Na początku ustalmy do czego możesz mieć dostęp w domu będąc poza domem. W zależności od twoich potrzeb możesz ustawić dostęp do całej, domowej sieci LAN i wszystkiego co jest tam dostępne, pojedynczego komputera, pojedynczej podsieci, jednego tylko programu komputerowego na domowym serwerze lub do kilku wybranych urządzeń i programów. Komputerem w domu może być laptop, komputer stacjonarny (tzw. stacja robocza) lub komputer pełniący rolę serwera – słowem serwer.
Zdalny dostęp do lokalnej sieci komputerowej
W większości domów, sieci LAN składają się z rutera z punktem WIFi, do którego podłączone są urządzenia takie jak komputer PC, laptop, tablet, smartfon, telewizor. Domy z instalacją inteligentnego domu z uwagi na bezpieczeństwo powinny posiadać co najmniej kilka podsieci najczęściej w formie „Wirtualnych Lokalnych Sieci Komputerowych” o ang. akronimie „VLAN”. Chyba wszystkie droższe rutery umożliwia ustawienie sieci VLAN. Za pomocą tych sieci i zapory firewall w ruterze można ustawić ochronę przepływu danych. Tak więc w zależności od zaawansowania twojej sieci domowej LAN, możesz ustawić dostęp do całej sieci lub do jednej, lub kilku sieci VLAN, a następnie dalej zadecydować czy chcesz mieć dostęp do wszystkich podłączonych do nich urządzeń. Najpewniej owymi urządzeniami będą komputery, w tym serwer, czy sam ruter. Ustalając swoje priorytety i potrzeby samodzielnie zadecydujesz do jakich urządzeń, dokumentów, danych i ustawień chcesz mieć zdalny dostęp. Dostęp do sieci lokalnej daje tobie szeroki dostęp do wielu lub wszystkich urządzeń – w zależności od ustawień rutera, co nie jest mniej bezpieczne. Im szerszy, mniej restrykcyjny dostęp tym gorzej dla poziomu bezpieczeństwa.
Zdalny dostęp do komputera lub serwera
Jeśli nie chcesz mieć dostępu do całej sieci lub podsieci, możesz ustanowić dostęp tylko do wybranych urządzeń lub jednego urządzenia, najczęściej będzie to komputer pełniący rolę serwera, ewentualnie komputer stacjonarny pełniący rolę stacji roboczej. W przypadku stacji roboczej, zdalny dostęp najczęściej będzie dotyczył dostępu do pulpitu ekranu urządzenia. A więc zdalnie zobaczysz pulpit systemu operacyjnego i na nim tak samo jak w domu będziesz pracować. Oprogramowanie, które polecam do tego celu to „Apache Guacamole”, „RustDesk” lub „Getscreen.me”.
Zdalny dostęp do oprogramowania
Gdy powyższe poziomy dostęp do danych ci nie odpowiadają, to możesz bardziej zawęzić możliwy zdalny dostęp tylko do wybranego oprogramowania, może to być jeden program lub kilka, tylko na tym samym urządzeniu lub kilku. Takie rozwiązanie najczęściej wykorzystuje się mając komputer pełniący rolę serwera, na którym zainstalowane jest pożądane oprogramowanie. Na własnym serwerze możesz zainstalować przeróżne oprogramowanie, również alternatywy do „chmurowych” i płatnych rozwiązań komercyjnych, np. program do tworzenia kopii zapasowej, kalendarz, kontakty, program do audio i wideo rozmów, bazę danych, czytnik RSS, serwer multimediów, menedżer haseł, notatnik, program do zarządzania projektami, program do zarządzania osobistymi finansami, centralka inteligentnego domu etc.
Gdzie ustawić zdalny dostęp do sieci komputerowej?
Niemal każdy dobry ruter posiada funkcje uruchomienia zdalnego dostępu. To w nim ustawiasz poziom dostępu i zabezpieczenia „firewall”. „Ściana ogniowa” (po ang. „firewall) daje możliwość ustawienia kto ma dostęp do jakich danych, a do czego innego dostęp jest warunkowy czy też niemożliwy. Uruchamiając zdalny dostęp do własnej sieci LAN koniecznie musisz zadbać o jej bezpieczeństwo, właściwie ustawiając firewall, aby tylko wybrani domownicy mieli zdalny dostęp do konkretnych miejsc w sieci.
Domyślnie twoja sieć komputerowa jest jak zamknięta twierdza. Nikt z zewnątrz nie ma do niej dostępu. Twoją sieć komputerową można porównać do miasta z murami obronnymi bez okien i drzwi. Gdy uruchamiasz zdalny dostęp „wykuwasz w murze drzwi”. Złe ustawienia zabezpieczeń uchylą lub otworzą na oścież owe „drzwi”, przez które może wejść każdy nieuprawiony. Przed uruchomieniem zdalnego dostępu twoja sieć nie jest widoczna w sieci Internet – przy założeniu że używasz bezpiecznych urządzeń w domu. Gdy uruchamiasz zdalny dostęp twoja sieć staje się widoczna w Internecie. Internet non-stop skanowany jest przez boty szukające słabych punktów sieci LAN i podłączonych do nich serwerów, aby się do nich dostać i narobić poważnych szkód.
Czasami programy komputerowe za pomocą kilku kliknięć umożliwiają uruchomienie zdalnego dostępu bez konieczności wchodzenia do ustawień rutera. Zanim skorzystasz z takiego rozwiązania upewnij się, jak takie rozwiązanie działa i czy jest w pełni bezpieczne.
Bezpieczeństwo zdalnego dostępu
„Wybijanie drzwi w murze” sieci LAN często ujawnia się poprzez otwarcie portu na zewnątrz sieci, który powiązany jest z portem wewnątrz sieci, po ang. „port forwarding”. Takie połączenie przekazuje dane z zewnątrz – w zależności od ustawień zdalnego dostępu – do całej sieci lub podsieci LAN, urządzenia lub oprogramowania. Każdy, powtarzam każdy będzie mieć dostęp do twojej sieci, urządzeń i zawartych tam danych jeśli odpowiednio ich nie zabezpieczysz w ustawieniach rutera i samych programach.
Nieco bezpieczniejszą drogą jest uruchomienie w swojej sieci LAN usługi „Wirtualnej Sieci Prywatnej”, zwanej po angielsku w skrócie „VPN”. Droższe rutery posiadają wbudowaną opcję uruchomienia sieci VPN, a pozostali muszą ją uruchomić na oddzielnym urządzeniu, np. serwerze. Oprogramowanie VPN np. OpenVPN czy nowocześniejszy Wireguard są dostępne do ściągnięcia za darmo i open source. Wireguard jest lżejszy w działaniu jeśli chodzi o zasobożerność. Po poprawnej instalacji i konfiguracji VPN oraz rutera zdalny dostęp do sieci LAN lub komputera lub programu uzyskasz tylko po włączeniu tunelu VPN w swoim smartfonie, czy komputerze. Takie rozwiązanie nadal wymaga otwarcia portu na zewnątrz (tylko jednego portu), ale wejście dalej będzie wymagało podania klucza VPN, gdzie twoje oprogramowanie zainstalowane na smartfonie lub laptopie zrobi to automatycznie.
Technologie w Domu
Najbezpieczniejszą formą zdalnego dostępu jest nieotwieranie żadnego portu na zewnątrz. W takim wypadku wykorzystuje się „pośrednika”, czyli innego komputera dostępnego przez Internet, gdzie cały ruch przekazywany jest od ciebie zdalnie przez serwer internetowy do twojej sieci LAN. Jeśli masz odpowiednie kompetencje samodzielnie możesz ustawić taki serwer w ramach usługi u dostawcy VPS, a w nim odpowiednie oprogramowanie VPN, lub zdalnego dostępu. Nie mając kompetencji skorzystaj z gotowego rozwiązania. Jakie są dostępne gotowe rozwiązania niewymagające dużej, technicznej wiedzy? Przykładowo jest to płatny Getscreen.me lub RustDesk z dostępem do twojej stacji roboczej (komputera, laptopa w domu). Trochę więcej technicznej wiedzy będzie wymagało skorzystanie z usługi Tailscale. Po zarejestrowaniu konta użytkownika Tailscale, instalujesz program na zdalnym urządzeniu (smartfonie, laptopie, komputerze) oraz urządzeniu w domowej sieci, do którego chcesz mieć dostęp. Po skonfigurowaniu uruchamiasz połączenie VPN na zdalnym urządzeniu i bezpiecznie za pomocą protokołu Wireguard łączysz się z urządzeniem w domu.
Końcowe wyjaśnienie
Czy wiesz, że zanim uruchomisz jakikolwiek zdalny dostęp, twoja, domowa sieć komputerowa już teraz może mieć otwartych mnóstwo portów i nadal będziesz bezpieczny? Gdy czytasz tę stronę internetową twoja przeglądarka i komputer otworzyły port w twojej sieci LAN, aby móc wysłać twoje zapytanie do Internetu i w konsekwencji wyświetlić tę stronę WWW w twojej przeglądarce. Dlaczego w takim przypadku nie ma problemu z bezpieczeństwem? Domyślnie twój ruter blokuje całkowity przychodzący ruch do twojej sieci. Ale gdy to ty – lub ktoś z twoich domowników – inicjuje połączenie wewnątrz sieci LAN na zewnątrz, to twój ruter zezwala na wysyłkę i odbiór takiej transmisji (najczęściej szyfrowanej) przez otwarty port tylko do tego celu – nikt inny nie wejdzie przez ten port. A więc jest to bezpieczne, pod warunkiem, że – jeśli już mówimy o stronach WWW – otwierasz tylko te bezpieczne, bo wiemy przecież że są w Internecie strony WWW, które infekują i szkodzą.
