Kako napraviti Remote Desktop konekciju SSH tunelom sa Linux računala na udaljeni Windows XP,2003 PC ?

Mnogi ljudi koriste WindowsXP mogućnost Remote Desktopa za pristup bilo serveru ili kućnom računalu.Otvaranje takve konekcije sa administratorskim računom vrlo je opasno.Samo otvaranje porta u firewallu će privući mnoštvo pokušaja logiranja u kratkom vremenu.Postoje mnogi besplatni alati koji pomažu “hackerima” u provaljivanju sistema.
Ali zato postoje isto tako besplatni alati kojima se mozete zaštiti od takvih pokušaja.

Osnovno podešavanje Windows udaljenog računala

  Na strani računala kojem želimo pristupiti(WindowsXP ili Windows 2003) treba napraviti slijedeće:

  1. My Computer-->Desni klik -->Properties-->Remote tab .Omogućiti opciju.”Enable Remote Desktop on this computer”

2.U Windows Firewallu provjeriti uključenost porta za Remote desktop u Exceptions tab-u.

 to je po defaultu port TCP 3389 treba biti dodijeljen za taj servis.

 To bi bilo osnovno podešavanje Remote desktop servisa na Windowsima.Provjerite za svaku sigurnost pokrenutost servisa Terminal services.

Start-->Run-->services.msc-->ENTER

Nakon ovog osnovnog podešavanja omogućen je pristup Windows računalu preko Remote desktop servisa.Remote desktop je enkriptiran što ga čini bitno sigurnijim od jednostavnih VNC implementacija ali bez dodatnog osiguranja. Remote Desktop je “ranjiv” na tzv. “man-in-the-middle attack” zato što ne koristi certifikate i autentifikaciju kao serveri poput SSH/SSL.
To znači da ako ste spojeni na svoj sistem preko remote desktopa nije sigurno da vaša “konverzacija” sa sistemom nije snimljena i vaši passwordi otkriveni.

U WindowsXP nema ugrađene podrške za sigurnosne cerifikate Remote desktop servisa.Za
zatvaranje ove sigurnosne “rupe” se može primjeniti SSH tuneliranje Remote Desktop servisa koje ce se u nasem slučaju bazirati na OpenSSH serveru,(postoji više SSH server rješenja).OpenSSH je Open source rješenje i nema nikavih ograničenja i besplatan je.  

http://sshwindows.sourceforge.net/download/ .

Inače Windows server 2003 podržava poboljšanu verziju terminal servisa koji podržavaju 
sigurnosnu autetifikaciju preko TLS-a.Da bi to radilo treba imati nadogađenu najjnoviju verziju Remote desktop klijent softwera.Što u našem slučaju nemamo jer koristimo paket rdesktop http://www.rdesktop.org/ Open source client.

Instalacija i podešavanje OpenSSH servera na udaljenom Windows računalu


Downloadiramo OpenSSH http://sshwindows.sourceforge.net/download/ i instaliramo na Windows udaljeno računalo.Poslije dovršene instalacije dolazimo do postavljanja lokalnog i domenskog korisnika.

1.Pozicioniranje u “C:\Program Files\OpenSSH\bin” direktorij kroz command prompt:

C:\> cd “C:\Program files\OpenSSH\bin”

2.Dodavanje dozvola grupi:

Pokreni slijedeću naredbu za kreiranje dozvole za grupu(UNIX style /etc/group file)

C:\Program files\OpenSSH\bin> mkgroup -l >> ..\etc\group

gdje -l označava lokalnu grupu, a -d dodaje domensku grupu

3.Dodavanje dozvole korisniku:

Pokreni slijedeću naredbu za dodavanje dozvole korisniku (UNIX style /etc/passwd file)

C:\Program files\OpenSSH\bin> mkpasswd -l -u korisnik >> ..\etc\passwd

 gdje -l označava lokalnog korisnika dok -d označava domenskog korisnika, a -u označava ime korisnika. Za korisnika upisujemo ime postojećeg korisnika kojeg imamo na udaljenom Windows računalu.

4.Pokretanje SSH servera

Za pokretanje koristimo naredbu:

C:\>net start opensshd

5.Provjera dostupnosti porta 22 u Windows firewallu.

Start-->Settings-->Control panel-->Windows firewall-->Exceptions tab

Provjeriti dostupnost porta 22 ako nije omogućen po potrebi ga ručno dodati.

 Nakon pokretanja možemo isprobati spajanje sa klijentskog računala na OpenSSH server na Windows udaljenom računalu.Na klijentskom Linux računalu iz xterminala pokrenemo naredbu:

# ssh <korisnik@imeservera>

gdje nam je korisnik ime korisnika sa dozvolom dodanog u prethodnom koraku a imeservera IP adresa ili host name udaljenog računala. Ako smo sve uspješno podesili trebali bi imati uspješno konektiranje na OpenSSH server.

# ssh korisnik@imeSSHservera.domenaservera
The authenticity of host 'imesevera.domenaSSHservera (IP -adresa)' can't be established.
RSA key fingerprint is 30:24:f9:cb:d7:1c:e7:21:96:46:a2:39:20:51:ba:1e.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'imesevera.domenaSSHservera' (RSA) to the list of known hosts.

                            ****USAGE WARNING****
This is a private computer system. This computer system, including all
related equipment, networks, and network devices (specifically including
Internet access) are provided only for authorized use. This computer system
may be monitored for all lawful purposes, including to ensure that its use
is authorized, for management of the system, to facilitate protection against
unauthorized access, and to verify security procedures, survivability, and
operational security. Monitoring includes active attacks by authorized entities
to test or verify the security of this system. During monitoring, information
may be examined, recorded, copied and used for authorized purposes. All
information, including personal information, placed or sent over this system
may be monitored.

Use of this computer system, authorized or unauthorized, constitutes consent
to monitoring of this system. Unauthorized use may subject you to criminal
prosecution. Evidence of unauthorized use collected during monitoring may be
used for administrative, criminal, or other adverse action. Use of this system
constitutes consent to monitoring for these purposes.

korisnik@imeSSHservera.domenaservera's password:
Last login: Thu Apr 23 08:36:01 2009 from klijent.domenakiljenta
Could not chdir to home directory /home/korisnik: No such file or directory
Microsoft Windows [Version 5.2.3790]
(C) Copyright 1985-2003 Microsoft Corp.

C:\Program Files\OpenSSH>

Ako je konekcija uspjela imamo jos napraviti instalaciju paketa rdesktop Linux klijentskom računalu i uspostaviti Remote desktop SSH tunel. Instalacija paketa rdesktop i uspostavljanje Remote desktop konekcije kroz SSH tunel na Linux klijentskom računalu. Za spajanje na Remote desktop udaljenog Windows računala koristiti ćemo http://www.rdesktop.org/ Open source client.Za instalaciju koristite postupak ovisno o vasoj Linux distribuciji.Nakon instalacije paketa rdesktop, mozemo pokrenuti slijedeću naredbu za uključenje prometa SSH tunelom u xterminala ukucajte:

# ssh -R 3390:imeSSHservera.domenaservera:3389 -C -N klijent@imeklijenta.domenaklijenta

Pri čemu -R specificira da će port na udaljenom računalu biti preusmjeren na lokalni port na klijentskoj strani a konekcija ide sigurnim kanalom.Port 3389 sa udaljenog računala se prosljeđuje na port 3390 na klijentskoj strani.Opcija -C zahtijeva kompresiju svih podataka koji prolaze kroz SSH tunel,dok -N opcija spriječava pokretanje naredbe na udaljenom računalu. Otvorimo drugi xterminal i u njemu ukucamo slijedeće:

# rdesktop -f  localhost:3390

-f opcija označava full-screen ako želim prikaz punog ekrana.

Ako smo sve napravili kako treba trebao bi se pojaviti Desktop udaljenog Windows računala u klijentskom xterminalu. Izlazak iz full-screena napravimo kombinacijom Ctrl-Alt-Enter.