Implementando uma forma de port knocking + Fator do Telefone = 2 Fator auth para RDP?

3

Eu tenho procurado como proteger um ponto de extremidade RDP publicamente disponível e quero implementar nosso servidor RADIUS de autenticação de dois fatores, o PhoneFactor. Eu gostaria de implementar o seguinte processo:

  1. O usuário abre o aplicativo da web no navegador
  2. No aplicativo da web, o usuário insere nome de usuário + senha, inicia a autenticação RADIUS
  3. O fator de telefone chama o usuário para concluir a autenticação
  4. Quando o usuário é autenticado, a porta 3389 é aberta no IP do usuário em pfSense firewall.
  5. Depois de algum tempo, a regra de firewall é removida para esse IP

Eu gostaria de saber o seguinte:

  1. Esta é uma configuração típica? Se for uma má ideia, por favor explique porquê.
  2. Se for possível, há algum pacote que ajude com isso? Especificamente, a terceira etapa, em que a regra de firewall apropriada precisaria ser adicionada ...

Editar: estou ciente do TS Web Gateway, mas quero que os usuários possam usar o cliente RDP tradicional ...

    
por tacos_tacos_tacos 04.09.2012 / 23:30

1 resposta

3

Você deseja verificar a configuração de um Servidor de Políticas de Rede (NPS) .

Network Policy Server (NPS) allows you to create and enforce organization-wide network access policies for client health, connection request authentication, and connection request authorization. In addition, you can use NPS as a Remote Authentication Dial-In User Service (RADIUS) proxy to forward connection requests to a server running NPS or other RADIUS servers that you configure in remote RADIUS server groups.

Ele faz exatamente o que você está procurando, basta conectar seu servidor RADIUS (PhoneFactor) ao servidor NPS e fazer com que o Remote Desktop use o NPS para autorizar conexões remotas.

Você também precisará configurar um Gateway de Área de Trabalho Remota , mas eu acho que você está usando o termo errado no seu OP, e você não está se referindo a não querer configurar um Gateway RD, mas em vez disso se referindo a Acesso via Web RD .

    
por 05.09.2012 / 00:40