acesso remoto / vpn para a prática recomendada do servidor de produção do Windows Server 2012

Navegue suas respostas
1

Eu preciso acessar meu ambiente de produção de modo remoto, fora da lan para emergência. Eu não quero que os usuários sejam solicitados por credenciais de área de trabalho remota e tentem adivinhar o nome de usuário e a senha.

Então, o que posso fazer?

O que é vpn? é mais seguro?

    
por user2119955 06.03.2013 / 15:14

2 respostas

1

Em geral, você não deve expor a Área de Trabalho Remota diretamente à Internet se puder ajudá-la. O uso de uma VPN seria a melhor solução, porque reduz a superfície de ataque ao dispositivo / software de terminação da VPN. Se uma VPN não for uma opção, o tunelamento do RDP sobre SSH também é uma solução viável. Se você tiver que expor o RDP diretamente à Internet diretamente, você deve restringir os endereços IP que podem se conectar através do firewall de borda ou, se não houver um, do Firewall do Windows. Se você tiver o pior cenário possível de exigir que toda a Internet tenha acesso ao seu servidor RDP, limite as novas tentativas de conexão no seu firewall de borda ou, se isso não for uma opção, analise o software que pode limitar o limite para você (como meu script ts_block ).

    
por 06.03.2013 / 15:35
1

Suporte VPN para Rede Privada Virtual. É uma maneira de conectar usuários remotos e redes a uma rede interna de maneira segura. Geralmente inclui autenticação e criptografia de conexão.

Existem dois tipos principais de VPNs: site para site e acesso remoto. Site para site é usado para conectar redes inteiras, enquanto o acesso remoto é normalmente usado para, bem, conectar usuários remotos (ou seja, máquinas únicas).

Então, sim, a VPN é a melhor maneira de conseguir o que você deseja fazer.

Na prática, o que você deve fazer é configurar um endpoint VPN na borda da sua rede (a maioria dos firewalls tem uma opção para isso) ou dentro de você DMZ (se você tiver uma infraestrutura maior) e ter usuários conectados a esse sistema VPN . A partir daí, você pode configurar o que eles podem ter acesso e como.

O sistema mais sofisticado também usa conexão SSL para tunelamento de RDP ou outro sistema de controle remoto. Eles funcionam de maneira semelhante, embora os detalhes variem: os usuários se conectam a uma interface externa (geralmente baseada na Web) e, em seguida, passam por esse servidor para acessar a máquina interna.

Em todos os casos, você deve configurar o ponto de extremidade da VPN diretamente em seu servidor de produção, mas usar uma máquina diferente para isso.

De lá, tudo depende de quão seguro você precisa que seu sistema seja. Não é incomum exigir que os usuários de sistemas de segurança mais alta se conectem a um servidor SSL VPN, use-o para conectar-se a um servidor "jump" e, em seguida, RDP de lá para a máquina de produção final.

Se você quiser exemplos específicos de produtos que podem ajudar você a definir esse tipo de coisa, posso fornecer algumas referências sobre o que usei.

Edit: Eu sei de 3 produtos que farão o que você quer especificamente: Citrix Metaframe (caro e preparado para grandes implementações, provavelmente não é o que você está procurando), o próprio sistema de RemoteApp da MS (não muito adequado para proteger implantação e, francamente, provavelmente muito complexo para configurar para você precisa) e Sophos UMT.

Eu sugiro que você use o último: é uma distro de firewall Linux especializada que inclui tudo o que você precisa. Existe uma versão "gratuita para usuários domésticos" que possui todos os recursos de que você precisa. Para uso comercial, no entanto, você precisará comprar uma licença.

Se você sentir vontade de investir mais tempo no projeto, também é possível usar o servidor OpenVPN em qualquer sistema Linux gratuitamente.

    
por 06.03.2013 / 15:36

Tags

nginx, autenticação http do apache Ocultar todos os diretórios em uma pasta do índice, mas não seu conteúdo