FunkyByte
11-06-2010, 21:28
Доброго времени суток!
Столкнулся с необходимостью подключиться удалённо по RDP к компьютеру, работающему под WinXP SP3. Подключаться надо с машины, на которой вертиться WinXP x64 SP2. Для подключения решил использовать стандартный RDP-клиент, входящий в WinXP. Требование по безопасности - чтобы кроме меня никто подключиться не мог никоим образом. Решил, что фильтровать потенциальных злоумышленников на этапе аутентификации по паролю ненадёжно, ибо брутфорс никто не отменял. Блокировка учётной записи после 3-5-20 неудачных попыток аутентификации - тоже не выход. Мотаться до этого компа, чтобы разблокировать учётку вручную каждый раз, как какой-нибудь прыщавый пятнадцатилетний Вася Пупкин решит почувствовать себя кулхацкером, не греет.
Сразу хотел решить проблему при помощи фаервола: организовал для себя доменное имя через динамический DNS (раз уж статический IP сделать нельзя) и прописал на удалённом компьютере в фаерволе правила, чтобы никому, кроме меня, даже на пинги не откликался. Не вышло. Фаервол, который там стоит (Comodo Firewall), оказывается крайне коряво работает с правилами на основе доменных имён. Тем более динамических.
Вот и осенила меня фантазия организовать аутентификацию по двойному ключу, навроде той, которую можно организовать по SSH, т.е. когда генерируется пара ключей, открытый кладётся на удалённый компьютер, закрытый храниться у себя, а при подключении по этим ключам происходит аутентификация. Порылся в настройках RDP - не нашёл, как там можно такое организовать. Рассматривал вариант с подключением к удалённой машине по VPN (WinXP вроде как может принимать VPN-подключение, правда не более одного единовременно), чтобы далее через это VPN-подключение уже цеплять по RDP. Так даже секурнее получилось бы - была бы ещё и защита от сниффинга траффика возмужавшим, заматеревшим и отколупавшим все прыщи двадцатилетним Васисуалием Пупкиным. Но в настройках VPN подключения ни у себя, ни на удалённой машине тоже не нашёл, как можно организовать при подключении к VPN аутентификацию по двойному ключу.
Возможно ли вообще реализовать задуманное? И если да, как это сделать?
Столкнулся с необходимостью подключиться удалённо по RDP к компьютеру, работающему под WinXP SP3. Подключаться надо с машины, на которой вертиться WinXP x64 SP2. Для подключения решил использовать стандартный RDP-клиент, входящий в WinXP. Требование по безопасности - чтобы кроме меня никто подключиться не мог никоим образом. Решил, что фильтровать потенциальных злоумышленников на этапе аутентификации по паролю ненадёжно, ибо брутфорс никто не отменял. Блокировка учётной записи после 3-5-20 неудачных попыток аутентификации - тоже не выход. Мотаться до этого компа, чтобы разблокировать учётку вручную каждый раз, как какой-нибудь прыщавый пятнадцатилетний Вася Пупкин решит почувствовать себя кулхацкером, не греет.
Сразу хотел решить проблему при помощи фаервола: организовал для себя доменное имя через динамический DNS (раз уж статический IP сделать нельзя) и прописал на удалённом компьютере в фаерволе правила, чтобы никому, кроме меня, даже на пинги не откликался. Не вышло. Фаервол, который там стоит (Comodo Firewall), оказывается крайне коряво работает с правилами на основе доменных имён. Тем более динамических.
Вот и осенила меня фантазия организовать аутентификацию по двойному ключу, навроде той, которую можно организовать по SSH, т.е. когда генерируется пара ключей, открытый кладётся на удалённый компьютер, закрытый храниться у себя, а при подключении по этим ключам происходит аутентификация. Порылся в настройках RDP - не нашёл, как там можно такое организовать. Рассматривал вариант с подключением к удалённой машине по VPN (WinXP вроде как может принимать VPN-подключение, правда не более одного единовременно), чтобы далее через это VPN-подключение уже цеплять по RDP. Так даже секурнее получилось бы - была бы ещё и защита от сниффинга траффика возмужавшим, заматеревшим и отколупавшим все прыщи двадцатилетним Васисуалием Пупкиным. Но в настройках VPN подключения ни у себя, ни на удалённой машине тоже не нашёл, как можно организовать при подключении к VPN аутентификацию по двойному ключу.
Возможно ли вообще реализовать задуманное? И если да, как это сделать?