Mudanças entre as edições de "Gateway acesso remoto"
Linha 6: | Linha 6: | ||
Segundo o levantamento da empresa Kaspersky houve um aumento em 330% de ataques a sistemas de acesso remoto no Brasil. A adesão “forçada” pelo home office fez disparar os ciberataques direcionados ao “Remote Desktop Protocol (RDP)” e em menor quantidade também ao VNC (Virtual Network Computing). Devido a necessidade de transferir a maioria dos seus colaboradores para o trabalho a distância em seus lares, muitas empresas deixaram as medidas de segurança ou com pouca proteção, fazendo liberações indiscriminadas de portas de acesso remoto no firewall corporativo, muitas vezes sem criptografia, senhas fortes ou habilitando a autenticação em dois fatores. | Segundo o levantamento da empresa Kaspersky houve um aumento em 330% de ataques a sistemas de acesso remoto no Brasil. A adesão “forçada” pelo home office fez disparar os ciberataques direcionados ao “Remote Desktop Protocol (RDP)” e em menor quantidade também ao VNC (Virtual Network Computing). Devido a necessidade de transferir a maioria dos seus colaboradores para o trabalho a distância em seus lares, muitas empresas deixaram as medidas de segurança ou com pouca proteção, fazendo liberações indiscriminadas de portas de acesso remoto no firewall corporativo, muitas vezes sem criptografia, senhas fortes ou habilitando a autenticação em dois fatores. | ||
+ | |||
+ | Este breve artigo tem como objetivo demonstrar uma configuração básica inicial de forma oferecer um gateway de acesso a desktops de forma remota, clientless, utilizando o software livre e de código aberto chamado Apache Guacamole. | ||
+ | |||
+ | === Projeto Apache Guacamole === | ||
+ | |||
+ | O Apache Guacamole é uma infraestrutura que possibilita o acesso remoto a desktops utilizando apenas o navegador Web, sem a instalação de nenhum plug-in ou software cliente. Uma vez conectado ao servidor Guacamole ele age com um intermediário (proxy) até um desktop específico localizado na rede local da empresa, utilizando um dos protocolos suportados mais utilizados como: RDP, VNC, SSH. Na Figura 1 podemos compreender a infraestrutura e os seus componentes durante uma conexão fora do perímetro corporativo. | ||
+ | |||
+ | |||
+ | |||
+ | Todo o projeto é separado em guacamole-server, que fornece o proxy guacd e as bibliotecas relacionadas e o guacamole-client, que fornece o cliente para ser atendido pelo contêiner do servlet do Tomcat. Portanto precisamos que o ambiente a ser instalado ja contemple o Tomcat maior que a versao 8.5. O guacamole-client está disponível em formato binário, mas o guacamole-server deve ser construído a partir do código fonte. | ||
+ | Ambas as partes serão descritas com detalhes nos tópicos seguintes. | ||
+ | |||
+ | Ambas as partes serão descritas com detalhes nos tópicos seguintes. | ||
+ | |||
+ | === Apache Guacamole Server === | ||
+ | |||
+ | O guacamole-server contém em seu código fonte todos os componentes básicos do lado do servidor exigidos pelo para conectar-se a áreas de trabalho remotas. Mesmo assim algumas dependências são necessárias como: cairo, libjpeg, libpng e da biblioteca OSSP UUID. Elas devem estar presentes e instaladas de acordo com a distribuição Linux utilizada. No caso deste artigo, será utilizado o CentOS. | ||
+ | |||
+ | Algumas dependências são absolutamente necessárias, enquanto outras são opcionais. A presença de dependências opcionais permite recursos adicionais como por exemplo: | ||
+ | |||
+ | * Suporte ao VNC: depende da biblioteca libvncclient | ||
+ | * Suporte ao RDP depende do FreeRDP (utilizar a versão 2.0 mais atualizada devido a evitar problemas de segurança) | ||
+ | * Suporte a SSH depende de libssh2, OpenSSL e Pango | ||
+ | * Ssuporte ao Kubernetes depende de libwebsockets, OpenSSL e Pango. | ||
+ | |||
+ | A compilação do guacamole-server cria um executável chamado guacd que pode ser executado manualmente ou de forma automática como serviço. | ||
+ | É desejável e recomendado sempre fazer o download do código fonte mais recente clonando o repositório git da guacamole no GitHub: | ||
+ | <pre> | ||
+ | git clone git://github.com/apache/guacamole-server.git | ||
+ | </pre> | ||
+ | |||
+ | |||
2. | 2. |
Edição das 17h15min de 15 de julho de 2020
Introdução
Com a pandemia do COVID-19 nossa rotina diária de trabalho de ir a empresa todos os dias foi alterado bruscamente e a necessidade de acesso aos recursos computacionais da empresa de maneira remota causou uma correria na busca de soluções de TI para suportar a demanda. O Home Office que muito se ouvia falar foi finalmente instituído na maioria das empresas ao redor do mundo.
No cenário das Universidades não foi diferente. A necessidade de acesso equipamentos de pesquisa em laboratórios, aos desktops dos laboratórios de informática, sistemas internos e servidores exigiu de todos os profissionais de TI a busca por soluções que envolva um acesso de forma segura, fácil para o usuário e que demonstre um bom desempenho no acesso de um grande conjunto de dispositivos computacionais de maneira orquestrada.
Segundo o levantamento da empresa Kaspersky houve um aumento em 330% de ataques a sistemas de acesso remoto no Brasil. A adesão “forçada” pelo home office fez disparar os ciberataques direcionados ao “Remote Desktop Protocol (RDP)” e em menor quantidade também ao VNC (Virtual Network Computing). Devido a necessidade de transferir a maioria dos seus colaboradores para o trabalho a distância em seus lares, muitas empresas deixaram as medidas de segurança ou com pouca proteção, fazendo liberações indiscriminadas de portas de acesso remoto no firewall corporativo, muitas vezes sem criptografia, senhas fortes ou habilitando a autenticação em dois fatores.
Este breve artigo tem como objetivo demonstrar uma configuração básica inicial de forma oferecer um gateway de acesso a desktops de forma remota, clientless, utilizando o software livre e de código aberto chamado Apache Guacamole.
Projeto Apache Guacamole
O Apache Guacamole é uma infraestrutura que possibilita o acesso remoto a desktops utilizando apenas o navegador Web, sem a instalação de nenhum plug-in ou software cliente. Uma vez conectado ao servidor Guacamole ele age com um intermediário (proxy) até um desktop específico localizado na rede local da empresa, utilizando um dos protocolos suportados mais utilizados como: RDP, VNC, SSH. Na Figura 1 podemos compreender a infraestrutura e os seus componentes durante uma conexão fora do perímetro corporativo.
Todo o projeto é separado em guacamole-server, que fornece o proxy guacd e as bibliotecas relacionadas e o guacamole-client, que fornece o cliente para ser atendido pelo contêiner do servlet do Tomcat. Portanto precisamos que o ambiente a ser instalado ja contemple o Tomcat maior que a versao 8.5. O guacamole-client está disponível em formato binário, mas o guacamole-server deve ser construído a partir do código fonte. Ambas as partes serão descritas com detalhes nos tópicos seguintes.
Ambas as partes serão descritas com detalhes nos tópicos seguintes.
Apache Guacamole Server
O guacamole-server contém em seu código fonte todos os componentes básicos do lado do servidor exigidos pelo para conectar-se a áreas de trabalho remotas. Mesmo assim algumas dependências são necessárias como: cairo, libjpeg, libpng e da biblioteca OSSP UUID. Elas devem estar presentes e instaladas de acordo com a distribuição Linux utilizada. No caso deste artigo, será utilizado o CentOS.
Algumas dependências são absolutamente necessárias, enquanto outras são opcionais. A presença de dependências opcionais permite recursos adicionais como por exemplo:
- Suporte ao VNC: depende da biblioteca libvncclient
- Suporte ao RDP depende do FreeRDP (utilizar a versão 2.0 mais atualizada devido a evitar problemas de segurança)
- Suporte a SSH depende de libssh2, OpenSSL e Pango
- Ssuporte ao Kubernetes depende de libwebsockets, OpenSSL e Pango.
A compilação do guacamole-server cria um executável chamado guacd que pode ser executado manualmente ou de forma automática como serviço. É desejável e recomendado sempre fazer o download do código fonte mais recente clonando o repositório git da guacamole no GitHub:
git clone git://github.com/apache/guacamole-server.git
2.
3.
4.