Re: [ml] Come proteggere al meglio una connessione RDP ??

On Fri, 2006-03-31 at 11:41 +0200, Alberto Spelta wrote:
> 	L'idea era quella di impostare sul firewall il forward la porta rdp verso
> il server w2k3 che sta nella dmz, e di proteggere la connessioni impostando
> delle regole IPSec che consentano solo il traffico autorizzato. Questo mi
> evita di avere un server di accesso remoto e di configurare lato client la
> connessione remota alla vpn, quindi evito all'utente i due passaggi: 1°
> connettere la vpn 2 ° connettere la sessione rdp. L'installazione
> comporterebbe solo l'impostazione le regole ipsec su ogni client (o la
> distribuzion attraverso Active Directory) e l'installazione del certificato
> rilasciato dalla mia CA.

in situazione analoghe preferisco adottare una politica diversa.
le porte "forwardate" verso l'interno (dmzz) sono esclusivamente per
servizi pubblicati a chiunque su Internet.
ogni altro servizio e' subordinato all'accesso in VPN.
tutti gli utenti "mobili"devono collegarsi in vpn e poi tramite
radius/access-list o altro viene definito a cosa possono collegarsi.

a seconda del tipo di utenza normalmente opto per openvpn, come gia'
consigliato, o per device che permettano di incapsulare ipsec almeno su
udp per evitare i problemi di nat.

un mayhem e la barba da fare
-- 
E non parlarmi di sentimenti di sabato mattina che mi viene da vomitare.
https://www.recursiva.org - Key on pgp.mit.edu ID B88FE057