RDP и VNC (бастион)

Что такое бастион

Бастион - это функция CloudPub, которая позволяет централизованно подключаться к RDP и VNC серверам с полным контролем доступа и записью всех действий пользователя.

В отличие от обычной публикации через TCP туннель, бастион:

• Записывает все действия - сохраняет видео сеанса для последующего аудита
• Централизует аутентификацию - использует учетные данные CloudPub вместо передачи паролей
• Поддерживает двуфакторную аутентификацию - дополнительный уровень защиты при входе
• Предоставляет детальный аудит - все действия логируются в разделе "Аудит"

Публикация RDP серверов

Приложение с графическим интерфейсом

1. Откройте приложение CloudPub
2. Перейдите в раздел "Публикации"
3. Нажмите кнопку "Добавить"
4. Выберите тип публикации RDP
5. Укажите адрес и порт RDP сервера (по умолчанию 3389)
6. При необходимости укажите учетные данные
7. Добавьте комментарий для идентификации публикации
8. Нажмите "Сохранить"

Командная строка

Для публикации RDP сервера на локальном компьютере:

clo publish rdp 3389

Для публикации RDP сервера в локальной сети:

clo publish rdp 192.168.1.100:3389

С указанием имени для отображения:

clo publish rdp 3389 --name "Рабочий компьютер"

После публикации сервер будет доступен в разделе "Бастион" в личном кабинете CloudPub.

Публикация VNC серверов

Приложение с графическим интерфейсом

1. Откройте приложение CloudPub
2. Перейдите в раздел "Публикации"
3. Выберите тип публикации Удаленный рабочий стол (VNC)
4. Укажите адрес и порт VNC сервера (обычно 5900)
5. Нажмите "Опубликовать"

Командная строка

Для публикации VNC сервера на локальном компьютере:

clo publish vnc 5900

Для публикации VNC сервера в локальной сети:

clo publish vnc 192.168.1.50:5900

С указанием имени для отображения:

clo publish vnc 5900 --name "Сервер разработки"

Протокол подключения

Внешнее подключение к VNC серверу осуществляется по протоколу RDP, несмотря на то что сам сервер использует протокол VNC. Это сделано для безопасности, так как VNC не поддерживает шифрование трафика. CloudPub автоматически конвертирует VNC в зашифрованный RDP при подключении через бастион.

Настройка учетных записей

Для подключения к RDP/VNC серверу через бастион необходимы учетные данные. CloudPub поддерживает два способа аутентификации:

Использование учетной записи пользователя (рекомендуется)

Предпочтительный метод, так как в этом случае пароль для входа не хранится на сервере CloudPub.

При подключении к серверу система предложит ввести учетные данные:

• Логин (имя пользователя на удаленном сервере)
• Пароль
• Домен (для RDP, если требуется)

Эти данные используются только для текущего сеанса подключения и не сохраняются.

Создание учетной записи по умолчанию

Вы можете создать учетную запись с сохраненными учетными данными для автоматического входа.

Создание учетной записи

1. Откройте личный кабинет CloudPub
2. Перейдите в раздел "Учетные записи" (Credentials)
3. Нажмите кнопку "Создать"
4. Заполните данные:
   • Название - название для идентификации
   • Тип - выберите тип учетной записи:
     • Логин и пароль - для обычных подключений
     • Логин, пароль и домен - для RDP с доменной аутентификацией
     • Логин и ключевая пара - для SSH подключений
   • Логин - имя пользователя
   • Пароль - пароль (будет зашифрован при сохранении)
   • Домен - домен Windows (только для типа "Логин, пароль и домен")
5. Нажмите "Сохранить"

Привязка учетной записи к публикации

1. Откройте раздел "Публикации"
2. Найдите публикацию RDP или VNC сервера
3. Нажмите на кнопку редактирования
4. В поле "Учётные данные" выберите созданную учетную запись
5. Сохраните изменения

Теперь при подключении к этому серверу будет автоматически использоваться указанная учетная запись.

Безопасность

Учетные данные хранятся в зашифрованном виде, но мы рекомендуем использовать учетную запись пользователя (без сохранения) для максимальной безопасности, особенно для критически важных систем.

Подключение к серверу

1. Подключитесь к серверу rdp.cloudpub.ru RDP клиентом
2. Введите свои учетные данные CloudPub для аутентификации.

3. Если включена двухфакторная аутентификация, введите код из приложения:

4. Выберите нужный сервер из списка

4. Нажмите кнопку "Подключиться"

5. Если учетная запись не настроена и не совпадает с вашей учетной записью пользователя, введите данные для входа:

   • Введите логин и пароль
   • Для RDP укажите домен (если требуется)

6. Дождитесь установки соединения

Аудит и запись сеансов

Все подключения через бастион автоматически логируются и могут записываться для последующего анализа.

Логирование действий

Каждое подключение создает запись в разделе "Аудит", которая содержит:

• Время подключения - дата и время начала сеанса
• Пользователь - кто подключался
• Сервер - к какому серверу было подключение
• IP-адрес - адрес, с которого выполнялось подключение
• Статус - успешно или ошибка подключения
• Длительность - продолжительность сеанса

Запись видео сеанса

CloudPub может записывать видео всех действий пользователя во время RDP сеанса.

Включение записи

Запись видео настраивается на уровне сервера CloudPub. Обратитесь к администратору для включения этой функции.

После включения все RDP сеансы будут автоматически записываться.

Просмотр записей

1. Откройте раздел "Аудит"
2. Найдите нужный сеанс подключения
3. Откройте запись для просмотра деталей
4. Если сеанс был записан, в диалоге просмотра будет вкладка "Видео"
5. Перейдите на вкладку "Видео" для воспроизведения записи
6. Также доступно скачивание записи в формате MP4

Записи хранятся в формате MWRM (Wallix RDP Movie) и автоматически конвертируются в MP4 при первом просмотре или скачивании.

Доступ к записям

• Суперпользователи имеют доступ ко всем записям
• Руководитель команды имеет доступ к записям своих коллег
• Обычные пользователи имеют доступ только к своим записям

Управление доступом

Совместное использование

Вы можете предоставить доступ к опубликованным RDP/VNC серверам другим пользователям:

1. Откройте раздел "Публикации"
2. Найдите нужную публикацию
3. Перейдите на вкладку "Доступ" (ACL)
4. Добавьте пользователей с нужными правами:
   • admin - полный доступ и управление
   • reader - только подключение

Преимущества бастиона

• Централизованный доступ - все RDP/VNC серверы в одном месте
• Безопасность - шифрование соединения, аутентификация через CloudPub
• Двуфакторная аутентификация - поддержка 2FA для дополнительной защиты доступа
• Аудит - полная история подключений и действий
• Запись сеансов - видео всех действий для расследований
• Контроль доступа - гибкие правила и фильтры
• Без настройки роутера - работает через туннель CloudPub

Сравнение с TCP туннелем

Функция	Бастион (RDP/VNC)	TCP туннель
Запись сеансов	Да (для RDP)	Нет
Аудит действий	Детальный	Только подключения
Учетные данные	Централизованные	Передаются клиенту
Двуфакторная аутентификация	Да	Нет
Требуется клиент	Нет	Да
Производительность	Средняя	Высокая
Безопасность	Максимальная	Высокая

Используйте бастион для критически важных систем, требующих аудита.

Используйте TCP туннель (clo publish tcp 3389) для максимальной производительности без записи.