Решения по удаленному доступу TSplus ШАТЛ

• 13.12.2022
• 667

Автор
Иван Первицкий (NCSE, VCP, MCSE)
Ведущий системный инженер

• Описание продуктов TSplus ШАТЛ
• TSPlus Remote Access
• TSPlus Remote Work
• TSPlus Advanced Security
• Наш демо-стенд
• Резюме

В нынешних условиях, когда многие именитые поставщики аппаратных решений и ПО перестали продавать свои продукты на территории РФ, все больше и больше вопросов, чем же можно заменить столь привычные и широко используемые у нас в стране продукты:

• MS RDS. Для создания терминальных ферм и удаленного доступа к ним извне;
• Citrix VAD и VMware Horizon. Для создания полноценных сред VDI или доступа к опубликованным приложениям и физическим ПК снаружи через Citrix Gateway.
• Cisco Anyconnect. Для организации Remote Access VPN для удаленной работы с корпоративными ресурсами.

На самом деле, вариантов не так уж и много:

1. Искать ключи активации или регулярно продлять триальный период для этих продуктов, в надежде купить полноценные лицензии после возвращения вендора в РФ. Для VMware Horizon и Cisco Anyconnect это еще может быть возможно, а вот для Citrix VAD и MS RDS это проблема, так как ключи требуют удаленную активацию продукта на ресурсах вендора.
2. Использовать аналоги, которые все еще доступны в РФ или отечественные решения по организации удаленного доступа. Наибольшей популярностью пользуются решения S-Terra, как замена Cisco Anyconnect. Но при ближайшем рассмотрении, назвать это полноценной заменой становится сложно.
3. Использовать opensource решения, которых, как выяснилось, довольно много. Но найти что-то близкое по функционалу и качеству практически невозможно.

Прочитав множество обзоров и протестировав различные варианты предлагаемых и доступных аналогов, мы пришли к выводу, что наиболее полный и в перспективе интересный всем заказчикам продукт существует. Речь далее пойдет о TSPlus и их линейке продуктов для организации удаленного доступа Remote Access, Remote Work и Advanced Security.

Описание продуктов TSplus ШАТЛ

TSPlus Remote Access.

Данное ПО предназначено для того, чтобы полностью заменить собой MS RDS и Citrix Virtual Apps. То есть речь тут идет не о полноценном VDI, когда пользователи подключаются к полноценным ВМ, а о работе в рамках терминального сервера и публикации приложений на веб-портале для последующей работы.

TSPlus Remote Work.

Интересное решение, которое позволяет удаленным пользователям подключаться к своим физическим ПК в офисе. Речь тут не о полноценном VPN, где пользователям могут быть доступны различные корпоративные ресурсы в рамках политик безопасности, а именно о подключении PC-to-PC через безопасное соединение.

TSPlus Advanced Security.

Своего рода надстройка над предыдущими решениями, позволяющая добавить дополнительные функции безопасности в инфраструктуру: поддержка двухфакторной аутентификации (2FA), подключение только с авторизованных устройств, предиктивная защита от программ-вымогателей, списки доступа (ACL) с гранулярным разграничением прав, whitelist/blocklist по ip и гео-принадлежности, защита от перебора учетных записей (brute-force) и другие полезные функции.

Подробнее о TSPlus Remote Access

Архитектура решения довольна проста:

Делается NAT с внешним ip сервиса за внутренним адресом шлюза TS Gateway, который в идеале следует расположить в DMZ (если таковая есть).TS Gateway проксирует запросы на один или множество серверов-брокеров в рамках терминальной фермы.

Отдельно стоит отметить отсутствие необходимости публиковать наружу порт RDP:3389. Все коннекты идут по 443 порту в рамках защищенного соединения. Доступ возможен как через полноценный клиент TSPlus Client, так и через браузер по HTML5. Это позволит минимизировать площадь для потенциальных атак.

С точки зрения взаимодействия пользователей с инфраструктурой TS Plus есть ряд приятных, но не новых функций:

• Перенаправление устройств печати на сторону клиента в рамках сессии. За счет использования TSPlus Print есть возможность отправлять офисные документы на печать на локальный принтер пользователя.
• Запрет или разрешение clipboard (в одну или обе стороны), USB и периферийные устройства.
• Работа только с приложениями, как если бы они были установлены в пользовательском окружении, так и с полноценным рабочим столом в рамках терминальной сессии.
• Кастомизация веб-портала и клиента RemoteApp. Сам портал со списком приложений и доступных терминальных серверов может быть кастомизирован согласно корпоративным стандартам. Также для пользователей может быть создан клиент, который не требует ввода ip/FQDN сервера и учетной записи (все зашито в самом приложении). В этом случае будет не лишним использовать второй фактор аутентификации с использованием пин-кода на клиентском мобильном устройстве.

Шлюз TS Gateway в составе решения имеет встроенный функционал балансировщика, что позволяет равномерно распределить пользовательские сессии по всем брокерам фермы, на основе заданных паттернов загрузки ресурсов. Также TS Gateway будет автоматически проверять состояние серверов-брокеров на предмет Failover/Failback. При отказе каких-либо участников фермы, они более не будут учитываться шлюзом в рамках распределения сессий. После восстановления работоспособности брокера, TS Gateway автоматически распределит нагрузку с учетом нового узла.

Подробнее о TS Plus Remote Work.

Архитектура решения тоже довольна проста, но настроек у продукта сильно меньше, чем и терминального Remote Access. Зато Remote Work можно считать полноценной заменой Remote Access VPN. Удаленный пользователь все так же, через HTML5 или полноценный клиент подключается к шлюзу, далее шлюз передает данные о новом подключении на брокер, а тот в свою очередь направляет пользователя на его рабочий ПК.

В плане настройки все довольно очевидно:

Необходимо добавить офисные ПК по ip/FQDN в консоли Remote Work и сопоставить им пользователей из Active Directory.

Подключение все так же идет на порт HTTPS:443, что избавляет от необходимости публиковать RDP:3389 наружу.

Продукт ставится на любую ОС семейства Windows, от Vista SP2 до Windows Server 2022. Требования к ресурсам сервера-брокера незначительны, что позволяет развернуть Remote Work как на обычном офисном ПК, так и на ВМ.

Единственное очевидное требование – чтобы ПК пользователя в офисе был включен. Для этого можно настроить Wake-On-Lan.

Для обеспечения защищенного подключения, в Remote Work встроен мастер по выпуску и продлению сертификатов Let’s Encrypt. Также доступна двухфакторная аутентификация через Authy, Google Authenticator и Microsoft Authenticator.

Подробнее о Advanced Security.

Данный продукт может быть использован как дополнение к Remote Access и Remote Work, предоставляя большой набор функций по обеспечению безопасности при удаленной работе.

На скрине ниже можно увидеть консоль продукта:

Среди функционала можно заметить следующее:

• Защита от программ-вымогателей. Довольно полезная и актуальная на сегодняшний день опция, которая активируется в пару кликов. Есть два режима работы Ransomware Protection – Static и Dynamic. В первом случае, изменения расширения файлов будет блокироваться с последующим уведомлением администратора. Во втором, будет проводиться анализ на предмет того, как программа будет взаимодействовать с файлами. Таким образом могут выявляться новые штаммы программ-вымогателей. После активации функции Ransomware Protection, вендор рекомендует отвести около 5 дней на самообучение Advanced Protection. За это время, все взаимодействия программ с файлами будут расценены как false positive и автоматически добавлены в whitelist.
• Списки устройств с которых разрешен доступ конечным пользователям. Все устройства автоматически попадают в whitelist в определенном виде (домашние ПК в виде Desktop-PC, а мобильные в виде Android Samsung Galaxy). В дальнейшем администратор может заблокировать любые устройства по имени или MAC-адресу, например, в случае утери или смены пользователем мобильного девайса.
• Списки разрешенных ip-адресов в чистом виде или по гео-признаку. Тоже довольно полезная опция, если есть относительно небольшой штат удаленных пользователей с фиксированными Ip в рамках какой-либо страны.
• Разрешения на файлы и папки. Своего рода надстройка над штатными Windows permissions, вынесенная в консоль Advanced Protection. Администратор может задавать в явном виде права на Read/Write/Modify для пользователя в рамках удаленной сессии.

• Защита от перебора учетных записей, база известных сомнительных ip-адресов, подключение только в определенные часы, система по угрозам и действиям пользователей. Все это встроено в Advanced Protection и действительно работает.

Наш демо-стенд

Мы развернули у себя в компании весь пакет решений TSPlus и можем продемонстрировать вам его работу. Наши инженеры готовы показать весь основной функционал вышеописанных продуктов, а также при желании, развернуть дополнительное ПО:

Remote Support. Для организации функционала HelpDesk и подключения в сессию пользователя.

Server Monitoring. Для мониторинга и траблшутинга серверов, приложений и пользователей.

Если у вас есть какая-либо потребность в организации безопасного удаленного доступа, то вместе с вами, наши инженеры готовы полностью проработать решение под ключ, включая аппаратную, программную часть, лицензирование и работы по внедрению.

Резюме

Конечно, полноценно заменить собой все привычные продукты TSPlus не может, да он и не претендует. Но все необходимое для безопасного удаленного доступа в решениях компании присутствует и действительно работает (проверено нашими инженерами). Проприетарных протоколов, оптимизированных для WAN каналов тут нет (как VMware Blast или Citrix HDX), используется стандартный RDP c перенаправлением порта или HTML5. В каких-то случаях этого может не хватить, особенно при работе с графикой. Но все же, в большинстве кейсов, данные решения могут быть неплохим подспорьем для обеспечения ваших сотрудников всем необходимым для удаленной работы с корпоративными данными.