webograph 10 Geschrieben 23. August 2006 Melden Geschrieben 23. August 2006 hi, ist-situation: wir verwenden im lan einen terminal-server, auf den jeder zugreifen kann (bzw. muss) zielsetzung: ausgewählte mitarbeiter sollen auch von außerhalb die möglichkeit haben, sich einzuloggen wir würden zu diesem zweck vom router (nat / ip-masquerading) aus den port für terminal services auf den ts durchrouten. das problem ist nur, dem ts beizubringen, dass für verbindungen von 192.168.x.x keine bestimmte gruppenzugehörigkeit erforderlich ist und für verbindungen von außerhalb eine andere. ist das möglich? folgende alternativpläne stehen zur diskussion (beide nicht perfekt, würde mich aber dennoch interessieren, was ihr davon haltet): - allen usern beim login vor dem starten von explorer.exe ein skript einschieben, das prüft, ob der login über rdp stattfindet und (so das überhaupt möglich ist) von welcher ip er ausgeht; sollte ein unberechtigter sich von außen einloggen, fliegt er. - (mein favorit) so eine art port-knocking auf der firewall: port ist per default zu, user müssen sich auf der firewall einloggen (via ldap), gruppe wird abgefragt, ggf wird der port für des users ip geöffnet. zusatzvorteil: bei möglichen sicherheitsproblemen mit dem rdp-dienst allgemein sind wir etwas aus der schusslinie hat jemand hier erfahrung mit so einem problem? Zitieren
IThome 10 Geschrieben 23. August 2006 Melden Geschrieben 23. August 2006 Leute von ausserhalb werden durch ein PPTP oder IPSec VPN in das Netz gelassen und es wird durch Filter definiert, dass nur RDP zugelassen wird. So erübrigt sich eine unterschiedliche Gruppenzugehörigkeit. Die Sicherheit sollte an der Grenze zum Netzwerk greifen und nicht, wenn man schon drin ist ... Zitieren
webograph 10 Geschrieben 23. August 2006 Autor Melden Geschrieben 23. August 2006 ipsec: schön und gut -- leider müssen darauf mitarbeiter von ihren privat-pcs darauf zugreifen -- eine vpn-konfiguration traue ich nicht einmal 5% unserer mitarbeiter zu. sicherheit an der grenze zum netzwerk: da stimme ich zu (deshalb favorisiere ich auch die zweite lösung, da so nur autorisierte überhaupt an den rdp-port kommen). Zitieren
IThome 10 Geschrieben 23. August 2006 Melden Geschrieben 23. August 2006 Muss ja nicht IPSec sein, kann ja auch PPTP sein, die Verbindungskonfiguration wird mit CMAK gemacht ... Zitieren
webograph 10 Geschrieben 24. August 2006 Autor Melden Geschrieben 24. August 2006 cmak: afaik erfordert das windows; nicht alle unsere mitarbeiter arbeiten mit diesem os (habe von cmak jetzt zum ersten mal gelesen und nur ein bisschen herumgesucht; lasse mich gerne eines besseren belehren!) Zitieren
IThome 10 Geschrieben 24. August 2006 Melden Geschrieben 24. August 2006 Für CMAK benötigst Du Windows, das stimmt ... Zitieren
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.