Usando o Gateway TS para gerenciar servidores instalados remotamente

1

Estamos desenvolvendo um produto executado no Windows Server 2008. Esse produto é instalado em um ambiente de clientes executado em hardware dedicado (que possuímos ou, pelo menos, serviço) usando o Server 2008. Consideramos isso um 'appliance', embora é basicamente um conjunto de máquinas high-end X que executam o Server 2008. De qualquer forma, precisamos gerenciar remotamente esses servidores no ambiente de clientes e estamos procurando a maneira mais fácil e segura de gerenciá-los.

Uma VPN é a solução óbvia, mas como cada cliente implementa sua própria opção de VPN, é muito difícil para nós oferecer suporte a isso (precisaríamos de várias configurações de software VPN aqui para o remoto). Outra opção é fazer com que o cliente abra uma porta para o tráfego RDP, para que possamos apenas nos conectar remotamente aos nossos servidores. Mas isso, é claro, é arriscado (mesmo se escolhermos uma porta não padrão) e o pessoal de TI do cliente realmente não gosta disso.

Então, recentemente, eu estava lendo sobre o TS Gateway (agora RD Gateway no R2). Eu estou querendo saber se pode ser a solução perfeita para nós. Se configurássemos isso em um dos nossos servidores no site do cliente e, em seguida, fizéssemos a abertura da porta 443 diretamente para esse servidor, isso seria um mecanismo seguro para que nós implementássemos o RDP em todos os nossos servidores no site do cliente? Parece que seus caras de TI podem ser mais receptivos a isso.

Observe que nossos servidores de 2008 no ambiente do cliente não são associados ao domínio, eles são um grupo de trabalho simples.

Pensamentos? Estou esquecendo de algo? Existem melhores soluções lá fora?

    
por BrettRobi 25.07.2009 / 01:01

2 respostas

1

Portanto, o TS-Gateway é diferente do RDP sobre a segurança do protocolo TLS e RDP (ambos mencionados neste tópico. É uma proteção semelhante do fluxo do protocolo, pois ele está encapsulando o tráfego usando SSL para proteger (1024, 2048 você gere o seu próprio certificado e decida o quão seguro você deseja.) A principal diferença para esse tópico específico é quantas traduções internas < - > externas que você executa e quanto da rede interna fica exposta ao exterior. muito apresentado como uma maneira melhor de proteger o tráfego, mas em vez de atender à necessidade que muitos precisavam para garantir que, como uma ponte SSH ou um ponto de extremidade SSL vpn, você tivesse um ponto único fácil de conectar do lado de fora à sua rede interna. foi projetado para permitir que você estabeleça uma conexão segura com sua fronteira e, a partir desse ponto, controle secundariamente a autorização para os recursos da sua rede interna.O TS-Gateway fornece a capacidade de manter controle granular sobre quais pessoas dedicado ao gateway) pode conectar a quais sistemas dentro da borda. Destina-se a criar um buffer que impede ataques diretos contra seus sistemas internos usando o protocolo RDP como um vetor. Por sua descrição, os serviços do Gateway TS foram projetados para ajudar a atender a essa necessidade específica.

    
por 21.08.2009 / 09:55
0

Não sei ao certo como o TS Gateway seria menos arriscado do que configurar o RDP. Na verdade, pode ser mais arriscado, pois não está no mercado há muito tempo.

Outra opção é configurar o SSH nos servidores e, em seguida, usar o SSL Tunneling para sua sessão RDP. Isso adicionaria uma camada de segurança se você usasse chaves de autenticação SSH.

Outra camada de segurança que você pode adicionar é configurar algo como RSA SecureID, embora eu não tenha certeza se isso seria um custo proibitivo em sua configuração.

    
por 25.07.2009 / 01:13