当我们遇到来自对内网的访问时,有时候需要通过检查内网的状况,才能更好的了解这种问题的全貌。在本文中,我将问题主要集中在基于Web的远程访问服务。我并不是指责这种远程访问方式不好,毕竟我本人就很喜欢用LogMeIn's Free 这种软件从公司访问家里的网络。之所以喜欢这种软件,是因为它们使用起来相当简单,而且只要有互联网连接,就随时随地都可以使用。而这些优点,也引发了我们将要讨论的问题。
基于Web的远程访问软件一般都是采用HTTPS连接方式接入到提供远程服务的Web网站上。请求连接的客户端需要首先连接到这个Web站点并进行身份验证,有时候还需要将验证信息返回到被访问的远程主机上进行再次确认。所有的传输数据都是通过加密,同时服务网站也会提供针对验证失败以及可选验证方式等相关问题的动作机制。
这些远程访问软件设计的很好,但是在市场定位上也有明确的划分,并不是所有和机构都适用的。比如与中小型企业以及家庭办公用户相比,大型企业用户并不适合使用此类软件。而对于SOHO来说,此类软件可以说是必备软件。我曾经遇到过一个很典型的案例,那是帮助一家教堂进行IT维护,他们根本没有资金用来购买高档的商业远程访问软件,因此此类免费的软件成为了他们唯一的选择。
对于大型企业来说,处于安全的考虑肯定会将此类远程访问接入屏蔽掉。不论是LogMeIn还是其它远程访问工具,比如 GoToMyPc, WebEx, Bomgar, Goverlan, Remoteus, eBLVD它们中的很多可能与LogMeIn采用的机制不同,但结果都差不多。而从另一个角度说,企业中会有一种员工,出于好奇注册或试用这类软件,更糟糕的是,有时候为了方便,管理员们也会自行安装此类软件。
那么大家又是如何看待远程访问服务的呢?此类工具可以导致企业信息泄露,让企业员工绕过内部网络的策略规定,有时候还会让陌生人进入企业网络甚至控制网络系统。欢迎大家一起讨论基于Web的远程访问服务对企业安全以及我们日常工作的影响。