Restringindo sessões RDP na Internet, mas não na LAN

Navegue suas respostas
2

Aviso justo: sou um programador, não uma pessoa de TI. Assim, não faço ideia do que estou falando e me coloco inteiramente à sua mercê.

Eu tenho três máquinas dedicadas que administramos atualmente por meio do RDP via Internet. Também temos uma máquina virtual onde fazemos o mesmo. A máquina virtual e as máquinas dedicadas estão todas na mesma LAN.

Eu gostaria de restringir o acesso às máquinas dedicadas de forma que as sessões RDP para possam ser iniciadas apenas a partir do servidor virtual. Em suma, não queremos que as sessões RDP para as máquinas dedicadas sejam permitidas pela Internet.

O objetivo final é: Você RDP via Internet para a máquina virtual e, em seguida, RDP de lá para as máquinas dedicadas.

Isto foi proposto como uma forma de proteger as Máquinas Dedicadas da intrusão externa.

Então eu acho duas coisas:

  1. Isso faz sentido fazer? Isso realmente adiciona algum nível de segurança? Se não, então o que seria um caminho correto para diminuir o risco de acesso não autorizado aos servidores dedicados?
  2. Em caso afirmativo, em que direção devo procurar? Até mesmo alguns termos para me iniciar no Google seriam incríveis.
por Alec Sloman 22.09.2011 / 02:40

2 respostas

1

Restringir o acesso dessa forma é provavelmente um ganho de segurança (menos serviços expostos), mas somente se você tiver certeza de que a máquina virtual está altamente bloqueada, as contas de usuário são limitadas e usam senhas strongs, a versão RDP e os clientes Estamos usando são as mais recentes especificações e usam criptografia, e você monitora o inferno fora disso.

Dito isto, há muitas ferramentas que você pode usar para implementar esse tipo de modelo, dependendo da sua arquitetura de rede. O melhor lugar para fazê-lo é no seu firewall ou roteador de borda - simplesmente certifique-se de que SOMENTE a máquina virtual tenha a porta RDP exposta à Internet e que as outras máquinas não fiquem tão expostas. O ideal é que você tenha um roteador / firewall desse tipo e ele esteja bloqueado para não permitir conexões a qualquer momento - permitindo apenas as portas que precisam estar disponíveis para os clientes na Internet.

Se você não tem isso, você tem problemas maiores, que devem ser resolvidos antes deste.

Como alternativa, você pode usar o firewall do Windows nas três máquinas dedicadas (suponho que você esteja usando uma versão do Windows com um firewall host disponível) para permitir conexões RDP somente a partir da máquina virtual.

Se nada disso fizer sentido ou parecer fácil, sugiro que você encontre um administrador de rede para ajudar. Se isso não for possível, eu teria lido os documentos da sua versão específica de janelas específicas para as configurações do firewall - talvez iniciando aqui

Boa sorte!

    
por 22.09.2011 / 03:03
1

Parece que o Gateway de Área de Trabalho Remota (RDG) (chamado no Server 2008 R2. Gateway de Serviços de Terminal Chamado no Server 2008) serviria muito bem nessa situação.

Ele oferece o mesmo benefício da sua ideia de máquina virtual (menos área de superfície e portas ativadas para ataque), além de garantir a transmissão SSL e as políticas do usuário / computador que você define.

A idéia é que você configure o RDG em um único servidor e a porta 443 da Internet para ele. Em seguida, você cria Diretivas de Autorização de Conexão (CAP) que definem quem pode usar o RDG e, em seguida, as Políticas de Autorização de Recursos (RAP) que definem quais computadores internos na LAN podem ser acessados por meio do RDG.

De lá, você pode ver os usuários atualmente logados no RDG, bem como definir eventos em entradas de log personalizadas para notificações, se desejar (através das ferramentas de log de eventos do Server 2008).

Aqui está um guia passo-a-passo para usar o RDG: link

Uma rápida pesquisa no Google por Gateway de Área de Trabalho Remota fornecerá algumas simples para acompanhar as introduções ao RDG.

    
por 22.09.2011 / 05:19

Tags

Permitir varreduras avançadas do nmap para um usuário normal Como executo um aplicativo baseado em Java Service Wrapper na inicialização