Re: [ml] VPN o PCAnywhere?

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Febbraio 2005 ml@sikurezza.org
Soggetto: Re: [ml] VPN o PCAnywhere?
Mittente: xs
Data: Wed,  2 Feb 2005 19:39:17 +0100 (CET)

Igor Falcomata' wrote:

On Tue, Feb 01, 2005 at 08:21:06PM +0100, xs wrote:
Mi e' stato chiesto di mettere su una VPN sul server Win2k3 per permettere l'upgrade di programmi (presumo ActiveX piu' un prog installato dalla ditta che ha fatto tale richiesta) da remoto da parte di un utente (della ditta stessa).
Non devi  presumere, devi  conoscere bene la  situazione prima  di poter
fare una scelta :)

La ditta che deve fare queste installazioni non e' stata molto chiara al riguardo. E' una ditta esterna, e gia' che mi abbioa parlato, durante una riunione, di privilegi di "pseudo-amministratore" (giuro!) per poter accedere alle risorse (sigh!) del server mi ha lasciato allibito.

una maniera per fare gli aggiornamenti una maniera per proteggere il traffico La vpn in se non implica che si riescano a fare anche gli aggiornamenti; attraverso questa vpn poi dovrai dare accesso ad un "qualcosa" che ti permetta di fare gli aggiornamenti.


La scelta VPN non l'ho fatta io, me l'hanno proposta loro.

http://www.sikurezza.org/ml/01_05/msg00137.html
e consulta i manuali del prodotto ed il sito Microsoft.


Dopo l'esperienza con l' RSM EJECT quest'ultima cosa la eviterei =D

Su  2k3  server  c'e'  il supporto  per  l'accesso  interattivo  tramite
terminal  services (rdesktop)  senza  licenze aggiuntive,  se si  tratta
dell'amministrazione; altrimenti puoi utilizzare vnc, vedi archivi della
lista.

Ottimo, VCN l'ho gia' usato in passato per un server redhat, lo rispolverero'. Non mi era nemmeno venuto in mente...

I messaggi sono arrivati tutti,  erano semplicemente in attesa di essere
moderati.

Grazie, sull'efficienza del mio provider riguardo alla mail sono un po' paranoico, finita la fatica di questa migrazione se non disturbo magari mi date una mano a scoprire un arcano legato ad essa.


FABIO PANIGATTI wrote:
> A te serve un desktop remoto. Questo lo puoi usare da dentro una VPN
> o collegandoti direttamente al w2k3 sulla porta su cui e' in ascolto
> il server che ti offre il servizio di desktop remoto. Tutto cio' e',
> comunque, piu' o meno indipendente dall'utente, policy a parte.

> Per il deskto premoto c'e' il server rdp amministrativo...

OTTIMO, grazie per i consigli!

> non tutte le chiamate di sistema sono ammesse e pure
> l'uso dell'api di windows puo' dare sorprese, quindi devi verificare
> che sia tutto ok pe rle operazioni di instalalzione ed aggiornamento
> che devi fare tu. VNC, nel caso, non ha di questi problemi...

Era quello che volevo sapere. Ho sempre avuto problemacci con le api di windows da quando usavo l'ambiente del powerbasic.

> Ma non vedo, poi, tutti questi grandi vantaggi, a
> meno che tu non abbia gia' intenzione d'usare questa VPN o ipsec per
> altre cose, nel qual caso sarebbe piu' vantaggioso fare ascoltare...

APPUNTO!!!! =)

> Se proprio ti da fastidio collegarti a desktop remoto "direttamente"
> e basandoti sulla sola cifratura offerta da rdp, puoi usare i tunnel
> VPN che preferisci o anche l'implementazione ipsec nativa di windows
> in modo trasporto. Ma non vedo, poi, tutti questi grandi vantaggi, a
> meno che tu non abbia gia' intenzione d'usare questa VPN o ipsec per
> altre cose, nel qual caso sarebbe piu' vantaggioso fare ascoltare il
> server rdp su un'interfaccia nel tunnel o forzare l'uso di ipsec per
> il traffico rdp, cosi' da lasciare esposti il minor numero possibile
> di servizi. Nel caso della VPN o ipsec ci saranno solo il server per
> la VPN (per esempio openvpn) o il server IKE e non _anche_ il server
> rdp). Uhmmm... temo che l'esposizione sia un po' contorta, ma non ho
> voglia di riscrivere le ultime righe :-) Spero siano comunque chiare
> almeno a una seconda lettura.

hm... il protocollo rdp sfrutta una fatidica "Multiple-level encryption", onestamente non conosco l'algoritmo che sfrutta ne' -soprattutto- la maniera in cui e' implementato, ma un "1500" come risultati di pagine su google cercando "Cryptographic Flaw in RDP Protocol" non muovono troppo a suo favore =)))))) Grazie, mal che vada con VNC, gli attacco un modem e lo faccio chiamare direttamente sul server, cosi' gli passa la voglia di stare ore a smanettarmi sulla macchina =).

Messaggi successivi:
- Re: [ml] VPN o PCAnywhere?, Fabio Panigatti

In risposta a:
- [ml] Server di accesso dialup, Mimmus
- [ml] VPN o PCAnywhere?, xs
- Re: [ml] VPN o PCAnywhere?, Igor Falcomata'

Data:
- precedente: Re: [ml] TKIP rekeyng, Leonardo Maccari
- successivo: Re: [ml] PEC Posta elettronica Certificata, Gian Carlo Ariosto
- indice

Argomento:
- precedente: Re: [ml] VPN o PCAnywhere?, Igor Falcomata'
- successivo: Re: [ml] VPN o PCAnywhere?, Fabio Panigatti
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005