Подробный гайд по безопасности удалённого доступа в Parsec
Parsec — это мощный инструмент для удалённого доступа с низкой задержкой, но правильная настройка безопасности критически важна. Ниже представлен полный гид по защите ваших сессий.
Базовые механизмы безопасности Parsec
Шифрование и аутентификация
- Пароли: Parsec НЕ хранит пароли в открытом виде. Используется алгоритм хеширования bcrypt с 256-битной солью для каждого пользователя.
- Связь с серверами: Все соединения с бэкендом Parsec используют TLS 1.3 / AES-256 с проверкой сертификатов и имени хоста.
- P2P-трафик: Аудио/видео/ввод данных шифруются через DTLS 1.2 (AES-128). Каждое соединение аутентифицируется одноразовым токеном после установления DTLS-рукопожатия.
- SOC 2 Type 2: Parsec сертифицирован по стандарту SOC 2 Type 2, что подтверждает соответствие отраслевым практикам безопасности.
Сетевая архитектура
| Тип трафика | Порт | Протокол | Назначение |
|---|---|---|---|
| API / Веб-интерфейс | 443 | TCP + TLS | Аутентификация, управление |
| STUN-сервер | 3478 | UDP | Обнаружение пиров за NAT |
| P2P-стриминг | 8000-8010 (настраивается) | UDP + DTLS | Передача видео/аудио/ввода |
Важно:
- Не используйте инспекцию SSL на межсетевых экранах — это может нарушить работу Parsec.
Настройка двухфакторной аутентификации (2FA)
Как включить 2FA:
- Войдите в аккаунт на parsec.app
- Перейдите во вкладку Security
- Нажмите Enable 2FA
- Отсканируйте QR-код в приложении-аутентификаторе (Authy, Google Authenticator, 1Password)
- Введите код из приложения и ваш пароль
- Укажите резервный email для восстановления
- Скачайте и сохраните резервные коды в надёжном месте
Для команд (Parsec for Teams):
- Администратор может принудительно включить 2FA для всех участников команды.
- При использовании SSO (через Okta, Azure AD и др.) аутентификация делегируется провайдеру идентичности.
Настройка брандмауэра и сети
Необходимые правила (для хоста и клиента):
Разрешить исходящий трафик:
- TCP 443 → *.parsec.app, *.parsecgaming.com, AWS S3/CloudFront
- UDP 3478 → stun.parsec.app, stun6.parsec.app
Для P2P-соединений:
- Разрешить входящий/исходящий UDP на портах 8000-8010 (или настроенный диапазон)
- Избегать "двойного NAT" и CGNAT — они могут блокировать прямые соединения
Блокировка неавторизованных подключений:
Для корпоративных сетей можно создать правило брандмауэра, разрешающее хостинг только для аккаунтов Parsec for Teams.
Дополнительные меры безопасности
Рекомендуемые практики:
| Мера | Описание |
|---|---|
| Approved Apps | Ограничьте, какие приложения видит гость при подключении |
| Session Duration | Настройте таймаут сессии и требование повторной аутентификации |
| IP Verification (Teams) | Ограничьте доступ по доверенным IP-адресам |
| Резервные коды 2FA | Храните в офлайн-сейфе или менеджере паролей |
Для повышенных требований:
- Используйте Tailscale/ZeroTier поверх Parsec: создаёт приватную mesh-VPN сеть, исключая необходимость в пробросе портов и защищая от сканирования из интернета.
- Parsec Relay Server (Enterprise): весь трафик маршрутизируется через ваш собственный сервер, что упрощает аудит и контроль.
- SCIM + SAML: автоматизируйте управление пользователями и принудительный SSO для корпоративных развёртываний.
Проверка безопасности
Чек-лист перед использованием:
- [ ] Включена 2FA на аккаунте
- [ ] Используется сложный уникальный пароль
- [ ] Брандмауэр настроен согласно требованиям
- [ ] Отключена инспекция SSL для доменов Parsec
- [ ] Для корпоративного использования: включены ограничения по командам/группам
- [ ] Резервные коды 2FA сохранены в безопасном месте
- [ ] Регулярно обновляется клиент Parsec (включает исправления безопасности)
Тестирование подключения:
# Проверка доступности сервисов
nslookup parsec.app
ping stun.parsec.app
# Проверка портов (на хосте)
netstat -an | findstr :8000 # Windows
ss -ulnp | grep 8000 # Linux
Устранение проблем безопасности
| Ошибка | Возможная причина | Решение |
|---|---|---|
| 6023 / 6024 | Блокировка фаерволом / проблемы NAT | Проверьте правила брандмауэра, попробуйте включить Relay-режим |
| 6101 | Сетевая политика блокирует Parsec | Добавьте исключения для доменов Parsec в прокси/фаервол |
| Не работает 2FA | Потерян доступ к аутентификатору | Используйте резервные коды или сброс через email |
Сообщить об уязвимости
Если вы обнаружили потенциальную уязвимость:
Напишите на security@parsec.app
Parsec проводит регулярное пентестирование и оперативно реагирует на отчёты.
Совет:
- Для максимальной безопасности комбинируйте Parsec с Zero Trust-решениями (Tailscale, Cloudflare Access) и всегда используйте принцип наименьших привилегий при настройке доступа.