2007年6月26日 星期二

遠端登入的優缺點(Remote Login)

遠端登入這個名子,我想對於玩電腦的人來說,應該都不陌生才是,最早流行於使用者之間的遠端登入模式,應該就是使用類似於VNC的方式來做登入,不過這一類的軟體應該說是用桌面共享比較適當

不過也因為這一類軟體的風行,讓M$也製作了一個名為遠端桌面連線的功能,使IT技術人員,能夠取得電腦的操控權,進一步幫客戶端進行檢修與勘誤的動作

除此之外,當然在LINUX上也有X Windows System可以做到相關的應用,可是遠端登入對於不同族群可能會有更多不同的體會,例如:學生時期的BBS(Telnet的遠端連線)、伺服器端的使用(ssh的遠端加密連線)...等

這一類軟體的應用時機與優缺點有很大的不同,雖然使用相同功能的軟體有很多(RealVNC、NetTerm、PCmanPuTTYPieTTY(PuTTY繁中版)...等)

先來說說這一類應用:

優點:
1. 利於行動商務人士應用(只要有網路,無需大量實體文件即可完成簡報)
2. 方便管理多台主機使用(如果只能做主機存取,管理者再多也不夠)
3. 適合多人多工的環境(適合專案開發、統整或資源共享)
4. 執行遠方程式碼的彈性較高(這一點並非絕對,現在以Web介面也能達成)
5. 主機端存取安全性較高(可移除主機端的I/O裝置,避免資料外洩)
...其實這一類的優點很多,筆者只是描述較為明顯的特點

每一件事都有正反兩面,如同資訊安全與便利性經常都有相互違背之處

缺點:
1. 安全性的隱憂較多(密碼側錄、後門軟體程式、暴力破解法...等)
2. 版本管理的層級困難(多人使用下,會有同權使用者相互覆蓋的問題產生)
3. 人員掌控不易(就算限定IP或相關設定,無法確保僅相關人士使用)
4. 桌面共享連線的頻寬負荷過大(通常只適用於區網環境中)
5. 主機的硬體狀況難以掌控(如果硬體發生故障,遠端難以及時救援)

這一類應用軟體有許多相互對立的優缺點,應用時機經常都是因時因地而設置,假設有大量主機都置放於人員嚴密管制的機房中,就可以避免許多缺點的發生,同時也能得到遠端登入所提供的便利性

其實現在許多社群網站,也都提供了類似遠端登入的功能,也就是說登入後就能夠使用相關的服務,不過筆者在這篇文章中所強調的是「能利用遠端控制取得電腦主控權」的狀態,如果僅是利用相關服務,則不在此限

當然,有時也會因為設置或規則條件上的缺失,造成原本僅能使用某些特定服務的使用者,也能獲得主機端的主控權,如此一來就會發生重大的危安事件,這一類的狀況其實屢見不鮮

所以提供的服務愈多,對於相關服務依存性的漏洞也要愈瞭解,否則下次在報章上出現的人名,可能就會是自己...(驚!)

6 則留言:

  1. 呵,遠端登入這種東西從60年代就有啦。幾十年來電腦由大型主機、小型主機、個人微型電腦,進步到現在這些電腦類別的gene更是教人眼花撩亂。而client server架構或client to client架構等觀念和實做更是推陳出新不斷。

    我的想法是:Keep watching and choose the best fit by CONTEXT ;)

    回覆刪除
  2. 說的沒錯,這些相關的應用五花八門

    實用性與架構原本就有許多不同,只要找對工具、用對地方,怎麼用都可以

    像前陣子風靡一時的可攜式軟體,不就是用來大開方便之門的應用嗎?

    只要能達到目的,愈是簡便的工具愈能看出它的價值

    回覆刪除
  3. 我想問一下 VNC 或者 MS 的遠端登入
    哪一個安全性顧慮較低?

    我認為是 VNC 但我的朋友不這麼認為

    因為 VNC 是單獨的軟體,只要防火牆設定恰當,即使被攻擊也不會面臨系統被破的危機
    那麼遠端登入既然和系統相連,似乎不能避免這個缺點

    回覆刪除
  4. 我想問一下 VNC 或者 MS 的遠端登入
    哪一個安全性顧慮較低?

    我認為是 VNC 但我的朋友不這麼認為

    因為 VNC 是單獨的軟體,只要防火牆設定恰當,即使被攻擊也不會面臨系統被破的危機
    那麼遠端登入既然和系統相連,似乎不能避免這個缺點
    2007年7月26日 上午 8:44
    Indeepnight 提到...

    安全性顧慮較低!!

    這一點其實我覺得很難評估!我這樣子說好了!

    遠端桌面連線一般是不開啟的,它的port:3389,可以利用regedit更改成別的port

    HKEY_LOCAL_MACHINE\System\CurrentControlSet\
    Control\TerminalServer\WinStations\RDP-Tcp\
    PortNumber(改成十進位再更動)
    ↑從這兒更動!

    而VNC走5800/5900的PORT

    你說遠端登入既然和系統相連,似乎不能避免這個缺點,其實在我看來都一樣!一但被破壞之後,影響都是全面的,就算是遠端登入他也只能算是WINDOWS中的一隻服務在運作,跟VNC的運作類似。

    不過,因為VNC在各平台都有相關應用的程式,通用性會高一些!不過速度上就會較遠端桌面連線慢上許多!而且用VNC有個大問題,就是在本機端的人可以看見你做什麼!

    雖然遠端桌面連線會鎖定原本主機端上的使用者(這一點是可以做到不被發現,就利用遠端桌面連線登入)可是就會衍生安全性的問題!

    所以安全顧慮是相同的!如果WINDOWS的PATCH或是VNC的更新檔沒及時修補的話!都有被攻破的可能性

    而兩者都可以使用加密傳輸,VNC的設定可以參考http://www.shebeen.com/vnc_ssh/的相關內容!

    其實兩者都有其愛好者!你可以評估一下兩者的功能性是否符合需要!

    但是,筆者建議把登入的權限設定在LAN端就好!(如果沒有內賊),一但開放對WAN相對的危險就會高上許多!

    希望對您有所幫助,如有意見可再討論!

    回覆刪除
  5. 感謝你超級詳細的解說
    原本我指的是面對 Internet 時,被攻擊的疑慮,未考慮到本機桌面的情況
    在 port 方面,我記得大部分的 VNC 軟體都是可修改的,不一定要走 5900

    回覆刪除
  6. 基本上VNC的PORT可以修改,這一點沒錯,不過在INTERNET上要掃出你開的PORT也不難(NMAP、NETVIEW...等)

    所以單純的改PORT真的只是防君子而已(君子應該也不用防!^^")

    所以在使用這一類的服務時,密碼+相關權限的設定留意一點比較有意義!

    能夠與人討論,其實就是我開這BLOG最大的用意呀!歡迎你的再度光臨!

    回覆刪除