none
NAT ou VPN RRS feed

  • Pergunta

  • Boa noite,

    Senhores, tenho a seguinte dúvida:

    Preciso de publicar uma aplicação de Terminal Server para colaboradores externos, porem nem sempre os mesmos estão em posse de seus laptops.

    Nos laptops, criei um discador vpn para meu microtik, que trabalha como firewall, e funcionou tudo 100%

    Tive a ideia, de reduzir essa vpn para uma coisa mais simples, um NAT.

    Fiz um NAT no meu microtik dizendo que meu determinado IP de internet vai encaminhar tudo que chegar nele na porta 3389 para um servidor de TS da rede.

    Depois, em meu site corporativo, criei uma área restrita e dentro dessa área eu adicionei uma chamada RDP para meu link de internet, o serviço de TS foi chamado, loguei, etc...

    Funcionou.

    Alé disso, no NAT, eu disse que só poderia fazer esse redirecionamento se as conexões viessem de determinados ip´s externos, como por exemplo os da locaweb onde meu site é hospedado.

    Agora não preciso mais de VPN em determinados computadores, qualquer usuário que tiver acesso a logar no meu site, e logar no TS poderá usar a aplicação que preciso disponibilizar.

    Pergunto, uq é mais segudo neste caso ? NAT OU VPN ? Poderia fazer isso de outra maneira melhor ?

    Obrigado

    • Editado Filipe Lambert quinta-feira, 14 de abril de 2011 21:53 erro portugues
    quinta-feira, 14 de abril de 2011 21:49

Respostas

  • Filipe,

    No caso de segurança, concerteza VPN juntamente com ipsec , autenticação de usuario etc...

    O NAT no caso fica muito aberto, pode ser perigoso deixar esse acesso aberto por questoes de invasão, tem gente que fica procurando ips com a porta 3389 aberta jutamente pra tentar invadir.

    Eu não faria isso jamais.

    Espero ter te ajudado.

    Um abraço.

    Atenciosamente,


    Luiz Henrique Lima Campos
    Microsoft MCT,MCP,MCDST,MCSA,MCSA+M,MCTS e MCITP
    Visite o meu blog: http://luizhenriquelima.wordpress.com
    Me siga no twitter: @luizlima
    **Ajude a melhorar o sistema de busca do fórum.Marque a(s) resposta(s) que foram úteis**
    • Marcado como Resposta Richard Juhasz sexta-feira, 6 de maio de 2011 13:46
    domingo, 17 de abril de 2011 01:46
  • Felipe, boa noite.

    VPN é mais seguro, com certeza, mas acho que deva ser levantado o custo-beneficio das coisas.

    O pró do VPN é que é mais seguro, mas o contra é que pode acontecer da rede onde o usuários externo se encotre não permita VPN, e VPN é uma coisa a mais para trafegar exigindo mais banda de seu UPLink.

    Sou a favor da solução de NAT sim, mas com vários itens no pacote, como política de bloqueio de senha após x tentativas em y tempo, já que qualquer porta aberta que tenha um serviço com senha será tentado ataque de força bruta.

    Mas recomendaria mesmo a solução de "Remote Desktop Gateway" do Windows Server 2008, que permite você conetar ao servidor de TS pela porta 443 (protocolo HTTPS).

    http://technet.microsoft.com/en-us/library/dd560672(WS.10).aspx

    Abraços.

    OBS: Não acredito que restrigir o acesso aos IPs da LocaWeb irá deixar sua solução funcional, já que os seu usuários apenas vão acessar uma página Web que irá indicar o enderço de conexão para o seu TS, lá não tem nenhum servidor de VPN ou NAT.

    Qualquer coisa estamos ai.

    • Marcado como Resposta Richard Juhasz sexta-feira, 6 de maio de 2011 13:46
    segunda-feira, 25 de abril de 2011 01:01

Todas as Respostas

  • Filipe,

    No caso de segurança, concerteza VPN juntamente com ipsec , autenticação de usuario etc...

    O NAT no caso fica muito aberto, pode ser perigoso deixar esse acesso aberto por questoes de invasão, tem gente que fica procurando ips com a porta 3389 aberta jutamente pra tentar invadir.

    Eu não faria isso jamais.

    Espero ter te ajudado.

    Um abraço.

    Atenciosamente,


    Luiz Henrique Lima Campos
    Microsoft MCT,MCP,MCDST,MCSA,MCSA+M,MCTS e MCITP
    Visite o meu blog: http://luizhenriquelima.wordpress.com
    Me siga no twitter: @luizlima
    **Ajude a melhorar o sistema de busca do fórum.Marque a(s) resposta(s) que foram úteis**
    • Marcado como Resposta Richard Juhasz sexta-feira, 6 de maio de 2011 13:46
    domingo, 17 de abril de 2011 01:46
  • Felipe, boa noite.

    VPN é mais seguro, com certeza, mas acho que deva ser levantado o custo-beneficio das coisas.

    O pró do VPN é que é mais seguro, mas o contra é que pode acontecer da rede onde o usuários externo se encotre não permita VPN, e VPN é uma coisa a mais para trafegar exigindo mais banda de seu UPLink.

    Sou a favor da solução de NAT sim, mas com vários itens no pacote, como política de bloqueio de senha após x tentativas em y tempo, já que qualquer porta aberta que tenha um serviço com senha será tentado ataque de força bruta.

    Mas recomendaria mesmo a solução de "Remote Desktop Gateway" do Windows Server 2008, que permite você conetar ao servidor de TS pela porta 443 (protocolo HTTPS).

    http://technet.microsoft.com/en-us/library/dd560672(WS.10).aspx

    Abraços.

    OBS: Não acredito que restrigir o acesso aos IPs da LocaWeb irá deixar sua solução funcional, já que os seu usuários apenas vão acessar uma página Web que irá indicar o enderço de conexão para o seu TS, lá não tem nenhum servidor de VPN ou NAT.

    Qualquer coisa estamos ai.

    • Marcado como Resposta Richard Juhasz sexta-feira, 6 de maio de 2011 13:46
    segunda-feira, 25 de abril de 2011 01:01
  • Olá,

    Por questões de segurança a VPN é mais indicada.

    Abraços,


    Alex Silva
    sexta-feira, 29 de abril de 2011 12:56
  • E ai Felipe, qual decisão tomou?

    Abraços.

    sábado, 30 de abril de 2011 01:40