none
גלישה מאובטחת באמצעות RD Getway RRS feed

  • שאלה

  • שלום,

    אני זקוק לעזרה ביישום של הכולל היבטי אבטחת מידע כמפורט :

    המטרה: לתת פתרון של גלישה מאובטחת למשתמשים שברשת הקריטית ( רשת ללא יציאה לאינטרנט )

    הרעיון הוא ליישם את הטכנולוגיה של שרתי טרמינל באמצעות RD Getway על גבי שרתי Windsows 2008 R2.

    לא אמורה להיות גישה לאפליקציות ה"מפובלשות" מחוץ לארגון . כלומר הפתרון הוא לתת גישה מהרשת הפנימית לחיצונית ולא הפוך.

    בשלב ראשון, אני נדרש "לפבלש" רק גלישה באמצעות Internet Explorer ללא צורך ב Remote Desktop.

    כמדיניות אין אפשרות להתחבר לשרתי החברה מחוץ לרשת אולם יש צורך במתן גלישה מאובטחת למשתמשים ומכאן נולד הרעיון של שרתי טרמינל בעצם.

    בשלב מאוחר יותר אני ארצה בעצם לעשות את זה על גבי חווה שלמה ( FARM ) לטובת שיפור ביצועים ושרידות.

    פרטים טכניים:

    • סביבת דומיין.

    קיימים שני סיגמנטים :

    • סיגמנט הרשת הפנימית ( אין גישה לאינטרנט )
    • סיגמנט יציאה לאינטרנט ( יש גישה לאינטרנט )

    באמצע כמובן יש פיירוול שמאפשר את הגישות הספציפיות הנדרשות.

    • כל התחנות  Windows 7 Pro.

    דרישות:

    יש לבצע הקשחה של האפליקציות המפולשות  (במקרה שלי ה Internet Explorer ) .

    מעבר של קבצים אמור להיות מבוקר ו/או מסונן עד כמה שניתן. ( שלב מאוחר יותר )

    ליצור קיצורי דרך על שולחן העבודה של המשתמשים ו/או באמצעות הMenu  של Windows.

    מצב קיים :

    הקמתי שרת Windows 2008 R2  בסיגמנט האינטרנטי שלי והתקנתי עליו את ה Role  של Rd Getway.

    צירפתי אותו לדומיין שלי כמובן כ Member Server.

    הצלחתי ככר "לפבלש" את ה Internet Explorer  בגדול אבל יש לי כמה שאלות ברשותכם:

    1.       כשאני לוחץ על האייקון של ה RDP מתחנה מסוימת לוקח המון זמן עד שזה נפתח ( כ 30-40 שניות ) וזאת למרות שאני היחידי על השרת הזה בעצם....האם קשור ל Reverse Dns?
    2.       מה בדבר Users Profiles? איך זה מנוהל ? GPO?
    3.       איך אני מונע מהמשתמשים גישה לכונן C של שרתי הטרמינל ? GPO?
    4.       מדוע יש לי צורך ב שירות Remote Desktop Getway? האם עלי להתקינו? הרי אין לי צורך להגיע לאפליקציות המפובלשות שלי מחוץ לרשת אלא רק מתוך הרשת הפנימית.
    5.       כל מידע אחר חיוני יתקבל בברכה.

    אני מודע לעבודה שקיימים פתרונות צד שלישי לנושא הזה כגון Citrix ואחרים  אבל נכון לרגע זה  התקציב מוגבל ויש לי תקציב רק לרישוי של מיקרוסופט.

    אגב, אשמח לדעת מה עלויות ( בערך ) של הקמת מערך כזה ובמה זה כרוך.

    תודה מראש לעוזרים!

    יום רביעי 22 ינואר 2014 19:15

תשובות

  • Hi,

    Its highly recommended that your company would use external consult for design the solution.

    The new TS environment should deploy in a dedicated VLANS/networks and using a dedicated forest.

    Morvever, you will need to deploy ADFS to create a secure SSO between your exiting forest and the new forest (please don't use domain/forest trust)

    Please note that your organization would need to purchase a Web proxy for security.

    Thanx


    Best Regards, Yuval Sinay, Shadowall Group CTO http://www.shadowall.net , Blog: http://blogs.microsoft.co.il/blogs/yuval14


    • נערך על-ידי Yuval Sinay יום רביעי 22 ינואר 2014 22:26
    • סומן כתשובה על-ידי Eran Sharvit יום ראשון 26 ינואר 2014 11:01
    יום רביעי 22 ינואר 2014 22:25

כל התגובות

  • Hi,

    Its highly recommended that your company would use external consult for design the solution.

    The new TS environment should deploy in a dedicated VLANS/networks and using a dedicated forest.

    Morvever, you will need to deploy ADFS to create a secure SSO between your exiting forest and the new forest (please don't use domain/forest trust)

    Please note that your organization would need to purchase a Web proxy for security.

    Thanx


    Best Regards, Yuval Sinay, Shadowall Group CTO http://www.shadowall.net , Blog: http://blogs.microsoft.co.il/blogs/yuval14


    • נערך על-ידי Yuval Sinay יום רביעי 22 ינואר 2014 22:26
    • סומן כתשובה על-ידי Eran Sharvit יום ראשון 26 ינואר 2014 11:01
    יום רביעי 22 ינואר 2014 22:25
  • שלום

    קודם כל עליך לקחת בחשבון בעיית אבטחה של העברת קבצים כפי שכבר ציינת,

    מכיוון שדרך RDP אפשר להעביר קבצים בשני הכיוונים כברירת מחדל (להוריד קובץ מהאינטרנט ולשמור או לעשות copy paste למחשב המקומי).

    לגבי RD Gateway - זה לדעתי משהו מיותר ואני לא יודע בשביל מה התקנת אותו, אין בו שום צורך בסביבה שלך.

    תתחבר ב RDP ישירות מהתחנה ל TERMINAL SERVER, ותשתמש ב REMOTE APP (אבל לא ב RD GATEWAY).

    אגב - אין צורך גם ב RD WEB ACCESS אלא מספיק להתקין רק RDS HOST במקרה שלך, ולתת למשתמשים קובץ RDP מתאים.

    להת

    יזהר


    Yizhar Hurwitz http://yizhar.mvps.org

    יום חמישי 23 ינואר 2014 20:57
  • לחברת אינפראוור יש שרות מאובטח בענן שמספק בדיוק מה שאתה מחפש ויותר

    מערכת גלישה מאובטחת כשירות מנוהל של חברת Infraware:

    המערכת המבוססת על שרתי AWS, הגלישה מתבצעת דרך שרתים אלו, מספר השרתים גדל או קטן אוטומטית לפי כמות המשתמשים

    פתרון זה אידיאלי

    1. המערכת גמישה וניתנת להגדלה/הקטנה בהתאם לצורך. המערכת נותנת פתרון גם לעומסים צפויים  כדוגמת טורניר המונדיאל, המשחקים האולימפיים  וכו'.
    2. פתרון מלא להתאוששות מאסון. המערכת זמינה כל הזמן, מכל מקום ומכל אתר. המערכת עצמה מבוססת על תשתיות שרידות.

    1. עלויות הקמה נמוכות יחסית: ללא צורך ברכש מקדים של חומרה ותוכנה. תשלום על משאבים מוקצים בלבד.

    פרטים מלאים תוכל למצוא כאן

    http://www.infraware.co.il/#!securebrowsing/c181m

    יום שני 19 מאי 2014 12:33