Sziasztok,
Kinek mennyire van tapasztalata Windows 2008 Terminal Szerver üzemeltetés kapcsán? Fő kérdésem, mennyire rizikó/probléma ha egy ilyen szolgáltatás szabványos porton fut és állandóan nyitott az egész világra?
Köszi
- 1826 megtekintés
Hozzászólások
üdv
javaslat, tedd be egy belső hálózatba, és VPN en csatlakozz a hálózathoz, majd innen már mindenki szépen tud authentikálni belős hálós ipre.
3389es portot előszeretettel birizgálják, aztán sok időt tölthetsz log olvasgatással.
------------------------
Nincs a világon se jó, se rossz. A gondolkodás teszi azzá... (W. Shakespeare)
- A hozzászóláshoz be kell jelentkezni
Miért kéne sok időt tölteni log olvasgatással? Linux alatt is authlogot olvasgatsz minden nap?
- A hozzászóláshoz be kell jelentkezni
szoktam authlogot olvasni, átnézni...
/off
vagy nálatok csak dísznek van a loggolás? :-)
egyébként ha valaki építő jelleggel javasol valamit, akkor egyből nem tetszésnyilvánító hozzászólást kell írni?
/on
------------------------
Nincs a világon se jó, se rossz. A gondolkodás teszi azzá... (W. Shakespeare)
- A hozzászóláshoz be kell jelentkezni
Úgy értettem, hogy lehet automatizálni is a dolgot.
Természetesen trollkodni kell :). Fiatalítja a bőrt.
- A hozzászóláshoz be kell jelentkezni
/off
Akkor a te bőröd mint a babapopsi? :)
/on
------------------------
Nincs a világon se jó, se rossz. A gondolkodás teszi azzá... (W. Shakespeare)
- A hozzászóláshoz be kell jelentkezni
Hát próbálkozom. A vichy krémben már nem bízom.
- A hozzászóláshoz be kell jelentkezni
Kb, mintha egy SSH-t raknál szabványos portra. Ha nagyon parázol berakod tűzfal mögé, de szerintem az esetek 90%-ban megfelelő jelszó policy, és nem kell félni.
- A hozzászóláshoz be kell jelentkezni
Hali!
Ha kilógatod sima dstnat-tal, akkor azért érdemes tudni, hogy ha a régebbi, minden klienssel kompatibilis RDP-t használod, annak a titkosító kulcsa egy DLL-be statikusan bele van fordítva, tehát kellő számú csomag lehallgatásával bizony minden leütött billentyű visszafejthető (pl. Cain&Abel is tud ilyet).
Érdemes meggondolni a következőket:
- Bekapcsolod a "Network Level Authentication"-t, viszont innentől _csak_ Vista, W7, vagy másik 2K8 gépről RDP-zhetsz, ugrott pl. a linuxos "rdesktop" (egyelőre legalábbis).
- A régebbi protokollt használod, de az nem igazán biztonságos így, lásd fentebb...
Amennyiben a régebbi RDP-nél maradsz, mert LInuxról RDP-zel, és nincs lehetőséged VPN-en megtenni, érdemes egy SSH-Tunnelbe bújtatni az RDP-forgalmat. Ha van a belső hálón a W2K8 géppel együtt egy Linux/BSD gép SSH-val, akkor csak azt engedném ki a tűzfalon és a Windows Server RDP forgalmát abba bújtatnám.
SSH tunnelezés PuTTY-al a legegyszerűbb, kattingatva összerakod és Linuxra is van PuTTY.
Egy jó leírás, hogyan csinálhatod meg:
https://docs.cs.byu.edu/general/ssh_tunnels.html
Jóéjt!
Vales
- A hozzászóláshoz be kell jelentkezni
Szia!
Személy szerint nem használok linuxos rdp klienst (hála a jó égnek), valamint nagyon ritka az a környezet, ahol a userek rdp-re nem windows kliensekkel lógnak, legalábbis azoknál az ügyfeleknél, ahol mi vagyunk. Az új protokoll viszont biztonságos, és szerintem az emberek ma már SSHv1-et sem használnak. RDP 6.0-ban jelent meg viszont az NLA, ez van Windows XP alá is, valamint 6.1 is.
Terminal services-nél lehetőség van amúgy TS Web Access-re is, az szintén biztonságos, valamint nem kell kinyitni az 3389-es portot sem.
VPN, meg egyéb megoldásoknak én amiatt nem vagyok híve, bizonyos környezetekben, mert nagyon sok hülye user van, akinek már az is nehéz feladat, hogy megtalálja a remote desktop ikont a start menüben. Sokkal könnyebb nekik ezt a web access-t elmagyarázni pl. Persze meglehet oldani könnyen belső userekkel GPO-kkal, de külsős felhasználókat már nem fogod olyan könnyen bekonfigolni (60 éves erzsike, aki a könyvelő már 20 éve a cégnél).
Jóéjt!
haga
- A hozzászóláshoz be kell jelentkezni
Köszönöm, a TS Web Access-ről nem tudtam, nem én vagyok a Microsoft-os a cégnél, bár adminolnom ugyanúgy kell a Windows Servereket is.
Javasolni fogom megfontolásra. :)
- A hozzászóláshoz be kell jelentkezni
Hello,
szerintem a TS Gateway-re gondolhattál: http://technet.microsoft.com/en-us/library/cc732122%28WS.10%29.aspx
Üdv,
Marci
- A hozzászóláshoz be kell jelentkezni
Jahm, Gateway amit akartam mondani. Amúgy ezt is átnevezték : http://technet.microsoft.com/en-us/library/dd560672(WS.10).aspx
(Lehet Tarlóst átvették termékigazgatónak)
- A hozzászóláshoz be kell jelentkezni
Köszi, a hülye userek miatt kellene nekem is nyitva hagyni.
Az eredeti kérdésem is csak azért tettem fel, mert az elveim nekem is azt diktálják, rejtsük más port mögé, esetleg VPN mögé... csak ez egy olyan környezet, ahol ezt jobb lenne nem megtenni.
- A hozzászóláshoz be kell jelentkezni