Vi har en række hjemmearbejdspladser der gerne skal kunne logge på vores Terminal Server. Som det er i dag, bruger vi portfilter i vor Firewall. Filteret tjekker den offentlige ip adresse som forsøger at logge på; hvis den er oprettet i Firewall'en får den lov at komme igennem. Denne løsning er også spoofing proof, da Firewall'en tjekker for spoofing.
Dette senario er bare ikke ønskværdigt. For når en af vore sælgere er i udlandet, og forsøger at logge ind vi en pc på f.eks. en netcafé, får han jo ikke lov, da deres offentlige ip adresse ikke er indtastet i vor Firewall. Dette kunne jo gøres, men det vil ende i administrativt bøvl, da sælgerene jo kommer til at sidde på mange forskellige offentlige ip adresser.
Min tanke var så, at udstyre mine sælgere med en bærbar pc. IP port filteret slås fra i Firewall'en. Når de så forsøger at logge på vor Terminal Server, skal der ske en bruger verificering, før de får lov at åbne deres session.
Kunne denne bruger verificering være en form for certifikat som ligger på den bærbare pc? Dvs. når de forsøger at koble op til Terminal Serveren spørger terminal serveren efter et certifikat. Hvis certifikatet ligger på den bærbare pc, får de lov at komme ind - uanset hvilket offentlige ip adresse de benytter...
Kan dette lade sig gøre? Kan det gøres mere smart? Hvordan laver jeg en sådan løsning???
Jeg har installeret VPN-klienter til brugerne på en tidligere arbejdsplads. Her skal der indtastes en key på hver enkelt maskine ved installation, så de kan ikke tilgå terminalserveren fra f.eks. en netcafé i Grækenland.
Jeg ville foretrække, at de fik en bærbar med VPN-klienten på. De skal så være oprettet som brugere på serveren, og logge på med deres user og pass til domænet via NT-logon.
Det var måske en idé at kigge nærmere på en VPN-løsning.
Hos os kobler vores eksterne klienter sig på vores TS-server via en Cisco VPN-Concentrator - de logger på med et brugernavn og password, og har derefter fuld krypteret adgang til vores interne netværk - uanset hvilket net de selv kører på. Det virker helt suverænt.
Muligvis understøtter jeres firewall VPN, så det ikke er nødvendigt med en seperat VPN-boks - det var måske værd at undersøge?
Det kan det naturligvis. Den løsning i skal bruge er en VPN løsning. I kan bruge SSH der er økonomisk overkommelig, eller IPSec.
I skal så etablere en VPN gateway i jeges netværk. Hvor denne etableres kommer an på mange ting, der er basalt 4-5 forskellige moder at gøre dette på, løsninger afhænger af flere ting, og jeg kan ikke pege på LØSNINGEN uden at kende mere til jeges sætup (hvilket du ikke bør afsløre i et åbent forum som her) Det er sådan noget som hvilken firewall i anvender, hvilken form for filtrering i bruger, om i bruger nat, hvordan jeres router sætup er og den slags.
Det kan sagtens sættes op, Det kan gøres sikkert, De behøver ikke koste kassen, men kan sagtens komme til det hvis I ikke ved hvad i har med at gøre
Det synes jeg helt bestemt det er. Det er en Sonic Firewall med en public IP. Den giver en utrolig høj sikkerhed.
Nu er jeg ikke på arbejdspladsen længere, men dengang var det med 64-bit kryptering, og der bliver brugt NAT. Selvom man formår at opsnappe en pakke, er det så uendeligt lidt, at det ikke vil være brugbart.
I dag er der 128-bit kryptering, så det er næsten så sikkert som det kan blive.
Nu er ingen firewall jo bedre end den er sat op til og det at i bruger nat giver faktisk en udfordring i forhold til VPN, det er ikke alle former for løsning der kan anvendes. Det at firewallen har VPN mulighed, er heller ikke nødvendig vis en gos løsning. VPN kan sagtens stille performance krav til boksen, hvis I i forvejen skal håndtere rimelige mængter af trafik, kan I faktisk lukke af for jer selv ved også at bruge firewallen til VPN.
Det der er pointen er at det ikke her er til at afgøre hvad der er den bedste løsning for jer, det skal man vide meget mere om mange forskellige ting for at kunne
Jeg må blankt erkende, at jeg ikke kender til det. Og jeg kender intet til Cisco VPN-Concentrator. Jeg ved bare, at VPN-klienter til brugerne og en korrekt opsat Sonic Firewall virkede, og det virkede godt! :o) Men det er jo ikke sagen for Jeres vedkommende, kan jeg se.
SSL kan sagtens kører med certifikater. Nu er jeg ikke helt stiv i hvordan terminal server virker´. Hvis den kun bruger en port, er SSL bestemt en option, ellers brug SSH (der også, som jeg husker det, kan kører med certifikater)
Terminal serveren kører kun på port 3389, så det lyder som om, at SSL vil være en mulighed. Nu kender jeg intet til SSL, så jeg håber du kan guide mig til en sådan løsning, eller give mig et par links til information omkring opsætning af SSL.
En løsning som jeg har hjulpet med til at sætte op er anvendelsen af OpenVPN (openvpn.sourceforge.net). Den anvender OpenSSL og kan også få OpenSSL til at udstede certifikaterne (selvom Windows egen CA er lige så god). VPN forbindelsen kører på én port gennem firewall'en og ned til den server der har fået æren som VPN server. Trafikken kan enten sættes til UDP eller TCP. Betingelsen for at det virker er at alle eksterne brugere installerer et virtuelt netværkskort på deres maskine (+ lidt setup omkring krypteringsstyrke, certifikat o.lign.). De vil herefter kunne forbinde sig direkte til VPN serveren igennem en krypteret tunnel. Med et par gode regler i en dertil egnet firewall (jeg prøvede ZA PRO) kan det faktisk lade sig gøre at låse brugerne helt af fra Internettet således at al trafik går gennem firmaet egen firewall og netværk.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
