Обход NAT и Firewall при Удаленном Восстановлении Данных

Для компаний, занимающихся восстановлением данных, Интернет является наиболее удобным, экономичным и эффективным способом удаленного обслуживания клиентов. Восстановление данных через Интернет имеет гораздо меньше рисков в плане безопасности и логистики в отличии от отправки дисков клиентами посредством почтовых служб. Неосторожное обращение или критические температуры во время доставки могут привести к большим повреждениям диска и значительно уменьшить шансы успешного восстановления информации. Кроме этого, отправленный по почте диск может быть утерян, или, что хуже, его могут украсть похитители персональных данных, конкуренты или просто иностранные шпионы.

Удаленное восстановление избавляет от необходимости доверять конфиденциальную информацию работникам почтовых служб и отделений. Доступность и повсеместное распространение широкополосного Интернета способствуют все большей популярности удаленного восстановления данных через всемирную сеть.

Профессиональная утилита восстановления данных R-Studio позволяет воспользоваться всеми преимуществами удаленного восстановления данных. Не вставая со своего рабочего места специалист может выполнять через Интернет задачи по восстановлению файлов на компьютере клиента. Более подробно это рассмотрено в статье R-Studio: Восстановление Данных по Сети.

В то же время при удаленном восстановлении данных имеются несколько потенциальных проблем, главная из которых - обеспечение безопасного подключения между рабочей станцией с R-Studio и компьютером клиента. Связь хост-машины и компьютера клиента осложняется проблемами корпоративных сетей, брандмауэрами и прочими домашними сетевыми инфраструкрутами.

Чтобы разобраться в вопросе создания безопасного Интернет подключения для восстановления данных рассмотрим некоторую общую информацию об устройстве сети Интернет. Каждое подключенное к Интернету устройство (сервер, компьютер, роутер, принтер или смартфон) имеет свой уникальный сетевой адрес (IP адрес). Это своего рода "телефонный номер" устройства в сети Интернет - если другая машина хочет с ним связаться, то она "звонит" на него через известный IP адрес. Например, 74.125.39.103 это IP адрес одного из серверов Google. Доменные имена (такие, как www.google.com) представляют собой "быстрый набор" для этих IP адресов. Набирая в адресной строке браузера www.google.com, вы посылаете запрос серверу доменных имен (серверу DNS) на поиск IP адреса связанного с www.google.com и последующее подключение к соответствующему серверу Интернета.

Подключение через IP адрес к клиентскому компьютеру для восстановления данных осложняется тем, что большинство из них имеют доступ в Интернет через публичную сеть, т.е. находятся за корпоративным брандмауэром или NAT (Network Address Translation). Подобные сетевые инфраструктуры позволяют компаниям установить больший контроль за передачей данных через Интернет. Существует два типа сетей: частные сети и публичные сети. Принципиальная разница между ними состоит в доступе к их компьютерам с других компьютеров сети Интернет.

Публичная сеть
NAT_and_Firewall_Traversing_for_Remote_Data_Recovery_Firewall_Network.png
В публичной сети каждое устройство имеет свой уникальный IP адрес, доступный любому компьютеру в Интернете. При помощи брандмауэра можно ограничить определенный тип трафика или трафик от несанкционированных пользователей, но в целом доступ к таким компьютерам возможен для каждого пользователя сети Интернет. Это похоже на прямую телефонную линию организации, когда звонки приходят на телефонный аппарат, минуя оператора или секретаря. У служащего есть свой телефонный номер, и звонки на него каким-либо образом не отслеживаются (т.е. каждый может ему позвонить со своего телефона). То же самое IP адрес компьютера в публичной сети. Поэтому подключиться к одной из таких машин для восстановления данных как правило достаточно просто. Если брандмауэр не настороен таким образом, чтобы блокировать трафик с компьютера специалиста по восстановлению данных, то подключение может быть установлено через публичный IP адрес компьютера. Такое подключение называется подключением в обход брандмауэра (firewall).

Но проблема состоит в том, что большинство компаний и домашние пользователи не используют публичную сеть - главным образом из соображений безопасности, но многие и по причине экономии денежных средств. Так что если вы сами не являетесь провайдером услуг Интернета (Internet service provider (ISP)), то вы находитесь в частной сети.

Частная сеть
NAT_and_Firewall_Traversing_for_Remote_Data_Recovery_NAT_Network.png
Если в публичной сети ваш компьютер аналогичен телефону с прямым номером, то в частной сети он аналогичен телефону с добавочным номером. Чтобы до вас дозвониться абонент сначала звонит оператору, который далее перенаправляет его звонок или набирает телефонный номер вашей компании а потом ваш добавочный номер.

Для частной сети используется похожая концепция за тем исключением, что "внешние" компьютеры не будут знать частный IP адрес вашего компьютера, он им не будет нужен. Если в публичной сети каждый компьютер имеет свой укикальный в сети Интернет IP адрес, то в частной сети каждый компьютер имеет IP адрес, уникальной для данной сети, например, 192.168.1.192, 172.16.2.23 или 10.10.10.10.

Единственная машина, у которой есть уникальный публичный IP адрес, это устройство NAT. Чтобы получить доступ к компьютеру частной сети "внешний" компьютер прежде всего должен "связаться" с устройством NAT, которое позволит передать данные на соответствующий компьютер частной сети. Это называется "обход NAT". Доступ к компьютеру частной сети можно получить через IP адрес устройства NAT; у каждого компьютера частной сети будет порт, при помощи которого он сможет получить данные из Интернета (аналог добавочного телефонного номера). Компьютеры из Интернета будут связываться с компьютерами частной сети через IP адрес устройства NAT и номер порта, и им будет неизвестен частный IP адрес каждого компьютера.

Мы видим, что как и в случае со звонками внешним абонентам с телефона с добавочным номером, намного проще получить прямой доступ в Интернет с компьютера частной сети чем обратный.

Переадресация Портов
У частной сети много преимуществ. Как уже говорилось, в ней нужен только один IP адрес для целой сети устройств. На намного более важным является то, что в частной сети обеспечивается дополнительный уровень компьютерной безопасности, так как NAT играет роль шлюза для всего Интернет трафика. Это помогает защищаться от троянов, шпионских программ, вирусов, спама и прочих вредоносных программ и хакерских атак. Вспомним, что в публичной сети каждый может получить доступ к компьютеру, если он надлежащим образом не заблокирован. В частной сети верно обратное утверждение: никто не может получить доступ к компьютеру, если он не был разрешен. Это достаточно эффективная мера защиты от вредоносного ПО и нежелательного трафика, но при этом создаются дополнительные трудности для "легального" подключения - например, подключения для восстановления данных через Интернет. Если порт, назначенный компьютеру устройством NAT, неизвестен, то технический специалист подключиться к такому клиентскому компьютеру на сможет.

Доступ в Интернет с компьютера частной сети в чем-то похож на улицу с односторонним движением. Но переадресация портов позволяет создать для любого компьютера частной сети эквивалент прямой телефонной линии. Переадресация портов это назначение устройством NAT определенного порта для компьютера сети. Например, если устройством NAT с IP адресом 184.173.73.182 для определенного компьютера назначен порт 2083, то IP адрес данного компьютера в сети Интернет будет 184.173.73.182:2083. Такая комбинация IP адреса/порта во многом может использоваться как публичный IP адрес при установлении подключения с машиной частной сети. Это называется обход NAT.

Обход NAT и Восстановление Данных через Интернет
В то время как переадресация портов является наиболее распространенным решением обхода NAT при работе в частных сетях, большинство пользователей не будут иметь достаточных прав для этого или им будет неизвестно, как это сделать. Следовательно, входящее подключение с компьютера специалиста по восстановлению данных будет невозможно.

Но R-Studio позволяет выполнять операции по восстановлению файлов через Интернет используя подключение, установленное клиентом. Это идентично тому, как компьютер получает доступ к веб-сайту Интернета, находящемуся в частной сети. Единственное, что нужно сделать, это установить переадресацию портов на устройстве NAT, которое подключено к компьютеру специалиста по восстановлению данных. При этом все дополнительные действия, необходимые для восстановления данных через Интернет, будет выполнять специалист по восстановлению данных, а не клиент.

Ниже приведен пример того, как устанавливается такое подключение.
NAT_and_Firewall_Traversing_for_Remote_Data_Recovery_Corporate_Network.png

Здесь клиент запускает R-Studio Agent, а специалист - R-Studio. Оба работают в частной сети. Специалист устанавливает переадресацию портов, чтобы программа R-Stidio Agent на компьютере клиента смогла получить доступ к его компьютеру. Это позволит R-Studio "принять" входящее подключение от клиента. Такой вариант наиболее оптимален - клиент не должен выполнять каких-либо дополнительных действий; также не происходит нарушения безопасности корпоративной сети как клиента, так и технического специалиста, который открывает только один порт, необходимый для работы R-Studio Agent.

Заключение
При выполнении восстановления данных через Интернет технический спецалист прежде всего сталкивается с необходимостью создания надежного подключения, которое бы отвечало имеющимся критериям безопасности. В частных сетях достичь этого позволяет переадресация портов и возможность установить подключение при помощи R-Studio Agent. При этом восстановление данных через Интернет становится намного более эффективным, надежным и рентабельным решением по сравнению с доставкой жестких дисков в компании по восстановлению данных или вызовом специалиста.

Более подробно процесс установления вышеописанного подключения и его наглядный пример можно найти в статье R-Studio Technician: Восстановление Данных через Интернет.

© Copyright 2000-2016 R-Tools Technology Inc.