Você pode limitar o acesso VPN somente ao RDP?

Navegue suas respostas
3

Neste momento, todos os desenvolvedores da nossa organização têm laptops para que possam trabalhar de casa ocasionalmente ou fornecer suporte fora do horário de expediente. Nossa especificação de hardware de laptop é, infelizmente, uma especificação de laptop de negócios, e tivemos uma batalha difícil tentando fazer com que eles atualizem de 2 para 4 GB.

Eu estou buscando uma iniciativa para melhorar as máquinas de "classe de desenvolvedor" para nossos desenvolvedores e observar opções para poder ainda fornecer acesso de casa.

Uma opção que estamos examinando é fornecer um netbook complementar, bloqueado para permitir o RDP em seus desktops, mas adoraria permitir que os desenvolvedores simplesmente façam VPN de seus computadores domésticos e acessem sua área de trabalho via RDP.

Nossa organização, no entanto, tem limitações muito estritas sobre o que pode acessar nossa rede e (atualmente) exige que apenas dispositivos de propriedade da empresa e controlados tenham permissão para acessar. O raciocínio para isso é som. . . eles querem ter certeza de que qualquer coisa introduzida em nossa rede seja suficientemente protegida contra vírus, e eles querem garantir que os dados confidenciais / de privacidade da empresa não sejam colocados em um ambiente descontrolado.

O que eu estava pensando, no entanto, é alguma maneira de fornecer acesso seguro a RDP apenas aos nossos desenvolvedores? Temos uma infra-estrutura SecurID já em vigor. Se isso for possível, por favor me ajude a falar de forma inteligente com o nosso provedor de infra-estrutura para ver se podemos tornar isso uma realidade.

    
por Robaticus 29.06.2011 / 22:56

2 respostas

3

Depende da sua infraestrutura de VPN. Em geral, se você puder encerrar a VPN por trás de um dispositivo de firewall que seja suficientemente configurável para limitar o tráfego de VPN, então você está no negócio.

Como exemplo, encerro uma VPN PPTP da Microsoft em um site do Cliente por trás de um firewall baseado em Linux. Existem regras iptables para permitir que o servidor VPN acesse o servidor RADIUS na LAN e regras para permitir acesso RDP de clientes VPN a várias sub-redes LAN. Todo o restante do tráfego proveniente dos clientes VPN para a LAN é descartado.

Estou muito satisfeito com essa configuração. Eu não me preocupo com malware nos computadores clientes VPN que chegam à minha LAN (pelo menos, ainda não ... Eventualmente alguém vai escrever um ataque direcionado que usa o recurso de canal secundário do protocolo RDP para fazer coisas desagradáveis ao remoto fim, ou para registrar as teclas digitadas ou dados de tela dentro da sessão RDP, etc.)

Poste um pouco mais sobre o que você está usando para encerrar sua VPN, especificamente, e provavelmente seremos mais úteis. Em última análise, a chave é ser capaz de inspecionar o tráfego de VPN em um "ponto de estrangulamento" antes de atingir sua LAN.

    
por 29.06.2011 / 23:03
1

Outra opção é fornecer aos Devs uma VM para, digamos, o VirtualBox configurado pela sua equipe de TI como eles gostariam. Permitir que a VM acesse a VPN. Você poderia tentar limitar o tráfego de saída na VM para permitir somente o RDP sobre a VPN. (claro que esta última ideia está além da minha capacidade :-))

    
por 29.06.2011 / 23:32

Tags

Linux / Multipath não está usando todos os caminhos e não usará path_selector no tamanho da fila? Requisitos do servidor de backup do Network Time Machine