Как лучше развернуть Терминальный сервер?
Всем привет!
Поднял Виртуальный сервер 1С посредством Server 2008R2, теперь прошу совета, как лучше организовать к нему доступ: 1) Поднять ВПН и подключенные юзеры будут соединяться с RDP по внутреннему IP. 2) Опубликовать Терминальный сервер в интернете, воспользовавшись правилами доступа ИСА.... Юзеры будут долбиться извне по статическому IP. Юзеры сидят на модемах 3G по различным объектам на стройке. Скорость интернета оставляет желать лучшего. (колебания от 100кбит/с до 3000) Приоритет больше в скорости работы, чем в безопасности... Хотя зачем шифровать дополнительно VPNом, если RDP тоже шифруется 128-битным ключем? Будет ли VPN увеличивать передаваемый трафик, путем доп. шифрования? |
Неужели никто не задавался таким вопросом...?(
|
у меня одна точка работает с прямым RDP. Но канал 1-2 мбита. Если есть нагрузка на сеть - это сказывается для удалёнщиков.
Цитата:
|
Но ведь при подключении VPN мы открываем "дверь" троянаям, которые находятся на компе пользователя, которые могут пойти гулять в сеть офиса?
|
Это утверждение равносильно следующему: "подключаясь к интернету вообще, мы открываем дверь троянам, которые могут пойти гулять в сеть офиса".
Это утверждение не соответствует истине и является глубоко ошибочным. В поражении червями, вирусами и прочими зловредными программами всегда безоговорочно и стопроцентно виноват системный администратор заражённой машины. Это его прямая ответственность, а не средств коммуникаций типа VPN. Ещё раз: если системный администратор не предпринимает достаточных мер по предотвращению заражения, это его прямая вина. Грамотной конфигурацией системы всегда можно предотвратить заражение. Неграмотной и некомпетентной настройкой — не удастся, вне зависимости от используемых мер подключения к сети. С другой стороны, вы должны знать, что стандартный RDP по умолчанию подвержен атаке Man in the Middle, реализуя которую можно без особых усилий в считанные секунды перехватить все используемые пароли и расшифровать весь трафик. Для действительно безопасной работы в Терминале следует применить IPSec на базе цифровых сертификатов. VPN на базе PPTP тоже ломается за минуты. Более того, недавно был скомпрометирован протокол MSCHAP, что позволяет считать любые сети VPN/WiFi без использования цифровых сертификатов практически незашифрованными. |
Используйте Remote Desktop Gateway с публикацией на ISA Server.
|
Спасибо за полезный опыт, в общем исследовав все варианты, решил оставить Vpn-туннель для подключений по RDP.
Если бы мой Терминальный сервак был в DMZ, то можно было бы и остановиться на простой публикации.... А при одноногой схеме как то небезопасненько.... |
Время: 17:58. |
Время: 17:58.
© OSzone.net 2001-