Первый вопрос:
Вы не работали с встроенным RemoteDesktop в Windows 2000/XP/2003? Насколько безопасно его использовать без VPN?
А то вот хочу домой поставить.
И вообще что можно использовать для безопасного удаленного доступа?
Второй вопрос:
А так же встроенный в XP/2003 firewall нормальный? (Никакого роутера с о втсроенным нет).
Windows Security вопросы
Правила форума
Пожалуйста, ознакомьтесь с правилами данного форума
Пожалуйста, ознакомьтесь с правилами данного форума
-
aldep
- Маньяк
- Сообщения: 1593
- Зарегистрирован: 18 фев 2003, 08:06
- Откуда: Toronto
- Контактная информация:
-
папа Карло
- Шарманщик
- Сообщения: 8563
- Зарегистрирован: 17 фев 2003, 15:04
- Откуда: НН -> BC -> WA -> UT -> CA
-
Marmot
- Графоман
- Сообщения: 38347
- Зарегистрирован: 17 фев 2003, 17:58
- Откуда: Canyon Heights
- Контактная информация:
Re: Windows Security вопросы
У меня SSH, а через него уже всё остальное, включая RemoteDesktop.aldep писал(а):Первый вопрос:
Вы не работали с встроенным RemoteDesktop в Windows 2000/XP/2003? Насколько безопасно его использовать без VPN?
А то вот хочу домой поставить.
И вообще что можно использовать для безопасного удаленного доступа?
Пока проблем не было...
-
vg
- Маньяк
- Сообщения: 2803
- Зарегистрирован: 29 май 2003, 22:29
- Откуда: Магадан - Миссиссага
2aldep,
2) В XP действительно встроен RemoteDesktop. Здесь вы правы. Номе эдишн содержит только клиента, а проф - и серверную часть.
Клиент RemoteDesktop может быть с успехом использован совместно с Terminal Services на W2k (вместо клиента Terminal Servervices). Т.е для рабочей станции XP ничего не надо ставить в отличие от использования W2k prof. В последнем случае требовалась установка Terminal Services Client. Это действительно удобно.
2) Вопрос инф. безопасности никогда не зависил от единственного технического средства. Всегда есть комплекс мероприятий, в том числе и технических. "Проколоться" можно в самом неожиданном "месте". Никогда нелья говорить, например,"... использую VPN, и это меня гарантирует...".
Часто эти понятия отождествляют (сурогат), поскольку маршрутизатор предприятия ( потребителя инет-услуг ), как правило, содержит пакетные фильтры, ids и .... многое другое. Вас это не должно смущать. Вам, на домашнем компьютере, маршрутизатор не нужен. Используйте ту фильтрацию пакетов, которая есть на Вашем домашнем XP-компьютере.
Мои дополнительные замечания, которые Вы можете не читать, если Вас уже стошнило. Всё это касается только того случая, если, взвесив всё, Вы всёж решились.
1) Если в офисе Ваш компьютер за firewall, на котором используется NAT, или proxy с фильтрацией пакетов, то вашему администратору необходимо разрешить RDP. На серверной стороне следует открыть TCP порт 3389. В зависимости от качества firewall и умения администраторов следует разрешить исходящий TCP-трафик по портам > 1024, или использовать опцию established (что, разумеется, лучше). На домашнем компьютере Вы должны разрешить исходящий трафик на TCP порт 3389 и входящий трафик с этого порта для установленных (established) соединений. Думаю, в этом случае Вам не удастся использовать VPN для RemoteDesktop (читайте Майкрософт).
2) Если Ваш компьютер в офисе - голенький в интернет (имеет реальный IP) - используйте VPN, как сказано у Майкрософт.
3) Не нравится мне очень в RemoteDesktop то, что можно работать только под административным экаунтом (в отличии от Terminal Services). Все программы, которые Вы будете запускасть будут иметь те же права.
ПС. Лично я администрирую практически все серверы только удалённо. Достаточно продолжительный опыт использования удалённого администрирования служб корпоративных сетей говорит о надёжности и безопасности.
И последнее. Думаю, следует посмотреть в сторону решения Мармота, но об этом у него и спросите.
1) RemoteDesktop не встроен в W2k. В W2k (только для линейки серверов) "встроены" Terminal Services. Это схожее, но другое. Здесь некая неточность у Вас.Первый вопрос:
Вы не работали с встроенным RemoteDesktop в Windows 2000
2) В XP действительно встроен RemoteDesktop. Здесь вы правы. Номе эдишн содержит только клиента, а проф - и серверную часть.
Клиент RemoteDesktop может быть с успехом использован совместно с Terminal Services на W2k (вместо клиента Terminal Servervices). Т.е для рабочей станции XP ничего не надо ставить в отличие от использования W2k prof. В последнем случае требовалась установка Terminal Services Client. Это действительно удобно.
1) Майкрософт рекомендует использовать VPN (см. сайт Майкрософт, в том числе, о VPN и RemoteDesktop). Возможность использования VPN будет зависеть от существующей на Вашем предприятии сетевой инфраструктуры ( скорее Ваш хост в офисе расположен за межсетевым экраном ).Насколько безопасно его использовать без VPN?
2) Вопрос инф. безопасности никогда не зависил от единственного технического средства. Всегда есть комплекс мероприятий, в том числе и технических. "Проколоться" можно в самом неожиданном "месте". Никогда нелья говорить, например,"... использую VPN, и это меня гарантирует...".
Если на Вашем хосте в офисе нет действительно конфиденциальной информации, НСД к которой может привести к серьёзному ущербу, то, думаю, можно использовать. Хотя я бы просмотрел все детали.А то вот хочу домой поставить.
И вообще что можно использовать для безопасного удаленного доступа?
Firewall никогда И не был маршрутизатором, как необходимое и достаточное условие. Firewall - это одно, а маршрутизатор - другое.Второй вопрос:
А так же встроенный в XP/2003 firewall нормальный? (Никакого роутера с о втсроенным нет).
Часто эти понятия отождествляют (сурогат), поскольку маршрутизатор предприятия ( потребителя инет-услуг ), как правило, содержит пакетные фильтры, ids и .... многое другое. Вас это не должно смущать. Вам, на домашнем компьютере, маршрутизатор не нужен. Используйте ту фильтрацию пакетов, которая есть на Вашем домашнем XP-компьютере.
Мои дополнительные замечания, которые Вы можете не читать, если Вас уже стошнило. Всё это касается только того случая, если, взвесив всё, Вы всёж решились.
1) Если в офисе Ваш компьютер за firewall, на котором используется NAT, или proxy с фильтрацией пакетов, то вашему администратору необходимо разрешить RDP. На серверной стороне следует открыть TCP порт 3389. В зависимости от качества firewall и умения администраторов следует разрешить исходящий TCP-трафик по портам > 1024, или использовать опцию established (что, разумеется, лучше). На домашнем компьютере Вы должны разрешить исходящий трафик на TCP порт 3389 и входящий трафик с этого порта для установленных (established) соединений. Думаю, в этом случае Вам не удастся использовать VPN для RemoteDesktop (читайте Майкрософт).
2) Если Ваш компьютер в офисе - голенький в интернет (имеет реальный IP) - используйте VPN, как сказано у Майкрософт.
3) Не нравится мне очень в RemoteDesktop то, что можно работать только под административным экаунтом (в отличии от Terminal Services). Все программы, которые Вы будете запускасть будут иметь те же права.
ПС. Лично я администрирую практически все серверы только удалённо. Достаточно продолжительный опыт использования удалённого администрирования служб корпоративных сетей говорит о надёжности и безопасности.
И последнее. Думаю, следует посмотреть в сторону решения Мармота, но об этом у него и спросите.
-
tasko
- Графоман
- Сообщения: 18705
- Зарегистрирован: 20 июл 2003, 09:16
- Откуда: Торонто
-
vg
- Маньяк
- Сообщения: 2803
- Зарегистрирован: 29 май 2003, 22:29
- Откуда: Магадан - Миссиссага
2tasko,
2) WinProxy - это самодельщина, суррогат. Кроме фильтрации пакетов (кстати весьма тупо и безобразно сделанной), там вообще нет ни одной позиции, по которой межсетевой экран (firewall) назувают таковым. Там просто ничего нет
Так, что перестань
WinProxy только одним хорош - минимум ресурсов и устанавливается куда-попало. Если надо только "раздать" в локалку инет, и при этом ничего не надо защищать - ну, тогда можно и это фуфло. Можно, но не нужно.
1) firewall и маршрутизатор это действительно разные вещи. не спорь.vg:
Firewall никогда И не был маршрутизатором, как необходимое и достаточное условие. Firewall - это одно, а маршрутизатор - другое.
В принципе это так, только куча программ выполняет "по совместильству" и то и другое. Как пример, WinProxy.
2) WinProxy - это самодельщина, суррогат. Кроме фильтрации пакетов (кстати весьма тупо и безобразно сделанной), там вообще нет ни одной позиции, по которой межсетевой экран (firewall) назувают таковым. Там просто ничего нет
Так, что перестань WinProxy только одним хорош - минимум ресурсов и устанавливается куда-попало. Если надо только "раздать" в локалку инет, и при этом ничего не надо защищать - ну, тогда можно и это фуфло.
Можно, но не нужно.