全是问题吗?
尽管远程管理技术已经有了很多年的发展历史,市场上也已经有很多成熟的产品可以供用户选择。但是象中国网通公司那样使用这种管理技术的企业并不多,尤其在传统企业领域。北大商学网的张亚宁认为,远程管理中存在的最大威胁是安全的问题。公司的数据安全对于一个公司非常重要,如果非授权的人员登录进入企业内部网络,威胁性非常大。北大商学网做的是远程教育,学生基本资料都存放在服务器里,而服务器则存放在北京三元桥电信电报大楼里,如果一旦出现安全问题,对公司将意味着毁灭性打击。
张亚宁的担心具有一定的代表性。远程管理的安全性究竟有多少保证?来自Webmaster技术学院的高级培训师徐毅先生认为,不管使用哪种工具,远程管理核心问题都是身份认证。远程管理最原始的方式Telnet、SNMP经过测试都存在安全问题。不管使用哪种工具,只有可靠的而且在企业环境中得到了验证,它的安全性才可靠。怎样才可以保证系统的安全性呢?最重要的是身份验证,其次才是对数据的加密。SSH或者其他的工具都需要一个验证的过程。最初的时候要求对某一个节点进行远程管理的用户必须是授权的,也就是身份验证。接下来是密钥交换,随后的对话数据流都要进行加密,要有一对密钥,这把密钥有可能是在网络当中传输,这又有一个问题,如果是在网络当中传输是不是很安全,有没有必要?而且,密钥的密钥又如何在网络中传输呢?实际上,双方可能不需要密钥,而只是协商一些公开的办法,比如使用DES。双方使用同样的方法、参数,生成同样的密钥,然后才是数据加密。将来的数据通信、数据流都用协商好的密钥来进行传输。
目前的远程管理工具在安全性上已经相当可靠,因为从目前来看,如果要对这些远程管理方式进行攻击,所有的可能就是在传输中。在传输中,假设所有的信息都被截下来,由于解密的工作量非常大,它依然是安全的。如果使用IDA加密算法,用每秒钟可以猜测10亿密码的分析机器,需要2的19次方/年才可以解密。目前对服务器的管理较流行的是SSH,由于它本身是一种协议,所以对于异构平台之间,不存在兼容性问题,是一种跨平台的方式。它可以是命令行也可以是界面式管理。但这里面存在一个问题:国内目前使用的SSH基本都是免费的,但作为一种加密措施,SSH在美国相关法令中是不允许出口的。所以它的安全性也存在疑虑。这种疑虑主要来自于密码生成,密码生成过程中有一部分参数配置采用了文件保存形式,这就存在了安全漏洞。为了弥补这一点,在使用中人们又采用了另外一种方法,在调用这个文本文件的同时,还生成一个随即数,这个随即数和文件中得出的数据混合在一起生成一对密码和密钥,这个生成的随即数不保存在文件当中。对路由器比较普遍的远程管理方式是SNMP,Cisco路由器也支持Telnet形式,但不管Telnet还是SMNPv1,都没有身份验证过程,而且没有相关加密措施。所以在一些对安全性比较重视的企业当中,使用的基本上都是SMNPv2以上版本,它们至少提供一个身份验证。现在存在的问题是,有70%以上的企业在远程管理当中对路由器、Hub的安全性漠不关心。有的企业把路由器当作一个防火墙使用,在上面配置了一些节点。但是对默认状况并没有做修改,这就非常危险。此外,在一些小的环境当中,使用的一些路由协议本身也是不安全的。路由协议很多,在默认情况下,安装的一般都是rip,也就是第一版的ripv1.0,这个版本不存在任何安全机制,而且使用的是VDP,没有身份验证,可以很容易的用数据包进行欺骗。但是从SNMPv2开始,它的安全性就做得很好了。
除了加密算法外,管理人员对技术掌握的能力也是一个很重要的因素。因为SSH、Telnet毕竟是面向命令行的,需要命令行的知识,另外它的配置也需要用手做一些配置文件,这就带来一定的难度。而在那些传统企业中,即使使用远程管理方式,也大多只是一些简单的Telnet或者是微软提供的第三方服务,因为它们比较易用。当然即使使用这种方式,对网管员依然需要一些基本的技术要求。因为使用这种工具,有可能是通过Telnet到某个UNIX或者Linux服务器上进行远程管理。而对这两种系统进行管理,本身就要求对命令行和这些系统的制度管理、系统管理非常熟悉。如果管理员缺乏经验和知识,不能够对配置做相应的修改,安全性也就无法得到足够的保障。
总的来说,远程管理的安全性是一个综合性话题。但是有一点是可以确定的,即远程管理得安全性重在身份验证。在工具的选择上,应该根据自己对安全性的需求,尽量选择那些安全性能有保障的产品和版本。安全性要求高的,要尽量避免使用免费版本;在管理水平上,管理人员要不断提高自己的专业技术经验和知识,对管理工具进行及时的安全配置;在管理制度上(这一点至关重要),要有严格的管理制度,管理权限要清晰。
远程管理虽然在应用中遇到了一些问题,但是在企业中的应用依然是不断向前的。对于一个有远程管理需求的企业来说,有一个经验丰富的管理员,有严格的管理制度,选用合适的产品,用远程管理来完成企业内部的网络连接,保障业务有效的发展,依然是一个非常好得选择
作者:边艳菊
