Я ищу возможность предоставить удаленный доступ к некоторым приложениям, в которых я работаю.
Мы планируем использовать службы терминалов на сервере 2003, и после прочтения кажется, что он шифрует весь трафик, проходящий через RDP.
Несмотря на то, что трафик RDP зашифрован, многие люди рекомендуют запускать его только через VPN.
Поскольку я новичок в TS, мне хотелось бы знать, почему люди рекомендуют два уровня безопасности и почему неразумно просто использовать TS через Интернет.
Как вы сказали, он уже зашифрован, единственная проблема, которую я вижу, это то, что переносить порт, на котором он работает, без внесения изменений в реестр - боль. Есть критики безопасности через неясность, но это помогает предотвратить некоторые исследования и сценарии. В 99% случаев просто запускайте его прямо через веб-каналы.
У VPN есть то преимущество, что он не пробивает бреши в правилах вашего брандмауэра. Это добавляет некоторые накладные расходы, потому что вы обрабатываете шифрование канала плюс шифрование для VPN, но не намного. Вам также понадобится VPN-клиент на любых конечных точках, которые вы подключаете, что в зависимости от ваших клиентов может быть небольшой неприятностью, в то время как для использования RDP просто требуется общий клиент RDP.
По большей части я думаю, что все сводится к тому, хотите ли вы открыть порт на брандмауэре или вы бы предпочли поддерживать VPN-соединение и / или клиентов для этого, и насколько это будет неудобно для ваших пользователей (если вы использование перемещаемых пользователей, которым это необходимо, на ноутбуках или домашних системах, таким образом поддерживая программный клиент VPN и обучение).
Даже если вы доверяете шифрованию RDP (подтверждено ли оно внешними экспертами?), Отказ от VPN означает, что у вас есть важный сервер Windows с портами, открытыми для Интернета. Любой новый удаленный эксплойт (а каждый месяц появляется несколько новых) делает вас уязвимыми.
Использование VPN означает, что единственный открытый порт - это порт, который тщательно проверяется на безопасность множеством независимых экспертов, что делает удаленные эксплойты крайне редкими. Даже если один из них вас поразит, относительно легко заменить один VPN на другой, не влияя на конфигурацию и конечное удобство использования.
VPN может быть излишним, вы также можете использовать переадресацию порта ssh в скрипте (plink от Putty отлично работает). Я установил это с помощью VNC для службы RDC (это был Mac-хаус).
Использование ключей доступа и ограничение пользователей на внутреннем ssh-сервере будет работать. Это ограничивает сложность сетей, а также в некоторой степени защищает внутреннюю сеть от взломанных клиентских систем.
У нас есть несколько поставщиков, которые настаивают на возможности подключения по протоколу RDP к серверам, которыми они управляют. Поскольку один из них является нашим основным финансовым ящиком, это вызывает у меня крайнее неудобство, но другого выхода не было - нам нужно было предоставить им удаленный рабочий стол, иначе они ничего не сделали бы с сервером.
Компромисс, к которому мы пришли, заключался в том, чтобы я предоставил им RDP по мере необходимости, но с уведомлением за несколько минут; они звонят нам, мы запускаем скрипт, который открывает соответствующие порты межсетевого экрана, они делают все, что нужно, затем снова звонят нам, мы запускаем другой скрипт, который закрывает порты.
Так что да, это можно сделать только с помощью RDP, хотя, если вы сделаете это, я бы порекомендовал:
1) Предоставлять услугу только при необходимости, а не круглосуточно.
2) Ограничение диапазона адресов, которым разрешено подключение (насколько это практически возможно).
3) Переименование учетной записи администратора на что-то другое, кроме «Администратора», и присвоение ей надежного пароля.
Это возможно с финансовой точки зрения, так как службы терминалов будут более подвержены уязвимостям. На брандмауэре не открыты порты.
Я использовал RDP через сеть в течение нескольких лет с парой разных компаний, и у меня не было никаких проблем с подключением и / или безопасностью. Конечно, наши компании были немного маленькими, поэтому безопасность не была такой большой проблемой (хотя и не для меня).
VPN определенно сделает вещи немного более безопасными, но если вы не можете использовать этот маршрутизатор, лучше использовать RDP самостоятельно.
Вот несколько ссылок с некоторыми дополнительными рекомендациями по безопасности для вас -
если вы собираетесь использовать, лучше всего настроить сервер / маршрутизатор на прием трафика 3389 только с вашего исходного IP-адреса.
В качестве компромисса между VPN / отсутствием VPN вы можете посмотреть на Хамачи вариант «персональный VPN». Я использовал его в прошлом с умеренным успехом. Установите клиент на TS и на клиентах. Создайте сеть Hamachi из TS (с паролем), а затем подключите всех клиентов к той же сети.
Затем клиенты просто RDP к адресу 5.x.x.x TS.