Jump to content
Sign in to follow this  
webograph

ts: erforderliche gruppe abhängig von ip

Recommended Posts

hi,

 

ist-situation: wir verwenden im lan einen terminal-server, auf den jeder zugreifen kann (bzw. muss)

zielsetzung: ausgewählte mitarbeiter sollen auch von außerhalb die möglichkeit haben, sich einzuloggen

wir würden zu diesem zweck vom router (nat / ip-masquerading) aus den port für terminal services auf den ts durchrouten. das problem ist nur, dem ts beizubringen, dass für verbindungen von 192.168.x.x keine bestimmte gruppenzugehörigkeit erforderlich ist und für verbindungen von außerhalb eine andere.

 

ist das möglich?

 

folgende alternativpläne stehen zur diskussion (beide nicht perfekt, würde mich aber dennoch interessieren, was ihr davon haltet):

- allen usern beim login vor dem starten von explorer.exe ein skript einschieben, das prüft, ob der login über rdp stattfindet und (so das überhaupt möglich ist) von welcher ip er ausgeht; sollte ein unberechtigter sich von außen einloggen, fliegt er.

- (mein favorit) so eine art port-knocking auf der firewall: port ist per default zu, user müssen sich auf der firewall einloggen (via ldap), gruppe wird abgefragt, ggf wird der port für des users ip geöffnet. zusatzvorteil: bei möglichen sicherheitsproblemen mit dem rdp-dienst allgemein sind wir etwas aus der schusslinie

 

hat jemand hier erfahrung mit so einem problem?

Share this post


Link to post

Leute von ausserhalb werden durch ein PPTP oder IPSec VPN in das Netz gelassen und es wird durch Filter definiert, dass nur RDP zugelassen wird. So erübrigt sich eine unterschiedliche Gruppenzugehörigkeit. Die Sicherheit sollte an der Grenze zum Netzwerk greifen und nicht, wenn man schon drin ist ...

Share this post


Link to post

ipsec: schön und gut -- leider müssen darauf mitarbeiter von ihren privat-pcs darauf zugreifen -- eine vpn-konfiguration traue ich nicht einmal 5% unserer mitarbeiter zu.

sicherheit an der grenze zum netzwerk: da stimme ich zu (deshalb favorisiere ich auch die zweite lösung, da so nur autorisierte überhaupt an den rdp-port kommen).

Share this post


Link to post

cmak: afaik erfordert das windows; nicht alle unsere mitarbeiter arbeiten mit diesem os (habe von cmak jetzt zum ersten mal gelesen und nur ein bisschen herumgesucht; lasse mich gerne eines besseren belehren!)

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...