Eu precisaria de uma VPN ao usar os Serviços de Terminal pela Internet?

Navegue suas respostas
2

Estou procurando fornecer acesso remoto a alguns aplicativos em que trabalho.

Planejamos usar os Serviços de Terminal no Server 2003 e, depois de lermos, ele criptografa todo o tráfego que passa pelo RDP.

Embora o tráfego RDP seja criptografado, muitas pessoas recomendam que ele seja executado somente por uma VPN.

Como sou meio novo no TS, gostaria de saber por que as pessoas recomendam os dois níveis de segurança e por que não é sensato usar apenas o TS pela Internet.

    
por Chillihead 21.08.2009 / 16:21

8 respostas

0

Wh tem um par de fornecedores que insistem em ser capaz de RDP em servidores que eles gerenciam. Como uma delas é nossa principal caixa financeira, isso me deixa desconfortável ao extremo, mas não havia nenhuma maneira de contornar isso - precisávamos dar a eles uma área de trabalho remota, ou eles não fariam nada ao servidor.

O compromisso que obtivemos foi dar-lhes o RDP, conforme necessário, mas com alguns minutos de antecedência; eles nos chamam, nós executamos um script que abre as portas de firewall relevantes, eles fazem o que for necessário, então nos ligam novamente, nós executamos outro script que fecha as portas.

Então, sim, é possível fazer isso apenas com o RDP, embora, se você quiser, eu recomende:

1) Somente ter o serviço exposto quando necessário, em vez de 24/7.

2) Bloqueio do intervalo de endereços que podem ser conectados (na medida do possível).

3) Renomear a conta de administrador para algo diferente de "Administrador" e dar a ela uma senha strong.

    
por 21.08.2009 / 16:49
1

Ele já está criptografado, como você disse, o único problema que vejo é que é difícil mover a porta em que ele é executado sem recorrer a alterações no registro. Há críticos de segurança através da obscuridade, mas ajuda a frustrar algumas sondagens e scripts. 99% do tempo apenas passando por cima dos webbertubes deve ficar bem.

A VPN tem a vantagem de não abrir brechas nas regras do seu firewall. Ele adiciona alguma sobrecarga porque você está processando a criptografia no link mais a criptografia para a VPN, mas não muito. Você também precisa do cliente VPN em qualquer ponto de extremidade que esteja vinculando, o que, dependendo de seus clientes, pode ser um pouco incômodo enquanto o uso do RDP requer apenas um cliente RDP genérico.

Na maior parte do tempo, acho que você preferiria abrir uma porta no firewall ou preferiria apoiar a conexão VPN e / ou os clientes para isso, e o quanto seria difícil para seus usuários ( se você estiver usando usuários móveis que precisam em laptops ou sistemas domésticos, suportando assim o software VPN client and training).

    
por 21.08.2009 / 16:41
1

Mesmo que você confie na criptografia RDP (ela foi validada por especialistas externos?), não usar uma VPN significa que você tem um servidor Windows importante com portas abertas para a web. Qualquer nova exploração remota (e há várias novas a cada mês) deixa você vulnerável.

Usar uma VPN significa que a única porta aberta é uma exaustivamente verificada quanto a segurança por muitos especialistas independentes, tornando as explorações remotas extremamente raras. Mesmo que haja uma que atinja você, é relativamente fácil alterar uma VPN para outra, sem afetar a configuração e a usabilidade final.

    
por 21.08.2009 / 16:52
1

VPN pode ser um exagero, você também pode usar uma porta ssh para frente em um script (plink de Putty funciona muito bem). Eu configurei isso usando VNC para o serviço RDC (era uma casa Mac).

Não usar chaves de acesso e limitar os usuários no servidor ssh interno funcionaria. Isso limita a complexidade das redes e também protege a rede interna de algum modo dos sistemas clientes comprometidos.

    
por 21.08.2009 / 17:12
0

É financeiramente possível. Certamente, os Serviços de Terminal serão mais propensos a vulnerabilidades. Nenhuma porta é aberta em um firewall, então

    
por 21.08.2009 / 16:26
0

Eu usei o RDP na rede por alguns anos com algumas empresas diferentes e não tive nenhum problema com conectividade e / ou segurança. Concedido, nossas empresas têm sido um pouco pequenas para que a segurança não fosse um problema tão grande (não minha chamada embora).

Uma VPN definitivamente manteria as coisas um pouco mais seguras, mas se você não puder ir a esse roteador, usar o RDP por conta própria deve ser ok.

Aqui estão alguns links com algumas diretrizes de segurança adicionais para você -

Serviços de terminal do Windows

Diretrizes de segurança do RDP

    
por 21.08.2009 / 16:32
0

se você for usar, é melhor configurar o servidor / roteador para aceitar apenas o tráfego 3389 do endereço IP de origem.

    
por 21.08.2009 / 17:10
0

Como um compromisso entre a VPN / sem VPN, você pode examinar a opção "VPN pessoal" do Hamachi . Eu usei isso no passado com razoável sucesso. Instale o cliente no TS e nos clientes. Crie uma rede Hamachi a partir do TS (com senha) e, em seguida, faça com que todos os clientes entrem na mesma rede.

Os clientes, em seguida, apenas RDP para o endereço 5.x.x.x do TS.

    
por 21.08.2009 / 17:17

Tags

Como removo um pacote no openSUSE sem instalar nada? Arquivo em lote para chamar vários arquivos em lote e continuar depois dos erros