como adicionar máquina controlável remotamente à rede doméstica, sem sacrificar a segurança da rede?

2

A seguinte configuração:

Eu gostaria de adicionar uma máquina (executando o Windows Server 2008 r2) à nossa rede doméstica, de modo que esta máquina tenha acesso à Internet e seja acessada (com todos os direitos de administrador) de fora (outro país). em particular) através do RDP. Eu quero dar acesso RDP para algumas pessoas que devem manter algumas coisas para mim nesta máquina e executar algum trabalho sobre ela em uma base regular. Eles também devem ter direitos de administrador completos para instalar nesta máquina o que eles precisarem. Agora - eu confio nessas pessoas em relação às tarefas que devem executar, mas não tanto quanto eu gostaria de sacrificar a segurança dos dados privados nas outras máquinas dentro desta rede (especialmente os computadores dos membros da minha família).

so - os requisitos são:

  • máquina executando o servidor windows, fisicamente localizado no meu local (porque eu preciso de acesso físico regular a ele, já que tem alguns dispositivos de teste conectados a ele)
  • Acesso RDP com direitos de administrador completos a esta máquina de fora da rede doméstica
  • sem risco de segurança adicional para outros computadores na rede doméstica

Existe uma maneira de isolar esta máquina em uma base de rede, de modo que ela possa ser acessada pela Internet, mas não possa se comunicar com outras máquinas dentro da rede doméstica?

qualquer dica é bem-vinda

    
por user1282931 23.02.2013 / 07:00

4 respostas

1

A maneira de conseguir isso usando equipamentos de nível de consumidor está usando uma configuração Y de 3 roteadores

Aodefinirosdoisroteadoresusandoamesmasub-rede,masem"LANs" diferentes, é impossível que uma rede converse com a outra rede.

Pense desta maneira: você tem um computador na LAN A com um IP de 192.168.1.2 e um novo servidor na LAN B com um IP de 192.168.1.3 . Se na LAN A você solicitar que 192.168.1.3 vá para o roteador da LAN A, verá que é uma solicitação para a sub-rede 192.168.1.x e não encaminhará o pacote mais para cima na cadeia. Ele também vê que não sabe de nenhum computador em 192.168.1.3 e relata para o computador original "host de destino desconhecido". Se solicitarmos outro IP diferente de 192.168.1.x , ele usará o gateway e continuará na Internet para tentar resolver sua conexão IP.

Para o encaminhamento de porta (usando a imagem acima, por exemplo), você deve encaminhar a porta 3389 (porta RDP) para 192.168.0.102 no roteador superior. Em seguida, você configura o encaminhamento de porta novamente no roteador da direita, de modo que 3389 vai para qualquer que seja o IP do novo servidor.

Isso oferece segurança completa em sua rede doméstica.

    
por 24.02.2013 / 09:19
0

Bem, não tenho 100% de certeza sobre isso, mas ao conectar a uma rede, o Windows Vista e versões posteriores (e respectivas versões do Sevrer) perguntam se a rede é pública, comercial ou doméstica. Se você configurá-lo como Público, terá acesso à Internet, mas não poderá acessar nenhum outro PC conectado na mesma rede. Eu não sei se isso tem um impacto no RDP ou você pode simplesmente configurar o firewall e seu roteador para permitir o acesso remoto. Experimente para ver se funciona. Se funcionar, então é o que você precisa. Você pode controlar o computador remotamente, fazer coisas, mas o servidor não pode acessar outros PCs, pois o compartilhamento de arquivos está desativado por padrão. Como outra opção, você poderia ir para os outros PCs e proibir qualquer acesso do servidor usando seu nome de computador ou IP. Eu não sei como fazer isso, provavelmente do Firewall do Windows.

    
por 23.02.2013 / 10:27
0

A chave para obter um nível de segurança aqui que você considera suficiente é implementar camadas de defesa, tanto técnicas quanto procedimentais:

Autenticação - a autenticação mútua de dispositivos (por certificado) ajuda a garantir que apenas o cliente correto possa se conectar ao servidor e que o cliente saiba que está se conectando ao servidor

Segregação - coloca o servidor em uma DMZ, com uma conexão à Internet, mas sem conexão à sua rede. Para criar essa DMZ, você poderia usar firewalls ou roteadores com listas de controle de acesso e configurá-los para negar todas as conexões deste servidor a qualquer outra coisa - apenas permitir conexão do cliente ao servidor (e suas respostas de volta).

Correção - manter o servidor (e o firewall) atualizado evita que invasores que usam fraquezas conhecidas passem por seus controles.

    
por 23.02.2013 / 15:29
0

Sim, isso pode ser feito. Como você está em casa e provavelmente não tem firewalls em nível corporativo, a melhor coisa a fazer é configurar o NAT no roteador voltado para a Internet para encaminhar as portas RDP para a máquina que precisa de acesso RDP. Dessa forma, há um firewall que protege seus outros serviços contra o acesso, a menos que você o permita explicitamente (essa é a beleza do NAT). Ter duas conexões dentro de sua rede doméstica a partir do seu roteador voltado para a Internet: 1º para o computador que serve RDP e 2 para outro roteador. Plugue a segunda conexão na interface WAN do segundo roteador (normalmente chamada de "Internet"). Em seguida, coloque suas máquinas domésticas normais no segundo roteador (ou conecte-as à segunda interface sem fio dos roteadores). Certifique-se de que os roteadores estejam em sub-redes diferentes, caso contrário, você terá grandes problemas. A estratégia mais fácil é colocar o roteador com acesso à Internet no IP 192.168.1.1/24 eo segundo roteador no 192.168.2.1/24. Com esta configuração você simplesmente precisa dar a seus amigos seu endereço IP de internet e tentar RDP. O roteador com acesso à Internet receberá os pacotes na porta RDP e os encaminhará para o sistema apropriado. Como o sistema está no lado da WAN do segundo roteador, ele não poderá acessar nenhum dos sistemas conectados no lado da LAN do segundo roteador, portanto, seus outros sistemas estarão seguros.

    
por 24.02.2013 / 06:24