Re: [ml] VPN o PCAnywhere?

> Mi e' stato chiesto di mettere su una VPN sul server Win2k3 per 
> permettere l'upgrade di programmi (presumo ActiveX piu' un prog 
> installato dalla ditta che ha fatto tale richiesta) da remoto da parte 
> di un utente (della ditta stessa).
> Non avendo mai avuto a che fare con le VPN mi chiedo: Non e' un po' 
> esagerato mettere su una VPN e tunnellare SOLO per un utente cui 
> saltuariamente attivero' l'account e per di piu' con privilegi NON 
> INDIFFERENTI (presumo di superuser visto che dovra' installare programmi)???

A mio parere stai mischiando un po' le cose. 

A te serve un desktop remoto. Questo lo puoi usare da dentro una VPN
o collegandoti direttamente al w2k3 sulla porta su cui e' in ascolto
il server che ti offre il servizio di desktop remoto. Tutto cio' e',
comunque, piu' o meno indipendente dall'utente, policy a parte.

Per il deskto premoto c'e' il server rdp amministrativo incorporato:
difficile avere di meglio sia sotto il punto di vista delle feature,
sia delle prestazioni. Agratis fino a 2 sessioni amministrative. Con
VNC avresti solo piu' problemi. Con altri prodotti avresti solo piu'
costi. IMHO gli unici motivi [1] per non usare il server incorporato
possono essere: 1) il fatto che venga gia' eseguito in modo terminal
server, per cui ti/gli/vi costerebbe una CAL e 2) eventuale esigenza
d'interagire con quella macchina usando modalita' non supportate dal
desktop remoto: non tutte le chiamate di sistema sono ammesse e pure
l'uso dell'api di windows puo' dare sorprese, quindi devi verificare
che sia tutto ok pe rle operazioni di instalalzione ed aggiornamento
che devi fare tu. VNC, nel caso, non ha di questi problemi.

Se proprio ti da fastidio collegarti a desktop remoto "direttamente"
e basandoti sulla sola cifratura offerta da rdp, puoi usare i tunnel
VPN che preferisci o anche l'implementazione ipsec nativa di windows
in modo trasporto. Ma non vedo, poi, tutti questi grandi vantaggi, a
meno che tu non abbia gia' intenzione d'usare questa VPN o ipsec per
altre cose, nel qual caso sarebbe piu' vantaggioso fare ascoltare il
server rdp su un'interfaccia nel tunnel o forzare l'uso di ipsec per
il traffico rdp, cosi' da lasciare esposti il minor numero possibile
di servizi. Nel caso della VPN o ipsec ci saranno solo il server per
la VPN (per esempio openvpn) o il server IKE e non _anche_ il server
rdp). Uhmmm... temo che l'esposizione sia un po' contorta, ma non ho
voglia di riscrivere le ultime righe :-) Spero siano comunque chiare
almeno a una seconda lettura.


Fabio

[1] ovviamente "non mi piace" o "non voglio quella roba" sono motivi
    che, seppur viscerali, potrebbero avere il loro peso.