wallefit Skrevet 30. januar 2009 Del Skrevet 30. januar 2009 Hei. Lurer litt på hvordan "folk" pleier å gjøre det med sikkerhet når man har behov for å logge på terminalserver fra eksterne nett. Jeg tenkte å bruke TS Gateway som kjører RDP over SSL. Terminalserveren trenger tilgang til sql-servere og et par applikasjonservere på LANet. Jeg vil også at den skal være medlem av AD for å sette Group Policies etc. Brukerene trenger også tilgang til å surfe på serveren. Jeg er litt urolig for hva som skulle skje om man får en trojaner eller virus på serveren. Da har jo bot-net eieren tilgang til LANet inkl AD. Men å sette terminalserver i en DMZ funker jo heller ikke, da jeg må åpne for alle AD porter. Hvordan gjør "proffe" folk dette? Den samme risikoen utgjør jo egentlig også lokal-klienter. Bruker man f.eks IDS med auto-karantene av maskinen til et eget vlan? IDS er jo også signaturbasert så det faller jo i litt i samme bane som anti-virus; at man aldri fanger alt. Av det jeg finner fram til så havner man bare i et sånn "godt nok" scenario. Hjelp en stakkars nybegynner admin! Lenke til kommentar
MasterBlaster Skrevet 31. januar 2009 Del Skrevet 31. januar 2009 Sett terminalserveren på en DMZ på brannmuren din. Det er absolutt ikke tilrådelig å ha direkte tilgang fra Internett direkte inn til ditt LAN. I brannmuren åpner du da kun opp for port 3389 (RDP/TCP) inn mot terminalserveren fra Internett. Når brukeren da så skal autentiseres mot AD så vil denne trafikken da kun gå mellom terminalserveren og AD DCn. Du filtrerer i tillegg på hvike ip subnett innkommende RDP trafikk kan komme fra. Hvis du skal benytte Windows, så går for en W2K8 server. Denne har desidert best TS server som innbefatter mange flere muligheter enn forgjengerene hadde. Lenke til kommentar
arnizzz Skrevet 31. januar 2009 Del Skrevet 31. januar 2009 Som sagt så kommer jeg til å gå for TS Gateway (finnes kun på 2k8) som sender RDP over SSL. Så da vil jeg bare åpne for port 443 mot tsgateway som igjen videresender RDP-requests til TS-serverene. Disse kunne jo da selvsagt stå i DMZ, men jeg liker fortsatt ikke tanken på at jeg må åpne alle porter mot active directory. Skulle terminalserveren bli hacket så har man jo nesten "fri tilgang" til AD. Så jeg tenker noe i duren av å ha en IPSec kobling fra LAN til en slags AD-proxy i DMZ hvor terminalserverene kan sitte. Finnes det en løsning på dette som er sikker? Lenke til kommentar
geokri Skrevet 1. mai 2009 Del Skrevet 1. mai 2009 sett TS på innsiden og bruk VPN inn mot lanet Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå