Туннелирование
Туннелирование в INFRAX — это технология безопасной передачи трафика между пользователем и целевым узлом через сервер INFRAX. Система автоматически создает защищенные туннели для каждого подключения, обеспечивая безопасность и централизованный контроль доступа.
Обзор туннелирования
Туннелирование — это ключевая технология в архитектуре удаленного доступа INFRAX, которая обеспечивает безопасную и контролируемую передачу данных между пользователем и целевым узлом.
Зачем нужно туннелирование
- Безопасность — весь трафик проходит через защищенный канал
- Централизованный контроль — все подключения проходят через INFRAX
- Аудит — система фиксирует все подключения в журнале сессий
- Прозрачность — туннелирование работает автоматически, без участия пользователя
- Универсальность — работает для всех поддерживаемых протоколов
Применение туннелирования
Туннели создаются автоматически для обоих режимов подключения:
| Режим подключения | Применение туннелирования |
|---|---|
| Веб-клиент | Туннель между браузером пользователя и Apache Guacamole |
| Нативный клиент | Туннель между INFRAX-плагином и целевым узлом |
Принцип работы
Туннелирование в INFRAX работает по следующей схеме:
Этапы создания туннеля
- Инициация подключения — пользователь выбирает узел и протокол для подключения
- Аутентификация — система проверяет права доступа пользователя к узлу
- Создание сессии — INFRAX создает запись об удаленной сессии
- Генерация идентификаторов — система генерирует уникальные идентификаторы туннеля
- Установка туннеля — создается защищенный канал между клиентом и сервером
- Передача данных — весь трафик протокола проходит через туннель
- Закрытие туннеля — при завершении сессии туннель автоматически закрывается
Архитектура туннеля
Пользователь → Клиент (браузер/плагин)
↓
Защищенный туннель
↓
Сервер INFRAX (прокси)
↓
Целевой узел (RDP/SSH/VNC/и т.д.)Туннелирование работает полностью автоматически. Пользователю не нужно настраивать или управлять туннелями вручную — система делает это самостоятельно при каждом подключении.
Автоматическое создание туннелей
INFRAX автоматически создает туннель при каждом удаленном подключении к узлу, независимо от выбранного протокола и режима подключения.
Для веб-клиента (Apache Guacamole)
Процесс для веб-подключений
- Пользователь нажимает кнопку подключения в интерфейсе INFRAX
- Система проверяет права доступа к узлу
- Создается туннель между браузером и Apache Guacamole
- Guacamole устанавливает соединение с целевым узлом
- Интерфейс удаленного рабочего стола отображается в браузере
Для нативного клиента (INFRAX-плагин)
Процесс для нативных подключений
- Пользователь выбирает подключение через нативный клиент
- Система проверяет права доступа к узлу
- Создается туннель и генерируется специальная ссылка (например,
xrdp://,xssh://) - Браузер передает ссылку установленному INFRAX-плагину
- Плагин подключается к туннелю на сервере INFRAX
- Запускается системный клиент (RDP, SSH, VNC и т.д.)
- Трафик передается через туннель к целевому узлу
Автоматическое создание туннелей избавляет от необходимости ручной настройки прокси-серверов, SSH-туннелей или VPN-соединений. Система берет на себя всю сложность, предоставляя пользователю простой и прозрачный доступ к узлам.
Безопасность туннелей
Туннелирование в INFRAX обеспечивает высокий уровень безопасности удаленных подключений благодаря многоуровневой защите.
Механизмы безопасности
- Шифрование трафика — весь трафик передается по защищенным каналам
- Аутентификация пользователей — доступ только для авторизованных пользователей
- Проверка прав доступа — система проверяет права на удаленное подключение к конкретному узлу
- Уникальные идентификаторы — каждый туннель имеет уникальные идентификаторы, которые невозможно подделать
- Временные ограничения — неиспользуемые туннели автоматически закрываются
- Изолированные сессии — каждое подключение работает в изолированном туннеле
Защита учетных данных
Важной особенностью туннелирования является защита учетных данных:
- Пароли и ключи передаются только один раз при создании туннеля
- Учетные данные не хранятся на стороне клиента
- Credentials автоматически извлекаются из системы IDENTYX
- Пользователь может не знать пароли от целевых узлов
Так как весь трафик проходит через сервер INFRAX, важно обеспечить его физическую и сетевую безопасность. Рекомендуется размещать INFRAX в защищенном периметре сети и использовать HTTPS для доступа к веб-интерфейсу.
Управление туннелями
INFRAX автоматически управляет жизненным циклом туннелей, не требуя вмешательства администратора или пользователя.
Автоматическое закрытие туннелей
Когда туннель закрывается
- При отключении пользователя — когда пользователь завершает удаленную сессию
- При разрыве соединения — если соединение с клиентом или целевым узлом потеряно
- При тайм-ауте — если туннель не используется длительное время
- При выходе из системы — когда пользователь выходит из INFRAX
Повторное использование туннелей
Каждое новое подключение создает свой собственный туннель. Туннели не переиспользуются между разными подключениями, что обеспечивает изоляцию сессий.
Пользователям и администраторам не нужно вручную управлять туннелями. Система автоматически создает туннели при подключении и закрывает их при отключении, обеспечивая оптимальное использование ресурсов.
Мониторинг туннелей
Хотя туннели управляются автоматически, администраторы могут отслеживать активные и завершенные туннели через журнал удаленных сессий.
Просмотр активных туннелей
Как посмотреть активные подключения
- Откройте меню Администрирование → Сессии
- Выберите фильтр Активные для отображения только текущих подключений
- В таблице отобразятся все активные туннели с информацией:
- Пользователь-инициатор
- Целевой узел
- Адрес и порт подключения
- Время создания сессии
- Режим подключения (веб/нативный)
- Протокол
История туннелей
Все созданные туннели сохраняются в журнале сессий, что позволяет:
- Аудит доступа — просмотр, кто и когда подключался к узлам
- Анализ использования — статистика по частоте подключений к разным узлам
- Расследование инцидентов — поиск подключений в определенный период времени
- Контроль времени работы — длительность сессий каждого пользователя
Фильтрация в журнале сессий
Журнал сессий поддерживает гибкую фильтрацию для поиска нужных подключений:
| Фильтр | Описание |
|---|---|
| По статусу | Активные / Закрытые / Все сессии |
| По пользователю | Подключения конкретного пользователя |
| По дате | Сессии за определенный период |
| По режиму | Веб-подключения или нативные |
| Полнотекстовый поиск | Поиск по адресу узла или имени пользователя |
Дашборд удаленных сессий (Дашборды → Специализированные → Подключения) предоставляет визуальную статистику по использованию туннелей: графики активности, распределение по протоколам, топ пользователей и узлов.
Рекомендации
Для пользователей
- Закрывайте сессии после использования — не оставляйте неактивные подключения открытыми
- Используйте веб-клиент для коротких задач — он не требует установки плагина
- Используйте нативный клиент для длительной работы — он обеспечивает лучшую производительность
- Не пытайтесь обойти туннелирование — прямые подключения к узлам могут быть заблокированы сетевыми политиками
Для администраторов
- Регулярно проверяйте журнал сессий — отслеживайте подозрительную активность
- Настройте права доступа — используйте систему прав INFRAX для контроля, кто может подключаться к узлам
- Мониторьте активные сессии — проверяйте, нет ли зависших или забытых подключений
- Обеспечьте безопасность сервера — защитите сервер INFRAX, так как через него проходит весь трафик
- Настройте запись сессий — для критичных узлов включите запись удаленных сессий для аудита
- Анализируйте статистику — используйте дашборд подключений для понимания паттернов использования
Безопасность
- Размещайте сервер INFRAX в защищенном сегменте сети
- Используйте HTTPS для доступа к веб-интерфейсу
- Настройте файрвол на сервере INFRAX для ограничения доступа
- Регулярно обновляйте INFRAX до последней версии
- Используйте сильную аутентификацию (интеграция с IAM)
- Настройте резервное копирование журнала сессий