Мне нужно получить доступ к своей производственной среде удаленно, за пределами локальной сети в случае возникновения чрезвычайной ситуации. Я не хочу, чтобы у пользователей запрашивали учетные данные удаленного рабочего стола и пытались угадать имя пользователя и пароль.
Так что я могу сделать?
Что такое vpn? это безопаснее?
VPN - это виртуальная частная сеть. Это способ безопасного подключения удаленных пользователей и сетей к внутренней сети. Обычно он включает аутентификацию, а также шифрование соединения.
Существует два основных типа VPN: между сайтами и удаленный доступ. Сайт к сайту используется для соединения целых сетей, в то время как удаленный доступ обычно используется для подключения удаленных пользователей (то есть отдельных компьютеров).
Так что да, VPN - лучший способ получить то, что вы хотите делать.
На практике вам следует настроить конечную точку VPN на границе вашей сети (у большинства брандмауэров есть опция для этого) или внутри вашей DMZ (если у вас более крупная инфраструктура) и подключить пользователей к этой системе VPN. Оттуда вы можете настроить, к чему они могут иметь доступ и как.
Более сложная система также использует SSL-соединение для туннелирования RDP или другой системы удаленного управления. Они работают аналогичным образом, хотя детали могут отличаться: пользователи подключаются к внешнему интерфейсу (обычно веб-интерфейсу), а затем туннелируют через этот сервер для доступа к внутренней машине.
В любом случае вам следует настроить конечную точку VPN прямо на рабочем сервере, но использовать для этого другой компьютер.
Оттуда все зависит от того, насколько безопасна ваша система. Нередко пользователи систем с более высоким уровнем безопасности должны подключаться к серверу SSL VPN, использовать его для подключения к серверу «перехода», а затем RDP оттуда к конечной производственной машине.
Если вам нужны конкретные примеры продуктов, которые могут помочь вам в этом, я могу дать вам несколько ссылок на то, что я использовал.
Изменить: я знаю 3 продукта, которые будут хорошо выполнять то, что вы конкретно хотите: Citrix Metaframe (дорого и подходит для большого развертывания, вероятно, не то, что вы ищете), собственная система удаленных приложений MS (не очень подходит для безопасного развертывания и, честно говоря, вероятно, слишком сложный для настройки для вас) и Sophos UMT.
Я предлагаю вам использовать последний: это специализированный дистрибутив брандмауэра Linux, который включает в себя все, что вам нужно. Существует версия «бесплатная для домашних пользователей», в которой есть все необходимые функции. Однако для коммерческого использования вам потребуется приобрести лицензию.
Если вы хотите потратить больше времени на проект, вы также можете самостоятельно использовать сервер OpenVPN в любой системе Linux бесплатно.
Вообще говоря, вам не следует предоставлять удаленный рабочий стол напрямую в Интернет, если вы можете помочь. Использование VPN было бы лучшим решением, потому что оно уменьшает поверхность атаки до устройства / программного обеспечения завершения VPN. Если VPN не подходит, туннелирование RDP через SSH, безусловно, также является жизнеспособным решением. Если вам абсолютно необходимо напрямую открыть RDP в Интернете, вам действительно следует ограничить IP-адреса, которые могут подключаться через пограничный брандмауэр или, если его нет, брандмауэр Windows. Если у вас есть наихудший сценарий, когда требуется, чтобы весь Интернет имел доступ к вашему серверу RDP, вам следует ограничить скорость новых попыток подключения на своем пограничном брандмауэре или, если это не вариант, посмотреть на программное обеспечение, которое может ограничивать скорость для вас (лайк мой сценарий ts_block).