Удаленный доступ / VPN для Windows Server 2012 производственный сервер лучшие практики
Мне нужно получить доступ к своей производственной среде удаленно, за пределами локальной сети для экстренных случаев. Я не хочу, чтобы пользователи запрашивали учетные данные удаленного рабочего стола и пытались угадать имя пользователя и пароль.
Так что я могу сделать?
Что такое ВПН? это более безопасно?
2 ответа
VPN стенд для виртуальной частной сети. Это способ безопасного подключения удаленных пользователей и сетей к внутренней сети. Обычно включает в себя аутентификацию, а также шифрование соединения.
Существует два основных типа VPN: сайт-сайт и удаленный доступ. Сайт-сайт используется для подключения целых сетей, в то время как удаленный доступ обычно используется для подключения удаленных пользователей (т. Е. Отдельных компьютеров).
Так что да, VPN - лучший способ получить то, что вы хотите сделать.
На практике вам следует настроить конечную точку VPN на границе вашей сети (большинство брандмауэров имеют такую возможность) или внутри вашей демилитаризованной зоны (если у вас более крупная инфраструктура) и пользователи должны подключаться к этой системе VPN. Оттуда вы можете настроить, к чему они могут иметь доступ и как.
Более сложная система также использует SSL-соединение для туннелирования RDP или другой системы удаленного управления. Они работают аналогичным образом, хотя детали могут различаться: пользователи подключаются к внешнему интерфейсу (обычно через Интернет), а затем туннелируют через этот сервер для доступа к внутренней машине.
В любом случае вам следует настроить конечную точку VPN непосредственно на рабочем сервере, но использовать для этого другую машину.
Оттуда все зависит от того, насколько безопасна ваша система. Весьма часто требуется, чтобы пользователи систем с более высоким уровнем безопасности подключались к серверу SSL VPN, использовали его для подключения к серверу "скачка", а затем оттуда RDP к конечному производственному компьютеру.
Если вам нужны конкретные примеры продуктов, которые могут помочь вам настроить подобные вещи, я могу дать вам несколько ссылок на то, что я использовал.
Редактировать: Мне известно о 3 продуктах, которые будут хорошо выполнять то, что вам конкретно нужно: Citrix Metaframe (дорогой и подходящий для большого развертывания, возможно, не того, что вы ищете), собственную систему MS RemoteApp (не слишком хорошо подходящую для безопасного развертывания и, честно говоря) вероятно, слишком сложна в настройке для вас) и Sophos UMT.
Я предлагаю вам воспользоваться последним: это специализированный дистрибутив брандмауэра Linux, который включает в себя все, что вам нужно. Существует "бесплатная для домашних пользователей" версия, которая обладает всеми необходимыми функциями. Однако для коммерческого использования вам необходимо приобрести лицензию.
Если вы хотите потратить больше времени на проект, вы также можете самостоятельно использовать сервер OpenVPN в любой системе Linux.
Вообще говоря, вы не должны предоставлять удаленный рабочий стол напрямую Интернету, если можете помочь. Использование VPN было бы лучшим решением, потому что оно уменьшает поверхность атаки до оконечного устройства / программного обеспечения VPN. Если VPN не вариант, туннелирование RDP через SSH, безусловно, также является жизнеспособным решением. Если вам абсолютно необходимо выставить RDP в Интернете напрямую, вам действительно следует ограничить IP-адреса, которые могут подключаться через ваш пограничный брандмауэр или, если его нет, брандмауэр Windows. Если у вас есть наихудший сценарий, когда требуется, чтобы весь Интернет имел доступ к вашему RDP-серверу, вы должны ограничить скорость новых попыток подключения к вашему пограничному межсетевому экрану или, если это не вариант, посмотреть на программное обеспечение, которое может ограничить скорость для вас. (как мой скрипт ts_block).