Защита терминального доступа.
 

Стоит win2003. На нем крутиться 1C, SQL, почта. Доступ к 1С для всех пользователей разрешен терминально. Не давно столкнулся с тем что пользователи стали заходить на сервер удаленно с дома. От сюда появилась задача:
1) как ограничить пользователей (не всех) от захода с внешнего IP адреса .
2) организовать защиту от несанкционированного доступа на терминал.

А не проще использовать клиент-сервеное приложение?

Как сервер смотрит в интернет? Используется ли VPN?

Фильтрация по IP не выход, так как домашние провайдеры пользователей могут использовать,
как статические, такие и динамические ip-aдреса.

Если у вас заведен домен, то как вариант можно использовать ограничение области
действия группы "пользователи домена". По умолчанию стоит глобальная область действия, тоесть
все разрешено, надо будет поменять на локальную. И тогда терминальный доступ будет разрешен
внутри сети. А для входа из вне надо будет создать отдельную группу, которая сможет заходить с внешних IP по RDP.

Включить Брэндмауер с настройками - запретить RDP всем IP кроме области - и пишите какие IP разрешить!
Не забудьте свой прописать.

exo, =>

ну пропишите не один IP, а пару сетей. У меня к примеру IP раздаётся из 4 сетей класса С.

Используйте шифрацию траффика с помощью zebedee - замечательно шифрует трафик по 1 или нескольким портам.

Приблизительный мануал:

Ставится zebedee
Генеришь ключ для клиента(по нему он будет авторизовываться):

zebedee.exe -p > key.key

Из него делаешь Identity для сервера

zebedee.exe -P -f key.key > id.id

по нему сервер будет авторизовывать клиента.
На клиенте в каталог с zebedee.exe кладешь ключ key.key и пишешь вот такой конфиг(значения порта и IP поставишь сам):


Это конфиг с некоего компа (любого), ходящего в инет через прокси, не требующий авторизации. Если прокси нет, а есть нат, строку httpproxy можно закомментить. Этот комп удаленно подсоединяется к zebedee-серверу, который работает на порту 2222 tcp, на IP yy.yy.yy.yy и авторизуется ключом из key.key. Строчка tunnel означает: "подсоединяясь на локальный 8000 порт, на самом деле попадешь на 192.168.1.4:8185".

На сервере кладется тем же макаром id.id и пишеццо конфиг
использовать понятно как, запускаешь и там и там:

zebedee.exe -f config.zbd

и на клиентском компе используешь 127.0.0.1:8000 как вход в туннель, пакет появится на компе с zebedee-сервером, который пошлет его по маршруту, указанному в target.

Ключей клиента можно создать несколько и раздать доверенным лицам. Наружу открыть только порт, который слушает zebedee-cервер

вроде РДП и так шифрованный трафик...

Если пользователи заходят на терминал "снаружи", то стОит разрешить подключение только с определенных IP. Можно ограничивать время работы учетной записи. В общем, представленная информация скудновата.

Задача стоит как:
В случае использования zebedee добиваемся этого 2мя моментами:
1) скрываем реальный порт
2) прежде чем получить картинку на терминального клиента, проходим авторизацию по ключу от zebedee.
Хотя лично я в случае терминалов никогда так не морочился.

а Win2k3 позволяет использовать для TS порт отличный от 3389?
а насколько оправдано применение шифрации, VPN при удаленном подключении к TS?

Ещё как позволяет. Порт на сервере настраивается в реестре:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\TerminalServer\WinStations\RDP-Tcp\PortNumber
А адрес сервера в терминальном клиенте нужно задавать с указанием нового номера порта через двоеточие, как это делается и в браузере:
10.1.25.1:xxxxx

что-то я менял - не менялся порт...

Ну, раз уж мне не веришь, держи первоисточник:
306759
304304
Подсказка: в реестре порт лучше ставить в 16-чном виде, т.е., если надо заменить 3389 на 3390, то меняем D3D на D3E. Ну, и ребут, конечно.

ааа, вот куищща я не делал...

Вопрос первый. На работе пользователи находятся в локальной сети?
Если "да", то в файрволле разрешить "удалённый рабочий стол" (порты RDP) только для локальной подсети. Всё...

Теперь второй вопрос. Как организован совместный доступ к интернету? Выполняет ли сервер ещё и функцию прокси, или для этого используется отдельный ПК либо аппаратный машртизатор?

И ещё, если пользователи лезут на сервер с дома, значит кто угодно может получить полный доступ к системе. Удивляюсь, как ещё сервер жив :)

насколько реальна такая угроза, как это сделать? разумеется, если пользователи не с админскими правами

журнал ][акер за этот месяц - там интересная статья как войти на сервер через RDP.

у меня вопрос созрел.
У удалёнщиков установлены старые версии клиентов РДП - 5.
Как мне настроить сервер, чтобы он не принимал соеденения с 5, а только с 6 ? и при использовании 5 ругался - обратитесь администратору за новой версией клиента РДП.

а ссылочки на эл.версию этого журнала нет? и какие методы предотвращения подобного предлагатся?
Че-то не знал даже что 6 есть. Это в Win2k8? А где клиента такого взять?

RDP 5.0 - Windows 2000

RDP 5.1 - Windows XP

RDP 5.2 - Windows 2003

Вобще-то я уже рекомендовал книгу, но повторюсь:

Администрирование Windows Server 2000/2003 на терминальном сервере.
Тодд Мазерс

Читайте. Больше вам все равно никто ничего не скажет.

нету.. я вечером вывешу статью на сайте... в подписи
Там нужно в реестре гдето подправить, чтобы было сложнее взломать.
RDP 6 - это вистовский. Его также можно скачать и для 2003 и для ХР на сайте производителя. Ссылка выше.
Дело в том, что 6 безопаснее чем 5.
вот я и хочу, чтобы все пользователи сменили клиенты. Но за всеми не уследишь, если в ручную.

RDP 5.x обеспечивает шифрование по алгоритму RC4.
Используется 3 режима: Низкий, Средний, Высокий.
Высокий уровень обеспечивает 128 битное шифрование, как входящего так и исходящего трафика.

Чего такого можно улучшить в RDP6?

TLS
хм... 6.1 в SP3 для ХР-ки... нужно всем обновления делать...

Насколько я понимаю, то клиентов еще можно обновлять/менять (5.2, 6, 6.1). А вот сервер Windows 2003 кроме как 5.2 не поддерживает? Сервер RDP6.1 только в Win2008 возможен?

ну почему?
вот же:

потому, что это - клиенты

а точно... ну вообщем я ставил на 2003 клиент 6-ой, и спокойно соединялся с терминалом 2003 сервера.
Киньте кто-нить ссылку на разницу служб терминалов 2003 и 2008.

следовательно, в данном случе нет смысла в 6-ом. Соединение все равно по 5.2 проходит.

в книге от 2008 года по 70-290 написанно - что лучше обновить клиент, и будет безопаснее.

Вопрос: почему/чем соединение сервера терминалов на Win2k3 (RDP5.2) c клиентом RDP6.x безопаснее, чем с клиентом RDP5.2?
Ответ:
не подходит :). Нужны пояснения и объяснения.

Вай-вей. В переводе на язык родных осин это значит что протокол RDP, не имеет встроенных средств аутентификации сервера. Т. е. если какой-либо злыдень подсунет свой сервер вместо оригинального, и будет пересылать трафик на оригинальный, то по запросам-ответам можно расшифровать ключ сессии и соответственно данного пользователя.

Хочу огорчить, большая часть протоколов имеют такую уязвимость. В том числе и сети Windows.

Правдо в реальном мире такая уязвимость достаточно условна, т.к. сервер "подсовывать" тяжеловато.

zet2, не встретил в теме вопроса, у вас сервер напрямую мордой в интернет смотрит? Или есть какое-то защищающее приложение? (Встроенный файрволл Windows можете не упоминать даже.) Если есть, то какое? Или это железка?

а чем он плох?

А чем хорош? Особенно для сети масштаба предприятия? Дарвин такое называл естественным отбором...

Oleg Krylov, т.е. вы считаете если им закрыть все IP кроме 2-3 (это конечно не масштаб предприятия) для администрирования - то этого не хватит?

На мой взгляд, в масштабах предприятия ставится серьезный продукт в качестве корпоративного файрволла, например MS ISA 2006. Который с легкостью зарежет на уровне аутентификации. Т.е. проблемы будут не в адресации, а в логоне.
Тут конечно возможны варианты, но я обычно вообще не публикую RDP во внешние сети. Для этого есть VPN, а сейчас еще и TSGateway. Но это только мое мнение.

но ведь можно и раньше зарезать... темже VPN-ом.

Можно, просто смысл сводится к необходимости вырастать из штанишек 30-машинных админов. И доступность RDP снаружи яркий тому показатель.

А можно подробней как это сделать.
Мне нужно чтобы к серверу АД был доступ только с одной админской тачке, а все остальные могли с ним работать как с файл принт и т.д. сервером.

В настройках терминального сервера запретите вход всем, кроме админа. Или такой вариант не подходит?

а зачем там AD, если он только для одного админа?
GreenIce, подробно можно изложить задачу, если она вообще соответствует теме(?)

я тоже терминал разрешил доступ из интернета. Ну бывает моменты, что надо удаленно администрировать...
и мне тоже заинтересовывал безопасность ! на самом деле если RDP не лучшее решение, а что самое безопасное и удобнее ? как-то столько не изучаю, но VPN для меня остается каким-то зверем, с которым не хочу связыватся :biggrin:
Очень хотел бы знать, когда есть прямое подключение через RDP с инета к серверу, всякие неумные персоны смогут брутить пароль к входу в систему ? и заодно интересут, где поставить ограничение по блакировки "попытка не удачного входа", чтоб если 3 раза не парвильно ввели - блокировал по IP или че-то еще....

VPN очень хороший и добрый зверь. Спасает от многих проблем. Обычно, я публикую сервисы через ISA. Он позволяет достаточно тонко настроить политики доступа. Это из разряда Best Practics. Но если нет возможности, используйте серверную оснастку Маршрутизация и удаленный доступ. Создайте прослушиватель для входящих подключений VPN. А вот доступ к VPN раздавайте в AD, в свойствах пользователя на вкладке Dial-In.
GreenIce, вообще доступ обычным пользователям на контроллер домена не самая лучшая практика. Если они его вам уронят, натолкав вирей и подобного... Вы горючими слезами заливаться будете, т.к. неправильная его работа парализует сеть. Ищите другое решение, добрый вам совет.

В домене есть 50 компов, я хочу чтобы у пользователей не поднималось окно для терминальной сессии с сервера. Т.е. если с тачки админа я зайду по рдп то сеанс поднимается, а с любой другой писало бы что сервер терминалов не доступен.

GreenIce, т.е. в свойствах юзеров RDP разрешен, значит по MAC/IP дожно определяться разрешен ли сеанс RDP?

Да, в сети есть терминальный сервер, к которому доступ нужен всем, а к серверам чтоб даже не предлогал.

А саму политику RDP можно так настроить? чтоб после нескоько неудачного ввода пароля - блокировался?

А причем здесь RDP насколько я понимаю там стандартная политика авторизации, как в политике настроенно так и блокироваться будет.

GreenIce,

А это точно так, или ваше мнение? и если можете - скажите какие ограничение испольозется

У меня пользователи блокируются если 5 раз неправильно ввели пароль. Если пользователи доменные, то на них действуют ограничения из доменной политики, если локальные то соответственно с политике компьютера.

точно
Панель управления -> Брендмауер -> Включить -> Исключения -> Дистанционное управление рабочим столом -> ИЗМЕНИТЬ -> Изменить ОБЛАСТЬ -> Особый список -> и пишите туда IP админского компа.

exo,
я думаю это не лучшее решение, т.к. я как админ, могу подключится с разных точки города и даже страны. у меня всегда разные IP могут быть..
firewall - думаю тут уже не поможет в это деле. тут мне кажется надо с политикой что-то делать, чтоб только определенные пользователи смогли подключится через интернет. а остальным разрешать только локальное подключение.

Да делал я так, по остальным галочки поставил локальная подсеть, после этого сеть умерла, пока назад не отключил.

Расскажите про модель доступа. Чем у Вас ограничиваются внешние подключения?

для меня подходит, я админ, IP получаю динамические, так что ввёл две сети класса В (домашние сети) и пару IP - рабочие IP. + есть сервер на который есть доступ отовсюду и с него можно зайти.О_0 пинг пропал? а в исключениях "общий доступ к файлам и принтерам" отметили? не знаю как это влияет на пинг, но работает.
группой Remoute Desktop Users или как-то там... Т.е. дело до аунтификации дойдёт, а вот дальше фигушки...

"аунтификации" для чего? и почему дальше фигушки?

реально не понятно как и что работает у здешних участников темы!

пользователя. Вы входите по рдп на сервер, вам нужно ввести учётные данные пользователя. Вы вводите, но он не входит в группу ремоут десктоп юзерс (также терминал сервер юзерс) и получает фигушки. А если бы он входил в группу - то зашёл бы на сервер. А вот если рубить по IP, то до аунтификации дело не дойдёт, т.к. клиент рдп скажет: сервер не отвечает.

exo, понятно, спасибо. Т.е. ты по IP не рубишь, а доспускаешь до окна логина?

Рубит, рубит. Он хитрый. :)

как раз я наоборот делаю. благо сервер не загружен пользователями и IP не много...