Remove From My Forums

TS e VPN

Domanda
0

Registrati per votare

salve attualmente sono riuscito a configurare un server con win2008std + sevizi terminal per far accedere da una sede remota 3 client con XP Pro per poter utilizzare un gestionale, per fare questo ho semplicemente configurato sul router il NAT dall'ip statico-pubblico all' ip del server.

la domanda è questa, secondo voi che livello di sicurezza (ho usato delle password complesse) ha questa struttura ?

avevo pensato ad un VPN per aumentare la sicurezza ma non ho la più pallida idea di come si configura

altri consigli in generale per aumentare la sicurezza ?

grazie

mercoledì 26 maggio 2010 08:17

Risposta

|

Citazione

Risposte

0

Registrati per votare
Tieni presente che la comunicazioni tra client e server dell'rdp sono già crittografate quindi potresti anche accontentarti della tua attuale configurazione se ti è sufficiente agire via rdp.

Se invece devi usare più protocolli diversi contemporaneamente che usano porte diverse ti conviene configurare una connessione vpn con L2TP + Ipsec magare usando i certificati digitali.

Qui trovi le indicazioni del caso

http://support.microsoft.com/kb/240262

http://support.microsoft.com/kb/926179

Non ha senso mettere in piedi la vpn per far passare solo l'rdp.

Ciao.

Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Windows Server Italian Forum Moderator
edo[at]mvps[dot]org
- Proposto come risposta Edoardo BenussiMVP, Moderator mercoledì 26 maggio 2010 08:54
- Contrassegnato come risposta Anca Popa martedì 1 giugno 2010 07:27
mercoledì 26 maggio 2010 08:53

Risposta

|

Citazione

Moderatore
0

Registrati per votare
si devo usare solo l'rdp, la mia preoccupazione è data dal fatto che se qualcuno individua l'ip pubblico e la password utente è ingrado di accedere al server

cosa ne pensi ?

ps (ot) scusa sai perchè pur avendo gli Alerts attivi e spuntando invia avvisi ( mi dice Gli Alerts vengono inviati a:mioindirizzoemail ) non mi arrivano ? grazie

la considerazione che fai è corretta però se usi delle passwords robuste (complesse) e il blocco account per impedire attacchi di tipo brute force sei suffcientemente sicuro. è ovvio che chi usa l'accesso rdp deve essere istruito a non sbandierare la password a destra e a manca.

gli alerts nei forum italiani lasciano ancora a desiderare.

ciao.
Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Windows Server Italian Forum Moderator
edo[at]mvps[dot]org
- Proposto come risposta Edoardo BenussiMVP, Moderator mercoledì 26 maggio 2010 15:28
- Contrassegnato come risposta Anca Popa martedì 1 giugno 2010 07:27
mercoledì 26 maggio 2010 15:28

Risposta

|

Citazione

Moderatore
0

Registrati per votare
Io ti consiglierei di fare il "lock down" del terminal server, soprattutto di utilizzare le smart cad (i certificati li puoi rilasciare anche tu mettendo in piedi una C.A.) e di cambiare la porta di ascolto dei terminal services.

A quel punto, anche se esposto, il server è meno vulnerabile

http://www.windowsecurity.com/articles/Locking-Down-Windows-Server-2008-Terminal-Services.html

Quanto suggerito da Edoardo, poi, è una buona idea a prescindere : nella default domain policy, quando definisci le politiche di password, impostare un limite di logon errati e successivo blocco dell'utente è una buona idea al di là della soluzione particolare.
-- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Administrator (FCNSA)
- Proposto come risposta Edoardo BenussiMVP, Moderator giovedì 27 maggio 2010 07:16
- Contrassegnato come risposta Anca Popa martedì 1 giugno 2010 07:27
mercoledì 26 maggio 2010 19:30

Risposta

|

Citazione

Tutte le risposte

0

Registrati per votare

La domanda prevede risposte complesse:

la vpn puoi farla gestire dal server o, in base al modello del tuo router, al router stesso.

Se la fai gestire dal server devi insallare il ruolo di routing sul server, e se utilizzi una sola scheda di rete sul server, scegli la configurazione personalizzata... poi abiliti le chiamate in ingresso, VPN....

Devi poi nattare (forward) le porte della vpn sul sevre (ad esempio pa pptp, ltp2... la porta 500, il gre0... ecc trovi tutto sui siti micrisift tramite google).

Una volta fatto questo stabilisci il tunnel vpn e poi ti connetti in termonal utilizzando gli indirizzi della lan (ricordati che gli utenti vanno abilitati alle chiamate in ingresso per poter accedere in vpn).

Un'altra strada è quella di richiedere connessioni protette in desktop remoto, ma, in questo caso, devi aggiornare i client di desktop remoto di xp e i vari framework...). Nessun problmea invece se utilizzi Vista o 7.

Adriano Mariolini - MCITP Server Administrator adriano.mariolini[at]my.sysadmin[dot]it

mercoledì 26 maggio 2010 08:47

Risposta

|

Citazione
0

Registrati per votare
Tieni presente che la comunicazioni tra client e server dell'rdp sono già crittografate quindi potresti anche accontentarti della tua attuale configurazione se ti è sufficiente agire via rdp.

Se invece devi usare più protocolli diversi contemporaneamente che usano porte diverse ti conviene configurare una connessione vpn con L2TP + Ipsec magare usando i certificati digitali.

Qui trovi le indicazioni del caso

http://support.microsoft.com/kb/240262

http://support.microsoft.com/kb/926179

Non ha senso mettere in piedi la vpn per far passare solo l'rdp.

Ciao.

Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Windows Server Italian Forum Moderator
edo[at]mvps[dot]org
- Proposto come risposta Edoardo BenussiMVP, Moderator mercoledì 26 maggio 2010 08:54
- Contrassegnato come risposta Anca Popa martedì 1 giugno 2010 07:27
mercoledì 26 maggio 2010 08:53

Risposta

|

Citazione

Moderatore
0

Registrati per votare

Tieni presente che la comunicazioni tra client e server dell'rdp sono già crittografate quindi potresti anche accontentarti della tua attuale configurazione se ti è sufficiente agire via rdp.

Se invece devi usare più protocolli diversi contemporaneamente che usano porte diverse ti conviene configurare una connessione vpn con L2TP + Ipsec magare usando i certificati digitali.

Qui trovi le indicazioni del caso

http://support.microsoft.com/kb/240262

http://support.microsoft.com/kb/926179

Non ha senso mettere in piedi la vpn per far passare solo l'rdp.

Ciao.

Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Windows Server Italian Forum Moderator
edo[at]mvps[dot]org

si devo usare solo l'rdp, la mia preoccupazione è data dal fatto che se qualcuno individua l'ip pubblico e la password utente è ingrado di accedere al server

cosa ne pensi ?

ps (ot) scusa sai perchè pur avendo gli Alerts attivi e spuntando invia avvisi ( mi dice Gli Alerts vengono inviati a:mioindirizzoemail ) non mi arrivano ? grazie

mercoledì 26 maggio 2010 15:17

Risposta

|

Citazione
0

Registrati per votare
si devo usare solo l'rdp, la mia preoccupazione è data dal fatto che se qualcuno individua l'ip pubblico e la password utente è ingrado di accedere al server

cosa ne pensi ?

ps (ot) scusa sai perchè pur avendo gli Alerts attivi e spuntando invia avvisi ( mi dice Gli Alerts vengono inviati a:mioindirizzoemail ) non mi arrivano ? grazie

la considerazione che fai è corretta però se usi delle passwords robuste (complesse) e il blocco account per impedire attacchi di tipo brute force sei suffcientemente sicuro. è ovvio che chi usa l'accesso rdp deve essere istruito a non sbandierare la password a destra e a manca.

gli alerts nei forum italiani lasciano ancora a desiderare.

ciao.
Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Windows Server Italian Forum Moderator
edo[at]mvps[dot]org
- Proposto come risposta Edoardo BenussiMVP, Moderator mercoledì 26 maggio 2010 15:28
- Contrassegnato come risposta Anca Popa martedì 1 giugno 2010 07:27
mercoledì 26 maggio 2010 15:28

Risposta

|

Citazione

Moderatore
0

Registrati per votare

la considerazione che fai è corretta però se usi delle passwords robuste (complesse) e il blocco account per impedire attacchi di tipo brute force sei suffcientemente sicuro. è ovvio che chi usa l'accesso rdp deve essere istruito a non sbandierare la password a destra e a manca.

gli alerts nei forum italiani lasciano ancora a desiderare.

ciao.

Edoardo Benussi - Microsoft® MVP
Management Infrastructure - Systems Administration
https://mvp.support.microsoft.com/Profile/Benussi
Windows Server Italian Forum Moderator
edo[at]mvps[dot]org

blocco account intendi il blocco dopo un certo numero di volte che si digita la password errata ?

visto che gli alerts non funzionano bene mi puoi dare un suggerimento per seguire il forum diversamente perchè da browser è abbastanza scomodo grazie

mercoledì 26 maggio 2010 15:36

Risposta

|

Citazione
0

Registrati per votare
Io ti consiglierei di fare il "lock down" del terminal server, soprattutto di utilizzare le smart cad (i certificati li puoi rilasciare anche tu mettendo in piedi una C.A.) e di cambiare la porta di ascolto dei terminal services.

A quel punto, anche se esposto, il server è meno vulnerabile

http://www.windowsecurity.com/articles/Locking-Down-Windows-Server-2008-Terminal-Services.html

Quanto suggerito da Edoardo, poi, è una buona idea a prescindere : nella default domain policy, quando definisci le politiche di password, impostare un limite di logon errati e successivo blocco dell'utente è una buona idea al di là della soluzione particolare.
-- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Administrator (FCNSA)
- Proposto come risposta Edoardo BenussiMVP, Moderator giovedì 27 maggio 2010 07:16
- Contrassegnato come risposta Anca Popa martedì 1 giugno 2010 07:27
mercoledì 26 maggio 2010 19:30

Risposta

|

Citazione
0

Registrati per votare

Immagino che i suggerimenti di Edoardo e di Fabrizio ti siano stati utili, in’attesa di un riscontro ho contrassegnato come risposte alcuni dei post.

Ciao.
Anca Popa

martedì 1 giugno 2010 07:33

Risposta

|

Citazione
0

Registrati per votare

si devo usare solo l'rdp, la mia preoccupazione è data dal fatto che se qualcuno individua l'ip pubblico e la password utente è ingrado di accedere al server

cosa ne pensi ?

ps (ot) scusa sai perchè pur avendo gli Alerts attivi e spuntando invia avvisi ( mi dice Gli Alerts vengono inviati a:mioindirizzoemail ) non mi arrivano ? grazie

Se non vuoi complicarti la vita troppo con configurazioni vpn, potresti configurare delle acl sul router/firewall per accettare connessioni rdp in ingresso solo da ip conosciuti. Ovviamente, questo e' possibile solo nel caso in cui chi si collega si collega solo e sempre da posti fisici ben definiti.

Ciao

martedì 1 giugno 2010 13:23

Risposta

|

Citazione
0

Registrati per votare

Se non vuoi complicarti la vita troppo con configurazioni vpn, potresti configurare delle acl sul router/firewall per accettare connessioni rdp in ingresso solo da ip conosciuti. Ovviamente, questo e' possibile solo nel caso in cui chi si collega si collega solo e sempre da posti fisici ben definiti.

Non mi sembra una soluzione realistica.

Al di là del luogo fisico da cui ci si connette (e già quello, per utenti di pc portatili, è una variabile), gli IP di navigazione Internet sono gestiti dai provider e (a meno di avere a disposizione un ip pubblico statico) sono soggetti a cambiamenti assolutamente non prevedibili.
-- Fabrizio Volpe MCSE (NT4) (2000) (2003) , MCSA (2003) , MCTS (SQL 2005) (Exchange 2007) (Windows 2008) Fortinet Certified Network Security Administrator (FCNSA)

martedì 1 giugno 2010 13:44

Risposta

|

Citazione
0

Registrati per votare
<Fabrizio Volpe> ha scritto nel messaggio
news:67fd9ef1-cd11-4e70-bebf-3af805fed90f@communitybridge.codeplex.com...
> Se non vuoi complicarti la vita troppo con configurazioni vpn, potresti
> configurare delle acl sul router/firewall per accettare connessioni rdp in
> ingresso solo da ip conosciuti. Ovviamente, questo e' possibile solo nel
> caso in cui chi si collega si collega solo e sempre da posti fisici ben
> definiti.
>
>
>
> Non mi sembra una soluzione realistica.
>
> Al di là del luogo fisico da cui ci si connette (e già quello, per utenti
> di pc portatili, è una variabile), gli IP di navigazione Internet sono
> gestiti dai provider e (a meno di avere a disposizione un ip pubblico
> statico) sono soggetti a cambiamenti assolutamente non prevedibili.

Sono d'accordo con te, ma se uno ha delle sedi fisse di solito ci sono gli
ip statici. Io normalmente faccio cosi'.
In alternativa, tiRo su delle vpn site-to-site o client-to-site con i
router.
Non so perche', ma mi sento piu' tranquillo se le vpn le fanno i router.

Ciao
- Modificato Edoardo BenussiMVP, Moderator mercoledì 2 giugno 2010 07:04 typo error
martedì 1 giugno 2010 17:04

Risposta

|

Citazione

Prodotti

Resources

Solutions

Aggiornamenti

Valutazioni

Siti correlati

Formazione

Certificazioni

Ulteriori risorse

Per prodotto

Altri collegamenti

Non professionisti IT

Principale utente con più risposte

TS e VPN

Domanda

Risposte

Tutte le risposte