Zdalny dostęp do firmowych plików

Producenci macierzy opracowali różne sposoby dostępu do danych przez użytkowników pracujących poza biurem. Czasem jednak trudniejsze od włączenia odpowiednich funkcji w macierzy może się okazać uzyskanie dostępu do firmowej sieci.

W sieci lokalnej dostęp do macierzy odbywa się z wykorzystaniem protokołów sieciowych, np. CIFS, NFS czy iSCSI. W obrębie sieci lokalnej korzystanie z przechowywanych w nich plików jest proste. Wystarczy, że administrator udostępni wybrane katalogi, a użytkownik poda ścieżkę dostępu czy na stałe zmapuje sobie udział sieciowy jako dysk. Wszystko to może odbywać się z poziomu standardowego menedżera plików.

Sprawy komplikują się, jeśli dostęp do plików potrzebuje uzyskać osoba znajdująca się poza firmą, co dzisiaj jest coraz częstszą sytuacją. Okazuje się, że jest co najmniej kilka sposobów zdalnego dostępu do plików. Pierwszy w ogóle nie wymaga dotykania się do konfiguracji macierzy. Wystarczy umożliwić użytkownikom połączenie z siecią lokalną poprzez VPN. Jest to bezpieczne rozwiązanie, a jednocześnie wygodne – użytkownik może korzystać z plików tak samo, jak gdyby przebywał w biurze (pomijając kwestie wydajności). Jego komputer będzie komunikować się z macierzą z użyciem wspomnianych protokołów sieciowych: CIFS, NFS, iSCSI, możliwe będzie więc mapowanie dysków sieciowych. Zdalny i bezpieczny dostęp klientów do centralnie umieszczonych zasobów odbywa się przez bramę VPN i wymaga przeważnie klienta programowego, zainstalowanego w komputerze.

Zobacz również:

Niestety wiele prostych routerów Wi-Fi używanych w małych biurach do dostępu do Internetu nie oferuje funkcji serwera VPN, pozostaje więc korzystanie z mniej bezpiecznej funkcji przekazywania portów. Niektóre modele umożliwiają jedynie zestawianie, tzw. tuneli VPN. Taki tunel służy do połączenia przez Internet dwóch lub więcej sieci LAN. Dzięki temu umieszczone w różnych sieciach lokalnych komputery mogą się ze sobą komunikować (tak, jakby były w jednej sieci LAN). Tunel VPN to jednak nie serwer VPN, nie daje więc możliwości utworzenia połączenia pomiędzy komputerem a siecią firmową.

Serwer FTP

Bardzo prostym sposobem na udostępnienie plików na macierzy NAS w Internecie jest włączenie funkcji serwera FTP. Jest to szybka operacja z reguły sprowadzająca się do kilku kliknięć. Macierze obsługują również FTPS, rozszerzenie protokołu FTP z dodatkową obsługą protokołów kryptograficznych Transport Layer Security (TLS) oraz Secure Sockets Layer (SSL), które umożliwiają utworzenie szyfrowanego połączenia. Ze względu na szyfrowanie szybkość transferu jest jednak mniejsza, a usługa zużywa więcej zasobów systemowych.

Administrator może też ustawić kilka parametrów związanych z protokołem FTP. Warto wprowadzić limit czasu, po którym nieaktywni użytkownicy będą rozłączani przez serwer FTP. Aby uniknąć nadmiernego obciążenia łącza sieciowego przez zdalnych użytkowników, warto też poszukać ustawień umożliwiających ograniczanie przepustowości pojedynczego połączenia FTP.

FTP to rozwiązanie często stosowane do wymiany plików między firmą a zewnętrznymi podmiotami, ponieważ nie daje użytkownikom dostępu do sieci lokalnej, a jedynie do zasobów udostępnianych przez serwer FTP. W tym przypadku trudniejszym zadaniem jest umożliwienie dostępu do takiego serwera FTP działającego na macierzy dyskowej użytkownikom znajdującym się w zdalnych lokalizacjach. Jednym z rozwiązań jest konfiguracja mechanizmu przekazywania portów (w tym przypadku chodzi o port TCP 21) na routerze czy firewallu pracującym na styku sieci lokalnej z Internetem. Po podaniu publicznego adresu IP sieci firmowej i numeru portu można połączyć się z serwerem FTP i uzyskać dostęp do plików. Aby ustawić przekazywanie określonego portu, należy połączyć się konsolą zarządzania routerem i znaleźć opcję przekazywania portów (często występuje pod nazwą Virtual Servers). Następnie można utworzyć nową regułę. Niektóre routery mają prekonfigurowane ustawienia dla popularnych protokołów, więc warto poszukać rozwijanej listy i wybrać z niej FTP. Jeśli nie ma takiej możliwości, trzeba ręcznie utworzyć nową regułę. Konieczne będzie wprowadzenie jej nazwy, numeru portu i rodzaju protokołu, który będzie akceptowany. Należy również wskazać, dokąd router powinien przekazywać ten ruchu (w tym przypadku chodzi o adres IP macierzy). Z tego względu macierzy warto nadać stały adres IP, zamiast korzystać z DHCP.

Nawet jeśli sieć ma stały adres IP, warto skorzystać z dynamicznego DNS. Tego rodzaju usługa umożliwia przypisanie do adresu IP (stałego lub zmiennego) określonego adresu URL. Jest on łatwiejszy do zapamiętania przez użytkowników, niż adres IP. Trzeba natomiast pamiętać, że DDNS działa tylko w otoczeniu sieciowym, w którym nie jest wymagany serwer proxy.

Aby skonfigurować dynamiczny DNS, trzeba wprowadzić następujące ustawienia:

nazwę dostawcy usługi dynamicznego DNS (z reguły można wybrać dostawcę z rozwijanej listy), adres URL, pod którym macierz będzie dostępna, nazwę użytkownika zarejestrowaną u usługodawcy DDNS i jego hasło oraz zewnętrzny adres IP firmowej sieci, który zostanie przypisany do adresu URL.

WebDAV

Kolejny protokołem zdalnego dostępu jest WebDAV (Web-based Distributed Authoring and Versioning). Umożliwia on korzystanie z plików zapisanych na macierzy tak, jakby były zapisane na lokalnym urządzeniu. Korzystanie z WebDAV jest wygodne, a jego włączenie sprowadza się do zaznaczenia kilku ustawień. Z reguły do wyboru są dwie możliwości: standardowa komunikacja lub zabezpieczona (HTTPS). Druga opcja oznacza, że połączenie będzie szyfrowane z wykorzystaniem SSL. WebDAV jest rozszerzeniem możliwości protokołu HTTP/1.1, umożliwiającym klientom publikowanie i blokowanie zasobów oraz zarządzanie nimi. Na przykład użytkownicy, którym przypisano poprawne prawa, mogą kopiować i przenosić pliki w katalogu WebDAV. Protokół ten jest wbudowany w systemy z rodziny Windows, więc nie jest konieczne instalowanie dodatkowego oprogramowania, aby z niego korzystać.

Warto natomiast poinformować użytkowników, aby używali w przeglądarce internetowej trybu incognito, jeśli łączą się z macierzą, korzystając z publicznych komputerów. Podczas przeglądania stron internetowych w trybie incognito wyświetlane strony nie są zapisywane w historii przeglądarki ani wyszukiwania i nie pozostawiają na komputerze śladów takich, jak pliki cookie po zamknięciu wszystkich okien trybu incognito.

Dedykowane oprogramowanie

Urządzenia NAS przeznaczone do małych firm są często wyposażone w oprogramowanie, które upraszcza zdalny dostęp do plików, np. eliminuje konieczność konfigurowania połączenia VPN czy przekazywania portów w routerze. Macierz NAS utrzymuje połączenie z serwerem producenta (po wcześniejszym skonfigurowaniu), z którym łączy się również wspomniane oprogramowanie, instalowane w komputerach użytkowników. Dzięki temu nie trzeba stosować mechanizmów zdalnego dostępu do firmowej sieci. W zależności od producenta, oprogramowanie oferuje różne funkcje. Przykładowo, możliwa jest integracja z lokalnym systemem plików - udostępnione zasoby macierzy mogą zostać zmapowane jako dysk sieciowy.

Konto gościa

Po włączeniu dostępu przez FTP lub WebDAV każdy użytkownik z założonym kontem na macierzy będzie miał zdalny dostęp do folderów i plików, do których normalnie ma dostęp. Jednak warto zweryfikować, czy faktycznie tak jest i użytkownicy mogą zdalnie korzystać z zasobów, których potrzebują do pracy. Trzeba też pamiętać, że jeśli zostało uaktywnione konto gościa, to z jego wykorzystaniem również będzie możliwy zdalny dostęp, co stwarza duże ryzyko dla kradzieży danych.

Uwierzytelnianie

Tworzenie folderów udostępnionych i nadawanie im odpowiednich uprawnień dla różnych grup roboczych oraz użytkowników jest ważnym obowiązkiem administratorów IT. W środowiskach biznesowych zazwyczaj pracuje wiele serwerów o różnych funkcjach. Zazwyczaj wymagają one odrębnego prawa dostępu dla użytkowników, aby zalogować się na każdym serwerze. Pracownicy przychodzą i odchodzą lub nowe serwery są integrowane w sieci, więc nadawanie i odbieranie uprawnień to stałe zadanie dla administratorów IT, które powinno być maksymalnie uproszczone. Macierze można połączyć z systemem Active Directory czy innymi usługami katalogowymi wykorzystującymi protokół LDAP (np. OpenLDAP), co ułatwia zarządzanie kontami użytkowników. Użytkownicy domeny mogą korzystać z tej samej nazwy konta i hasła systemu, których używają do logowania do komputera, aby połączyć się z macierzą, a administratorzy IT mogą korzystać z dostępu z mechanizmów scentralizowanej weryfikacji uprawnień dostępu. Niektóre macierze mogą same pełnić rolę serwera Active Directory lub usługi katalogowej LDAP do przechowywania informacji o koncie użytkownika.

Uprawnienia

Mechanizmy Active Directory czy OpenLDAP służą do uwierzytelniania użytkowników, natomiast uprawnienia dostępu są nadawane poprzez ACL (Access Control List). Pozwalają one na bardzo szczegółowe zdefiniowanie uprawnień do poszczególnych obiektów (np. plików, katalogów, udostępnień). Ta szczegółowość wynika z dwu rzeczy. Po pierwsze, z dużej liczby różnych uprawnień, które można przypisać, szczególnie na poziomie systemu plików NTFS. Po drugie, uprawnienia można nadawać i odbierać. Wygodnym rozwiązaniem jest, tzw. domowy folder użytkownika. Po włączeniu tej funkcji podczas pierwszego logowania do macierzy automatycznie zostanie utworzony nowy, prywatny folder dla danego użytkownika.

Listy kontroli dostępu działają na poziomie plików, co oznacza możliwość bezpośredniej modyfikacji uprawnień do plików. Jest to najważniejsza różnica między uprawnieniami ustawianymi przez Windows ACL oraz w systemie Linux. Dla każdego pliku lub folderu w środowisku Linux można wyróżnić uprawnienia w trzech kategoriach (właściciel, grupa, inne). Natomiast w Windows ACL można mieć różne ustawienia uprawnień dla każdego użytkownika lub grupy. Zamiast trzech opcji używanych w systemie Linux, lista kontroli dostępu systemu Windows oferuje ich 13. Na przykład uprawnienie „Odczyt” występuje w wariantach: „Wyświetlanie folderu/Odczyt danych”, „Odczyt atrybutów” i „Odczyt atrybutów rozszerzonych”. Oprócz samych uprawnień lista kontroli dostępu systemu Windows udostępnia także obszerne reguły pierwszeństwa uprawnień, które umożliwiają zbudowanie hierarchii z jawnymi uprawnieniami do każdego pliku przesłaniającymi uprawnienia dziedziczone.

Ochrona dostępu do sieci

Aby zwiększyć bezpieczeństwo zdalnego dostępu, administrator może skonfigurować czarną lub białą listę adresów IP. W niektórych urządzeniach można definiować też bardziej złożone reguły blokowania adresów IP. Przykładowo, można ustawić taką regułę: „w ciągu 1 minuty, po nieudanych 3 próbach logowania, blokuj dany adres IP przez 1 godzinę”. Jeśli adres IP zostanie zablokowany, komputer nie będzie w stanie połączyć się z macierzą niezależnie od wykorzystywanych portów.


TOP 200