Windows 2008R2 RDP open

Microsoft Windows

Sziasztok,

Kinek mennyire van tapasztalata Windows 2008 Terminal Szerver üzemeltetés kapcsán? Fő kérdésem, mennyire rizikó/probléma ha egy ilyen szolgáltatás szabványos porton fut és állandóan nyitott az egész világra?

Köszi

  • 1826 megtekintés

( Balooo v | 2011. 09. 28., sze – 15:40 )

üdv

javaslat, tedd be egy belső hálózatba, és VPN en csatlakozz a hálózathoz, majd innen már mindenki szépen tud authentikálni belős hálós ipre.

3389es portot előszeretettel birizgálják, aztán sok időt tölthetsz log olvasgatással.

------------------------

Nincs a világon se jó, se rossz. A gondolkodás teszi azzá... (W. Shakespeare)

szoktam authlogot olvasni, átnézni...

/off
vagy nálatok csak dísznek van a loggolás? :-)
egyébként ha valaki építő jelleggel javasol valamit, akkor egyből nem tetszésnyilvánító hozzászólást kell írni?
/on

------------------------

Nincs a világon se jó, se rossz. A gondolkodás teszi azzá... (W. Shakespeare)

( haga | 2011. 09. 28., sze – 18:32 )

Kb, mintha egy SSH-t raknál szabványos portra. Ha nagyon parázol berakod tűzfal mögé, de szerintem az esetek 90%-ban megfelelő jelszó policy, és nem kell félni.

Hali!

Ha kilógatod sima dstnat-tal, akkor azért érdemes tudni, hogy ha a régebbi, minden klienssel kompatibilis RDP-t használod, annak a titkosító kulcsa egy DLL-be statikusan bele van fordítva, tehát kellő számú csomag lehallgatásával bizony minden leütött billentyű visszafejthető (pl. Cain&Abel is tud ilyet).

Érdemes meggondolni a következőket:
- Bekapcsolod a "Network Level Authentication"-t, viszont innentől _csak_ Vista, W7, vagy másik 2K8 gépről RDP-zhetsz, ugrott pl. a linuxos "rdesktop" (egyelőre legalábbis).
- A régebbi protokollt használod, de az nem igazán biztonságos így, lásd fentebb...

Amennyiben a régebbi RDP-nél maradsz, mert LInuxról RDP-zel, és nincs lehetőséged VPN-en megtenni, érdemes egy SSH-Tunnelbe bújtatni az RDP-forgalmat. Ha van a belső hálón a W2K8 géppel együtt egy Linux/BSD gép SSH-val, akkor csak azt engedném ki a tűzfalon és a Windows Server RDP forgalmát abba bújtatnám.

SSH tunnelezés PuTTY-al a legegyszerűbb, kattingatva összerakod és Linuxra is van PuTTY.
Egy jó leírás, hogyan csinálhatod meg:
https://docs.cs.byu.edu/general/ssh_tunnels.html

Jóéjt!
Vales

---
http://it2it.hu/valastyan.attila

Szia!

Személy szerint nem használok linuxos rdp klienst (hála a jó égnek), valamint nagyon ritka az a környezet, ahol a userek rdp-re nem windows kliensekkel lógnak, legalábbis azoknál az ügyfeleknél, ahol mi vagyunk. Az új protokoll viszont biztonságos, és szerintem az emberek ma már SSHv1-et sem használnak. RDP 6.0-ban jelent meg viszont az NLA, ez van Windows XP alá is, valamint 6.1 is.

Terminal services-nél lehetőség van amúgy TS Web Access-re is, az szintén biztonságos, valamint nem kell kinyitni az 3389-es portot sem.

VPN, meg egyéb megoldásoknak én amiatt nem vagyok híve, bizonyos környezetekben, mert nagyon sok hülye user van, akinek már az is nehéz feladat, hogy megtalálja a remote desktop ikont a start menüben. Sokkal könnyebb nekik ezt a web access-t elmagyarázni pl. Persze meglehet oldani könnyen belső userekkel GPO-kkal, de külsős felhasználókat már nem fogod olyan könnyen bekonfigolni (60 éves erzsike, aki a könyvelő már 20 éve a cégnél).

Jóéjt!
haga