Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows NT/2000/2003 (http://forum.oszone.net/forumdisplay.php?f=5)
-   -   [решено] Безопасный удаленный доступ к серверу на win2k3 (http://forum.oszone.net/showthread.php?t=176759)

merc_yar 28-05-2010 10:21 1422739
Безопасный удаленный доступ к серверу на win2k3
 
Здравствуйте, подскажите пожалуйста, может кто уже сталкивался... Ситуация состоит в том, что некоторые офисные сотрудники, где поднята локаль (клиент ubuntu, сервер win2k3) работают и на дому. Существует ли возможность им из дома посредством различных провайдеров подключаться к терминалу с привязкой имени пользователя/пароля к mac адресу машины? Дабы обезопасить доступ к серверу извне. Или подскажите каким образом можно предоставить доступ к серверу определенному набору людей?

cameron 28-05-2010 10:25 1422744
Цитата:
Цитата merc_yar
Существует ли возможность им из дома посредством различных провайдеров подключаться к терминалу с привязкой имени пользователя/пароля к mac адресу машины? »
нет, по целому ряду причин. одна из которых - mac адрес домашнего компа вы не увидите, а вторая - службы терминалов не оперируют понятием mac, иже как и бОльшая часть пакетных фильтров.
Цитата:
Цитата merc_yar
Или подскажите каким образом можно предоставить доступ к серверу определенному набору людей? »
VPN.

merc_yar 28-05-2010 10:50 1422764
Нагуглил что mac адрес теряется на первом же серве провайдера, понял ошибку. Можно ли поподробнее узнать каким образом использовать vpn? Учитывая что некоторые менеджеры имеют динамический ip...

cameron 28-05-2010 10:55 1422767
Цитата:
Цитата merc_yar
Можно ли поподробнее узнать каким образом использовать vpn? »
видите, как вы удачно про mac адреса нагуглили.
теперь давайте гуглить связку %ваш_шлюз%+VPN.

если шлюзом у вас является Windows Server2003 то есть несколько вариантов:
- использовать "маршрутизацию и удаленный доступ" (при запуске это оснаски и нажатии на "настроить сервер" запустится мастер который почти всё сделает сам)
- использовать MS ISA Server для обеспечения бОльшей безопасности.
- использовать Kerio Winroute Firewall для обеспечения бОльшей безопасности (насколько я знаю для его VPN требуется установка клиентского програмного обеспечения на всех клиентах)
- использовать другие решения.

дальше я думаю понятно?

Цитата:
Цитата merc_yar
Учитывая что некоторые менеджеры имеют динамический ip... »
это вообще не имеет значения, важно что бы у сервера был статический IP.
ну или использовать DynDNS если такового нет.

merc_yar 28-05-2010 11:25 1422790
cameron, спасибо огромное за информацию, буду копать =)

Nikitos 28-05-2010 12:04 1422828
Цитата:
Цитата cameron
использовать MS ISA Server для обеспечения бОльшей безопасности. »
Рекомнедуется использовать последнюю версию- MS Forefront TMG (Смысл использовать ISA Server 2006 есть лишь в том случае, если необходимо сертифицированное ФСТЭК ПО)
P.S. Вобще говоря, сервера можно защитить не только от атак из вне, но и изнутри, за счет переноса серверов в зону DMZ . И таким образом контролировать не только уровни доступа к ресурсам, а еще и возможность доступа к ним.

cameron 28-05-2010 12:10 1422839
Цитата:
Цитата Nikitos
Рекомнедуется использовать последнюю версию- MS Forefront TMG »
только если ОС Server 2008/r2 x64.
да, кем рекомендуется? :)
Цитата:
Цитата Nikitos
Смысл использовать ISA Server 2006 есть лишь в том случае, если необходимо сертифицированное ФСТЭК ПО »
смысл в том, что на E5120+2Gb у меня более 1000 клиентов и 20 Site-to-Site VPN. когда погоняете ТМГ поймёте о чём я говорю, на мой взгляд это тяжёлый и сырой продукт, требующий бОльшего количества ресурсов при минимальной (и спорно нужной) разнице в функционале с ISA.


Время: 21:46.

Время: 21:46.
© OSzone.net 2001-